Infoblox identifica una nueva campaña de estafas telefónicas que utiliza sistemas CAPTCHA fraudulentos
A través de páginas de verificación CAPTCHA fraudulentas, el usuario se convierte en víctima de un fraude conocido como IRSF, que consiste en el envío masivo de mensajes SMS a números internacionales o de tarificación especial de alto coste.
Mayo de 2026: Infoblox Threat Intel (ITI), la unidad de inteligencia de seguridad de Infoblox, ha identificado una serie de páginas de verificación CAPTCHA falsas utilizadas para engañar al usuario, convirtiéndole en víctima de una modalidad de fraude conocida como international revenue share fraud (IRSF), que consiste en el envío masivo de mensajes SMS a números internacionales o de tarificación especial de alto coste que suponen cargos inesperados para el usuario y pérdida de ingresos para los operadores de telecomunicaciones.
Los sistemas de verificación CAPTCHA, inicialmente pensados para verificar que el usuario no es un “bot” y proteger los sitios web frente a accesos maliciosos, se están utilizando cada vez más para desplegar campañas de spam, robo de credenciales y otras actividades maliciosas. La investigación de Infoblox Threat Intel ha demostrado que interacciones web cotidianas aparentemente legítimas pueden convertirse en llamadas o envío de mensajes de tarificación especial, sin que el usuario sea consciente de lo que está autorizando. Pueden ser pequeños cargos adicionales en la factura, aparentemente insignificantes, pero a gran escala esta actividad genera pérdidas recurrentes y significativas para los operadores y una cantidad considerable de reclamaciones por parte de los clientes, que desconocen el motivo del cargo adicional.
Más allá de un problema de seguridad, se trata también de un problema con implicaciones financieras para las partes implicadas, usuarios y operadores de telecomunicaciones, así como reputacionales, ya que reduce los márgenes de beneficio, daña la confianza en los servicios digitales y atrae la atención de los organismos reguladores. Los operadores de telecomunicaciones, los anunciantes y las plataformas on-line necesitan mayor visibilidad y control sobre este tipo de sistemas de verificación.
La investigación también pone de manifiesto que la misma infraestructura maliciosa que se utiliza para dirigir al usuario al contenido fraudulento se está también utilizando para realizar el desvío de dinero a los delincuentes a través de estos cargos fraudulentos, y el fraude con CAPTCHA falso ya está explotando esta vulnerabilidad a escala interna.
Renée Burton, Renée Burton, VP de Infoblox Threat Intel, ha comentado: “llevamos tiempo rastreando el uso malicioso de los sistemas de distribución de tráfico, pero vincularlos directamente a un esquema de fraude por SMS de larga duración es algo nuevo. Lo que hace que esta operación sea tan efectiva no es solo el CAPTCHA falso en sí, sino los modelos de negocio de publicidad y tráfico que lo rodean. Se están reutilizando infraestructuras de otros tipos de fraude on-line para escalar fraudes telefónicos, dificultando enormemente que se pueda tener una panorámica total del problema”.
