You are here
México Seguridad 

VexTrio al descubierto: una sofisticada operación multinacional de fraude publicitario revelada como una empresa global de ciberdelincuencia

Alberto Marin Moran

Septiembre de 2025 – El equipo de Threat Intel de Infoblox ha revelado nuevos hallazgos sobre el actor de amenazas “VexTrio”. Antes conocido únicamente como un importante jugador en sistemas de distribución de tráfico malicioso (Traffic Distribution Sysyems, TDS), VexTrio ha sido expuesto ahora como una extensa empresa internacional, con una compleja estructura corporativa, ejecutivos identificados por nombre y operaciones que abarcan más de una década.

Este nuevo reporte ofrece información clave que cambia la percepción de VexTrio: de ser una infraestructura anónima a una organización multinacional identificada con nombres reales, compañías y tecnologías concretas.

Más que un grupo de hackers anónimos, VexTrio es una sofisticada fusión de facciones criminales italianas y de Europa del Este que controlan cerca de 100 empresas en las industrias de adtech, energía y construcción, utilizándolas para orquestar un esquema global de fraude publicitario valorado en miles de millones de dólares.

“Durante años, la industria de la seguridad ha visto los síntomas de la actividad de VexTrio —los falsos captchas de robots y los interminables redireccionamientos a estafas— pero se trataba como una molestia de baja severidad. Esta investigación demuestra que, detrás de los enlaces maliciosos, existe una entidad corporativa multinacional altamente organizada que ha lucrado con el fraude con total impunidad. No solo abusan del ecosistema adtech; han creado el suyo propio para ocultar sus crímenes a plena vista”, afirmó Renée Burton, Vicepresidenta de Threat Intel en Infoblox.

Una Industria Multimillonaria Alimentada por el Engaño

El nuevo informe posiciona a VexTrio como un actor central en la industria del fraude publicitario digital, que según la Association of National Advertisers (ANA) superará los 172 mil millones de USD en 2028. Su capacidad operativa no depende del volumen, sino de la precisión: la infraestructura global de VexTrio opera con menos de 250 máquinas virtuales, pero manipula millones de redirecciones maliciosas al día.

Hallazgos Clave

  • Su dominio de CDN está entre los 10,000 sitios más visitados del mundo, según Tranco e Infoblox.
  • Casi el 40% de los sitios web comprometidos en 2024 redirigieron tráfico a VexTrio mediante smartlinks de la red Los Pollos.
  • Esta red de afiliados, núcleo de sus operaciones, llegó a tener más de 200,000 afiliados y 2 mil millones de usuarios únicos mensuales.
  • Aplicaciones como Spam Shield, desarrollada por VexTrio, fueron descargadas más de 100,000 veces, disfrazadas como soluciones legítimas.
  • Adtrafico, otra de sus marcas, pagaba hasta 100 USD por lead falso para estafas de antivirus y productos “nutra”.
  • Incluso promovieron estafas con tarjetas de crédito falsas prometiendo retornos del 300%, anunciadas como “oportunidades de ingresos de seis cifras”.

¿Quién Está Detrás de VexTrio?

Por primera vez, el informe nombra a las figuras clave detrás de esta operación transcontinental, vinculándolas a empresas reales, marcas registradas y actividad en redes sociales. Entre los individuos destacados se encuentran Giulio Cerutti, Igor Voronin, Dzmitry Laptsevich, Andrew Kunitsa y Giulio Lingua, con lazos corporativos en Suiza, Bulgaria, Moldavia, Canadá y República Checa.

La investigación revela que VexTrio surgió de la fusión de dos grupos criminales previamente independientes:

  • Un grupo italiano (Crownstone LLC, Tekka Group) con experiencia en spam y sitios de citas fraudulentos.
  • Una red de Europa del Este (Los Pollos, AdsPro) con capacidades técnicas e infraestructura significativas.

Desde 2020 operan como un solo conglomerado con docenas de marcas y empresas que abarcan desde adtech y aplicaciones móviles hasta construcción y energía.

VexTrio Controla Toda la Cadena del Fraude

El informe detalla que VexTrio no solo participa en el fraude: controla cada etapa:

  • Crea sitios de citas falsas, aplicaciones antivirus fraudulentas, notificaciones push engañosas, sorteos falsos, comercio electrónico fantasma y plataformas falsas de inversión en criptomonedas.
  • Distribuye aplicaciones maliciosas bajo marcas como HolaCode, Klover Group, AlphaScale Media y LocoMind.
  • Procesa pagos mediante servicios como Pay Salsa y valida correos electrónicos con herramientas propias como DataSnap.
  • Opera redes de afiliados y tráfico como Los Pollos, TacoLoco y Adtrafico, permitiendo escalar las estafas globales bajo una fachada de legitimidad.

¿Y Ahora Qué?

El informe subraya el papel de las plataformas adtech en facilitar el ciberdelito a gran escala y la necesidad de mayores medidas de responsabilidad. Los hallazgos revelan que el uso de redes como Los Pollos, TacoLoco y Adtrafico no solo amplifica el alcance de VexTrio, sino que también representa un punto potencial de exposición: al verificar y rastrear afiliados, estas plataformas poseen información valiosa para identificar a los responsables de comprometer miles de sitios web y estafar a millones de usuarios en todo el mundo.

Related posts

Leave a Comment