¿Te llegó un SMS sobre "bonos que caducan"? Acaban de intentar estafarte: nueva estafa Smishing Error524
Estafadores procedentes de 72 países engañaron a miles haciéndose pasar por un sitio web fuera de servicio.
Los estafadores encontraron una manera sencilla de ocultar sitios falsos a ojos ajenos: en lugar de la página que roba datos, mostraban un error común de Cloudflare. Los especialistas de Group-IB revelaron la gran operación Smishing Error524, en el marco de la cual los delincuentes se hicieron pasar por más de 260 marcas en 72 países. La campaña estuvo activa desde la segunda mitad de 2025 y afectó a América Latina, Europa, la región de Asia y el Pacífico y Norteamérica. En total, los especialistas encontraron 4389 dominios de phishing vinculados a un mismo esquema.
El principal objetivo fueron los usuarios de dispositivos móviles. A las víctimas se les enviaban SMS en nombre de empresas conocidas, bancos, operadores de telecomunicaciones y programas de fidelidad. En los mensajes prometían bonificaciones, advertían sobre la caducidad de puntos o pedían confirmar una entrega. El enlace conducía a un sitio falso, pero la página no se abría para todos.
Si el visitante no accedía desde el país requerido, no lo hacía desde un teléfono o no tenía los parámetros de sesión necesarios, el sitio mostraba una falsa página de error de Cloudflare. Con mayor frecuencia, los delincuentes usaban la pantalla con el código Error 524. Para los escáneres automáticos, los proveedores de alojamiento y los especialistas en seguridad, ese dominio parecía un sitio caído o mal configurado.
Si la víctima cumplía las condiciones, se abría la verdadera página de phishing. Primero el sitio pedía el número de identificación nacional y luego mostraba una «oferta» personalizada en nombre de la marca. Después solicitaba nombre, dirección, correo electrónico, número de teléfono y los datos de la tarjeta bancaria, incluida la fecha de expiración y el CVV.
La información robada llegaba a los delincuentes en tiempo real a través de canales WebSocket cifrados. Cuando la víctima enviaba los datos, era redirigida al sitio real de la marca para que la persona no se diera cuenta de inmediato de que había sido víctima del fraude. Group-IB detectó la mayor cantidad de dominios en México: 1851. Le siguen Chile con 529 dominios y Colombia con 258 dominios. Por sectores, lideran los operadores de telecomunicaciones, con 1754 dominios. A continuación aparecen las organizaciones financieras y los programas de bonificación para consumidores.
La infraestructura de la campaña también se organizó para dificultar el bloqueo. Alrededor del 30% de los sitios de phishing se alojaban en servidores de Tencent Cloud y Alibaba, y Cloudflare se usaba como capa intermedia para ocultar las direcciones reales. Los dominios se registraban masivamente en zonas baratas como .ink, .top, .bond, .click, .icu, .vip y .cyou.
Según la estimación de Group-IB, Smishing Error524 muestra cuán maduros se han vuelto los servicios de phishing modernos. Los delincuentes ya no se limitan a copiar las páginas de marcas conocidas; filtran a los visitantes, ocultan el código malicioso de las comprobaciones y transmiten los datos robados casi de forma instantánea. Para los usuarios, el principio de protección principal sigue siendo el mismo: no seguir enlaces de SMS y no introducir los datos de la tarjeta en páginas abiertas desde mensajes.