Fraude IRSF: Cómo los CAPTCHAs falsos roban crédito móvil

En el complejo ecosistema de la ciberdelincuencia moderna, la confianza del usuario se ha convertido en el activo más valioso y, al mismo tiempo, el más explotado. Recientemente, una sofisticada campaña de Fraude IRSF (International Revenue Share Fraud) ha encendido las alarmas a nivel global al utilizar un elemento que casi todos los internautas consideran inofensivo: el sistema CAPTCHA. Esta operación, detectada y analizada profundamente por los investigadores de Infoblox en abril de 2026, no busca robar contraseñas ni instalar ransomware de manera inmediata, sino manipular la infraestructura de facturación móvil para generar ingresos ilícitos a gran escala.

El esquema es tan ingenioso como perverso. Al presentarse como una verificación de seguridad estándar (“Demuestra que eres humano”), los atacantes logran que las víctimas autoricen, sin saberlo, el envío de ráfagas de mensajes SMS internacionales a destinos con tarifas premium. Lo que parece ser un breve trámite de navegación se traduce, semanas después, en facturas telefónicas exorbitantes que muchos usuarios no logran disputar a tiempo. Con más de 120 campañas identificadas y presencia en 17 países, este fenómeno redefine los riesgos de la ingeniería social aplicada a las telecomunicaciones.

¿Qué es exactamente el Fraude IRSF y por qué es tan lucrativo?

Para entender la magnitud de esta amenaza, es fundamental desglosar las siglas detrás del Fraude IRSF. El Fraude de Participación en Ingresos Internacionales ocurre cuando actores maliciosos explotan los acuerdos de interconexión entre operadoras telefónicas globales. El proceso técnico sigue esta lógica:

• Adquisición de números: Los estafadores alquilan o adquieren rangos de números telefónicos internacionales de tarifa premium (IPRN) en países con regulaciones laxas o altas tasas de terminación, como Azerbaiyán, Kazajistán o Myanmar.
• Generación de tráfico: El objetivo es enviar la mayor cantidad posible de llamadas o mensajes SMS hacia esos números específicos.
• Reparto de ingresos: La operadora que recibe el mensaje (terminación) cobra una tarifa a la operadora de origen. Una parte de esa tarifa se devuelve al “dueño” del número, es decir, al estafador.

Tradicionalmente, el Fraude IRSF se realizaba mediante el hackeo de centrales telefónicas empresariales (PBX) o el uso de bots. Sin embargo, la innovación de 2026 radica en la participación involuntaria del usuario final. Al convertir al propio smartphone de la víctima en el emisor de los mensajes, los atacantes evitan los filtros automáticos que las operadoras suelen aplicar a los robots, haciendo que el tráfico parezca legítimo y orgánico.

Anatomía de la estafa: El CAPTCHA falso como Caballo de Troya

El vector de ataque comienza habitualmente con publicidad engañosa en redes sociales, resultados de búsqueda manipulados o dominios “typosquatted” (direcciones web que imitan a marcas conocidas con errores ortográficos mínimos). Una vez que el usuario aterriza en el sitio malicioso, se encuentra con una barrera familiar: un CAPTCHA.

A diferencia de los sistemas legítimos como reCAPTCHA de Google o hCaptcha, estos falsos CAPTCHAs están diseñados para interactuar directamente con las aplicaciones de mensajería del dispositivo. El flujo de ataque se desarrolla en varias etapas críticas:

1. La Trampa Inicial: Se le pide al usuario que haga clic en un botón de “Verificar” o “No soy un robot” para acceder al contenido deseado (a menudo supuestas inversiones en criptomonedas con IA o contenido exclusivo).
2. Activación del protocolo SMS: Al interactuar con el botón, el sitio web utiliza esquemas de URI específicos (como sms:) que abren programáticamente la aplicación de mensajes en Android o iOS.
3. Contenido preconfigurado: La aplicación de SMS se abre con una lista de destinatarios ya cargada y un cuerpo de mensaje predefinido. A menudo, el mensaje es un código alfanumérico aleatorio que refuerza la ilusión de una “clave de verificación”.
4. Multiplicación del daño: Los investigadores han descubierto que un solo proceso de verificación puede constar de hasta cuatro pasos. En cada paso, el dispositivo envía mensajes a múltiples destinos simultáneamente. Se han registrado casos donde una sola sesión genera hasta 60 mensajes SMS enviados a 15 o más destinos internacionales únicos.

El resultado es una pérdida económica inmediata. Aunque el costo por mensaje individual pueda parecer bajo, el volumen masivo de destinos premium hace que una sola interacción de 30 segundos le cueste a la víctima alrededor de $30 USD. Multiplicado por miles de víctimas diarias, el Fraude IRSF se convierte en una mina de oro digital.

La infraestructura invisible: El rol de Keitaro TDS

Uno de los hallazgos más alarmantes del informe de Infoblox es el uso intensivo de Sistemas de Distribución de Tráfico (TDS), específicamente la plataforma Keitaro. Originalmente diseñada para que los expertos en marketing digital rastreen el rendimiento de sus campañas, Keitaro ha sido convertida por los ciberdelincuentes en una herramienta de evasión y segmentación quirúrgica.

El uso de un TDS permite a los operadores del Fraude IRSF realizar las siguientes maniobras técnicas:

• Cloaking (Encubrimiento): El sistema detecta si quien accede al enlace es un usuario real o un bot de seguridad de una empresa de antivirus. Si es un bot, se muestra contenido inofensivo; si es una víctima potencial, se redirige al CAPTCHA falso.
• Segmentación Geográfica: Los atacantes pueden elegir redirigir solo a usuarios de países donde las tarifas de SMS internacionales hacia sus números premium sean más altas, maximizando el margen de beneficio.
• Rotación de Campañas: Keitaro facilita la gestión de cientos de dominios diferentes. Si una dirección web es bloqueada por las listas negras de seguridad, el TDS simplemente redirige el tráfico hacia un nuevo dominio operativo en cuestión de segundos.

Este nivel de profesionalismo demuestra que no estamos ante aficionados, sino ante organizaciones criminales que operan con la eficiencia de una agencia de publicidad digital. El abuso de licencias de Keitaro (muchas veces obtenidas de forma ilegal o mediante versiones “crackeadas”) es el motor que permite la persistencia de esta red de fraude.

Retos insuperables para la detección y el usuario

¿Por qué es tan difícil detener el Fraude IRSF basado en CAPTCHAs? Existen tres factores técnicos y psicológicos que juegan a favor de los criminales:

1. El factor de la familiaridad

Los usuarios han sido entrenados durante años para no cuestionar los CAPTCHAs. Es una respuesta pavloviana: ves un cuadro de verificación, haces clic para avanzar. Esta confianza ciega es la que permite que el engaño tenga una tasa de conversión inusualmente alta.

2. Secuestro del botón “Atrás”

Para asegurar que la víctima complete todos los pasos del fraude, los atacantes implementan técnicas de “Back Button Hijacking”. Al manipular el historial del navegador mediante scripts, impiden que el usuario regrese a la página anterior. Cada vez que el usuario intenta retroceder, se carga una nueva instancia de la estafa o una página diferente dentro del ecosistema del atacante, atrapando a la persona en un bucle infinito de redirecciones.

3. Latencia en la facturación

A diferencia de un cargo en una tarjeta de crédito que genera una notificación instantánea en una app bancaria, los cargos por SMS internacionales suelen aparecer en la factura móvil semanas después de haber ocurrido. Para cuando el usuario nota el cobro sospechoso, la experiencia del CAPTCHA ha sido olvidada por completo, dificultando enormemente la identificación del origen del cargo y la posibilidad de una disputa exitosa ante la operadora.

Países afectados y el ecosistema de las operadoras

La investigación ha identificado actividad en al menos 17 países, incluyendo mercados clave en Europa y Asia. Entre los destinos de los mensajes se encuentran números registrados en España, Polonia, Turquía, Países Bajos y Bélgica, además de regiones conocidas por su opacidad regulatoria en telecomunicaciones.

Este fraude no solo perjudica al consumidor. Las operadoras de telecomunicaciones legítimas se enfrentan a un dilema financiero y reputacional. Por un lado, están obligadas por acuerdos internacionales a pagar las tarifas de terminación por el tráfico enviado. Por otro, deben gestionar el descontento de miles de clientes que exigen reembolsos por cargos que, técnicamente, fueron autorizados por la acción física de presionar “enviar” en su dispositivo (aunque bajo engaño).

Medidas de protección: Cómo blindarse contra el Fraude IRSF

Ante la sofisticación de estas campañas, la prevención debe ser tanto técnica como educativa. A continuación, se detallan las estrategias esenciales para mitigar el riesgo:

• Para usuarios finales: Desconfíe de cualquier sitio web que solicite enviar un SMS o realizar una llamada para “verificar su identidad” o “probar que es humano”. Los CAPTCHAs legítimos se resuelven dentro del navegador y nunca requieren interactuar con la aplicación de mensajería del teléfono.
• Control de facturación: Solicite a su proveedor de telefonía móvil el bloqueo de servicios de tarifa premium y de SMS internacionales si no los utiliza habitualmente.
• Uso de herramientas de seguridad: Emplee navegadores que bloqueen activamente el secuestro del historial y utilicen filtros de DNS inteligentes (como los proporcionados por Infoblox o Quad9) que puedan interceptar las consultas hacia dominios controlados por Keitaro TDS.
• Análisis de permisos: En dispositivos Android, revise qué aplicaciones tienen permiso para acceder o enviar SMS, y considere usar soluciones de seguridad móvil que escaneen enlaces en tiempo real.

Conclusión: El futuro de la verificación digital

La evolución del Fraude IRSF a través de falsos CAPTCHAs es un recordatorio de que los ciberdelincuentes siempre encontrarán la forma de explotar el eslabón más débil: la rutina del usuario. En un mundo donde la inteligencia artificial y los deepfakes (utilizados también en estas campañas para promocionar estafas de inversión) hacen que la verdad sea difícil de distinguir, la precaución extrema es la única defensa sólida.

La colaboración entre empresas de ciberseguridad, proveedores de infraestructura como Keitaro y las operadoras de telecomunicaciones es vital para desmantelar estas redes. Mientras tanto, la próxima vez que vea un botón que dice “Soy humano”, deténgase un segundo. Su factura telefónica podría depender de ese breve momento de duda.