Noticias, Estafas

Una estafa con CAPTCHA falsos convierte un simple clic en una factura telefónica muy elevada

por Pieter Arntz | 28 de abril de 2026
escribir mensajes de texto

Los investigadores han documentado una campaña de larga duración que utiliza páginas CAPTCHA falsas para engañar a los usuarios de móviles y hacer que envíen docenas de mensajes SMS internacionales en segundo plano.

Si has pasado algún tiempo navegando por Internet hoy en día, es posible que los CAPTCHA te parezcan algo sin importancia: haces clic en unos cuantos semáforos, demuestras que eres humano y sigues adelante. Algo de lo que los estafadores han sabido sacar partido en las campañas de ClickFix, en las que engañan a las víctimas para que infecten sus propios dispositivos.

Sin embargo, recientemente, los investigadores han descubierto un giro inesperado en el que la prueba de «demostrar que eres humano» se convierte, sin que uno se dé cuenta, en «generar una factura telefónica internacional». El estudio describe una campaña de fraude de reparto de ingresos internacionales (IRSF). El IRSF, también conocido como «fraude de bombeo de SMS», se aprovecha de las complejas estructuras de precios de las llamadas internacionales y del tráfico de SMS para generar ingresos inflando el volumen de mensajes enviados a destinos concretos.

En lugar de instalar malware en el dispositivo de la víctima, la estafa se aprovecha del funcionamiento de la facturación de las telecomunicaciones y de las redes de afiliados, convirtiendo el tráfico web habitual en ingresos por SMS premium para los ciberdelincuentes.

Cómo funciona

El desarrollo típico de esta estafa es el siguiente:

  • Las víctimas llegan, a través de publicidad maliciosa o redireccionamientos de TDS —a menudo desde dominios de telecomunicaciones que aprovechan errores ortográficos —, a una página que parece un CAPTCHA básico de selección de imágenes o de preguntas.
  • Para «continuar», se les indica que pulsen un botón que abre su aplicación de SMS con un mensaje ya redactado y la lista de destinatarios.
  • No se trata de un solo SMS a un solo número. El CAPTCHA falso sigue varios pasos, y cada mensaje está preconfigurado con más de una docena de números internacionales de 17 países conocidos por sus elevadas tarifas de terminación, entre ellos Azerbaiyán, Myanmar y Egipto.

En un plan de telefonía móvil estándar, esto puede suponer unos 30 dólares en gastos por SMS internacionales por persona, y una parte de las tarifas de terminación revierte al atacante a través de acuerdos de reparto de ingresos.

Para evitar que simplemente salgas de la página, estas utilizan un mecanismo específico que secuestra el botón «Atrás». El JavaScript reescribe el historial del navegador y te redirige de nuevo a la estafa cuando intentas salir. Los investigadores también descubrieron que la campaña estaba conectada a una red de afiliados al estilo Click2SMS que anuncia «todo tipo de tráfico permitido» y facturación a través del operador, lo que, en la práctica, presenta el IRSF como otra opción de monetización para editores poco fiables.

Esta operación estafa tanto a particulares como a operadores de telecomunicaciones. Las víctimas se encuentran con cargos inesperados por SMS premium en sus facturas y pueden tener dificultades para averiguar el motivo. Los operadores pagan una parte de los ingresos a los autores y pueden tener que asumir las pérdidas derivadas de las reclamaciones de los clientes o de las devoluciones de cargo.

Protección móvil , en cualquier lugar y en cualquier momento.

Cómo protegerse

Nunca envíes un SMS para «demostrar que eres humano». Los CAPTCHA legítimos se ejecutan íntegramente en tu navegador. No abrirán tu aplicación de SMS ni la de llamadas.

Revisa tu factura de móvil con regularidad para detectar pequeños cargos por SMS internacionales que no reconozcas, no solo los grandes picos de gasto. Si ves algo sospechoso, reclama lo antes posible y pide a tu operador que bloquee los SMS internacionales o de tarificación especial si no los necesitas.

Utiliza una aplicación de protección para móviles que bloquee los sitios maliciosos conocidos, como estos dominios relacionados con esta campaña:

  • sweeffg[.]online
  • colnsdital[.]com
  • zawsterris[.]com
  • megaplaylive[.]com
  • ruelomamuy[.]com
Malwarebytes ruelomamuy[.]com
Malwarebytes ruelomamuy[.]com

Los estafadores saben más de ti de lo que crees. 

Malwarebytes Mobile Security teMobile Security contra el phishing, los mensajes de texto fraudulentos, los sitios web maliciosos y mucho más. Con Scam Guard, una función integrada basada en inteligencia artificial que opera en tiempo real. 

Descargar para iOS Descargar para Android  

Acerca del autor

Pieter Arntz

Pieter Arntz

Investigador de inteligencia sobre malware

Fue MVP de Microsoft en seguridad del consumidor durante 12 años consecutivos. Habla cuatro idiomas. Huele a caoba y a libros encuadernados en cuero.

ÚLTIMOS ARTÍCULOS

Privacidad
Logotipo de Yahoo Mail

¿Por qué Malwarebytes algunos redireccionamientos de Yahoo Mail?

Mayo 14, 2026

Es posible que algunos usuarios de Yahoo Mail reciban Malwarebytes repetidas Malwarebytes debido a conexiones en segundo plano con dominios de terceros sospechosos. A continuación te explicamos por qué.

Bichos
Logotipo de Microsoft

Martes de parches de mayo de 2026: no hay vulnerabilidades de día cero, pero hay mucho que corregir

Mayo 13, 2026

Puede que el «Patch Tuesday» de mayo no sea la gran actualización que muchos esperaban, pero sigue habiendo numerosas correcciones importantes que no deben pasarse por alto.

Noticias
Logotipo de Claude

Los resultados de búsqueda falsos sobre Claude atraen a Mac hacia el ataque ClickFix

Mayo 12, 2026

Los investigadores han descubierto una campaña de ClickFix que utiliza guías de configuración falsas de Claude para engañar a Mac y hacer que se infecten a sí mismos.

Artículos relacionados

Icono de colaborador

Colaboradores

Icono del Centro de Amenazas

Centro de amenazas

Icono Podcasts

Podcast

Icono del glosario

Glosario

Icono de estafa

Estafas