Deepfakes, marcas falsas y estafas a jubilados: el rastreador legal Keitaro se convirtió en la herramienta clave de los estafadores
Investigadores encuentran el núcleo de una red criminal global dentro de un software completamente legal.
Keitaro se utiliza desde hace tiempo como un rastreador publicitario, pero en los últimos años la plataforma se ha consolidado también en la infraestructura criminal. Inicialmente la herramienta se creó para los especialistas en marketing: el sistema ayuda a dirigir el tráfico, contabilizar conversiones y distribuir con flexibilidad a los visitantes por dispositivo, geografía, direcciones IP y fuentes de referencia. El problema es que ese mismo conjunto de funciones encaja perfectamente en esquemas fraudulentos. Si hace falta ocultar la cadena real de redirecciones, mostrar al revisor una página inocua y enviar a la víctima a otro sitio, el rastreador resuelve la tarea casi sin modificaciones.
Investigadores de Confiant e Infoblox decidieron analizar el abuso de Keitaro no como incidentes aislados, sino como una ecosistema completo. Para ese análisis las empresas contaban con fuentes diferentes pero bien complementarias. Confiant observa la cadena publicitaria desde el lado del cliente: creativos, redirecciones, ocultamiento y el momento en que la publicidad maliciosa realmente llega a la pantalla del usuario. Infoblox, a su vez, vigila el nivel DNS: el registro de dominios, la arquitectura de la infraestructura, el ciclo de vida de las campañas y cómo las amenazas se propagan vía spam, sitios hackeados y exploraciones web masivas. Juntos, ese panorama permite rastrear no solo el engaño en sí, sino también cómo se arma, se enmascara y se escala.
Los analistas estudiaron datos durante cuatro meses, desde el 1 de octubre de 2025, y obtuvieron el retrato de un sistema delictivo sostenido que opera a gran escala y apenas se oculta. Durante el periodo observado pasaron por esa infraestructura 15 500 dominios maliciosos. Unos 9 000 direcciones, según la estimación de los investigadores, fueron registradas específicamente para esas operaciones. El tráfico hacia esos sitios procedía simultáneamente de publicidad programática, spam, redes sociales y recursos web comprometidos. En todos los casos la cadena convergía en instancias de Keitaro, que podían mostrar una página “limpia” a quien pareciera un moderador, un investigador o un sistema automático de verificación.
El principal tipo de abuso fueron las estafas de inversión. En diferentes campañas se repetía casi la misma estructura: dominios generados automáticamente, formularios web uniformes para recopilar datos de contacto y noticias falsas o avales falsos destinados a generar confianza. Exteriormente esas páginas suelen imitar la estructura habitual de medios o publicaciones publicitarias, y en su interior se reducen a la misma tarea antigua: lograr que la víctima deje un número de teléfono, correo electrónico o datos para contacto posterior.
Una de las campañas más visibles que mencionan los investigadores se llama FaiKast. La operación promovía ofertas fraudulentas mediante videos deepfake disfrazados de noticiarios. En pantalla aparecían presentadores generados y, tras el clic, el usuario llegaba a réplicas casi exactas de sitios de medios reales. Entre los ejemplos se citan emisiones falsas de CBC, declaraciones inventadas atribuidas a figuras públicas reales y llamados urgentes a registrarse en plataformas criptográficas ficticias. La campaña no era genérica: los atacantes adaptaron contenido para Francia, Reino Unido, Canadá, Japón y Kazajistán. Es decir, se trataba de una preparación localizada orientada a mercados concretos.
Otra operación, denominada WickedWally, apuntó de forma más precisa a la audiencia y afectó sobre todo a personas mayores de Estados Unidos. En los cebos se mencionaban condonación de deudas de tarjetas, pagos por alimentos, beneficios de Medicare y compensaciones por gastos funerarios. Allí también se usaban videos deepfake presentados como reportajes y vinculados a noticias de actualidad. La lógica es sencilla: los estafadores toman noticias reales para generar sensación de urgencia y mezclan en ellas un supuesto programa de ayuda. Tras el clic, el usuario no aterrizaba solo en una página, sino en un chatbot falso que supuestamente verificaba la elegibilidad. Después la víctima era derivada a un centro de llamadas, donde se extraían datos personales y financieros.
La tercera estructura, FishSteaks, se ocultaba tras servicios recreativos. Los operadores se hacían pasar por marcas de consumo estadounidenses conocidas y lanzaban sorteos con cajas virtuales de premio, confeti virtual y páginas de aterrizaje en varios pasos. Esa arquitectura no existe por estética, sino para retener a la persona en el sitio y empujarla progresivamente hacia la acción deseada. Los investigadores destacan que al principio los materiales podían contener marcadores generados por IA, que antes del lanzamiento se sustituían por logotipos reales de marcas concretas. En algunas variantes relacionadas con soporte técnico falso, las pérdidas documentadas de víctimas individuales superaron los 40 000 dólares.
El papel clave de Keitaro en estas historias no es crear el contenido fraudulento, sino enrutar y filtrar. El rastreador permite decidir en tiempo real qué usuario verá la página falsa y cuál verá un sitio inocuo. Ese esquema es especialmente útil para el ocultamiento. El revisor que llega desde una dirección de centro de datos o desde un rango conocido de una plataforma de moderación recibe la versión limpia. Un usuario normal desde el país, el dispositivo y el canal publicitario objetivo, en cambio, entra en el embudo fraudulento. Por eso herramientas similares son apreciadas no solo por afiliados de publicidad, sino también por ciberdelincuentes.
Otra cuestión que los investigadores intentaron aclarar fue la propia empresa Apliteni, desarrolladora de Keitaro. La plataforma ha sido utilizada por grupos criminales durante más de diez años, por lo que resultaba lógico comprobar si el desarrollador hace la vista gorda ante los abusos evidentes y si el producto se ha convertido en una especie de rastreador a prueba de consecuencias: un servicio que de facto atiende al mercado criminal y no responde a las denuncias. Según los autores, desde agosto de 2025 transmitieron a Apliteni información sobre más de 100 dominios.
La compañía respondió a cada notificación y se desconectaron más de 10 cuentas vinculadas a los atacantes. En la correspondencia los investigadores también confirmaron que grandes operadores de campañas maliciosas, incluidos TA2726, utilizaron copias ilegales del rastreador. Esa conclusión es importante por dos razones. Primero, muestra que parte de los delincuentes no opera mediante el servicio oficial. Segundo, la reacción del proveedor crea al menos un canal operativo de coordinación entre el desarrollador y los investigadores.
Al mismo tiempo, los autores subrayan que incluso una respuesta rápida no resuelve el problema por completo. Los estafadores cambian dominios, creativos publicitarios y cadenas de redirección más rápido de lo que cualquier proceso de bloqueo puede reaccionar. Hoy cierran una plataforma y mañana aparece otra en su lugar. Pero la posibilidad de esa interacción ya es relevante, porque sin ella la industria queda completamente sola frente a una infraestructura que los atacantes usan como un conjunto de piezas.
El caso de Keitaro ilustra algo más incómodo. En la práctica, los ciberdelincuentes no siempre necesitan exploits raros o plataformas hechas a medida. Basta con tomar una herramienta legítima, fácil de desplegar en un hosting común, que enrute el tráfico con precisión y soporte ocultamiento a nivel lógico. A partir de ahí, la infraestructura publicitaria, el DNS, las páginas de noticias falsas, los centros de llamadas y los videos deepfake se ensamblan en una máquina delictiva operativa.