A simple vista parece un juego normal, pero en su interior es un casino clandestino: te contamos cómo el sistema Keitaro suplanta hábilmente sitios web.

Una herramienta de seguimiento de publicidad, concebida como un asistente de marketing habitual, se ha convertido en un arma útil para los ciberdelincuentes. Se trata de Keitaro Tracker – un sistema a través del cual los atacantes gestionan el tráfico masivamente, ocultan sitios maliciosos y engañan a los usuarios.

Los especialistas de Infoblox y Confiant completaron una serie de análisis sobre los abusos de Keitaro y examinaron el problema en un sentido más amplio – no a través de ataques aislados, sino de todo el ecosistema. El panorama resultó ilustrativo: el servicio se utiliza en spam, publicidad maliciosa y esquemas de fraude, y lo hace a escala bastante industrial.

En cuatro meses – desde octubre de 2025 hasta enero de 2026 – se registraron alrededor de 226.000 consultas DNS relacionadas con la infraestructura de Keitaro y aproximadamente 13.500 dominios. En el mismo periodo los atacantes registraron más de 8.000 dominios nuevos para esas operaciones. La actividad coincidía con frecuencia con promociones de los registradores: por ejemplo, en octubre y noviembre los participantes de los esquemas adquirieron masivamente dominios económicos durante las rebajas.

Keitaro se utiliza como sistema de distribución de tráfico. La plataforma permite decidir adónde enviar al usuario según múltiples parámetros – país, dispositivo, navegador e incluso idioma. En un caso, el operador enviaba a los visitantes 'no deseados' a un sitio inofensivo de un juego móvil, mientras que la audiencia objetivo era dirigida a un casino en línea. Con mayor frecuencia en la selección figuraban usuarios de Android en Alemania y propietarios de ordenadores con Windows en Estados Unidos y Suiza.

Las campañas de correo resultaron aún mayores. El análisis mostró más de 120 campañas separadas en las que Keitaro servía para distribuir enlaces. Cerca del 96% de esos mensajes dirigían a esquemas de robo de criptomonedas. A los usuarios se les ofrecían 'repartos' de tokens AURA y SOL, servicios falsos de monedero Phantom o plataformas de Jupiter. Además, aparecían ofertas de empleo, notificaciones falsas sobre suscripciones a Spotify y Netflix, así como correos sobre la renovación de Amazon Prime en japonés.

En las redes publicitarias la situación no es mejor. Mediante el análisis de cientos de millones de impresiones se identificaron casi 2.000 dominios con Keitaro implicados en publicidad maliciosa. Esas campañas aparecen y desaparecen con regularidad, cambiando la infraestructura rápidamente.

La popularidad de Keitaro se explica por sus capacidades. El servicio puede enrutar el tráfico de forma flexible, reemplazar el contenido de las páginas y ocultar la carga maliciosa. Los atacantes emplean filtros y scripts integrados para mostrar a quienes realizan comprobaciones una versión 'limpia' del sitio, mientras que a las víctimas reales les muestran contenido malicioso. Para reforzar el camuflaje conectan herramientas de terceros como HideClick y Adspect, que filtran bots, proxies y sistemas de verificación.

También hay técnicas menos evidentes. Por ejemplo, mediante JavaScript integrado se puede cambiar el contenido de la página sin un redireccionamiento explícito. La dirección en el navegador permanece igual, pero el usuario ya ve una interfaz falsificada o una página de descarga de un archivo malicioso.

Llamaron especialmente la atención las cookies que Keitaro instala en el navegador. Durante mucho tiempo se consideró que esas marcas eran únicas para cada campaña, pero el análisis mostró coincidencias entre distintos grupos. En varios casos los mismos valores fueron usados tanto por operadores de software malicioso como por participantes de esquemas publicitarios. A veces la causa es accidental, pero con frecuencia se trata de copias pirateadas o ilegales de Keitaro.

Esas versiones 'pirateadas' se distribuyen activamente en foros como UCRACK y NullSEO. Los usuarios descargan compilaciones ya activadas y evitan la comprobación de la licencia. Generalmente se trata de las versiones 7–9, pero las discusiones muestran una alta demanda también de lanzamientos más recientes.

En el marco de la interacción con los desarrolladores de Keitaro se descubrió que parte de los grupos conocidos, incluidos TA2726 y TA576, probablemente usan ese tipo de copias ilegales. Al mismo tiempo, en ocasiones junto a la infraestructura maliciosa se hallaban licencias legales vinculadas a programas habituales de afiliados, lo que complica aún más el panorama.

En los últimos meses los desarrolladores del servicio han cambiado su enfoque hacia las denuncias. En lugar de comunicarse por mensajería, se creó un canal de correo específico, y actualizaron las normas de respuesta. Durante la investigación los especialistas remitieron más de un centenar de dominios y, como resultado, cerraron más de una decena de cuentas. La mayoría de los atacantes no regresaron tras el bloqueo.

No obstante, el propio modelo para combatir estos esquemas sigue siendo problemático. Mientras algunos recopilan pruebas y envían denuncias, otros registran decenas de nuevos dominios. En consecuencia, el enfrentamiento se parece cada vez más a una carrera de desgaste de recursos.