Una investigación conjunta de Infoblox Threat Intel y Confiant expone una práctica cada vez más extendida en el cibercrimen: el uso de herramientas legítimas de marketing digital para encubrir operaciones maliciosas a gran escala.
El estudio identifica más de 15.500 dominios asociados a campañas que utilizan Keitaro Tracker, una plataforma comercial de seguimiento publicitario, para ocultar estafas de inversión (muchas de ellas vinculadas a inteligencia artificial) y distribuir malware bajo una apariencia legítima.
Cloaking: el arma silenciosa del cibercrimen
El informe confirma que el cloaking (ocultamiento) se ha convertido en una pieza central de las operaciones cibercriminales modernas.
Esta técnica permite mostrar contenido inofensivo a sistemas de detección o moderación, mientras que las víctimas reales son redirigidas hacia sitios fraudulentos.
En este caso, los atacantes utilizan Keitaro como sistema de distribución de tráfico (TDS), aprovechando su capacidad para segmentar audiencias y redirigir usuarios según múltiples variables.
El resultado:
- Usuarios comunes ven páginas aparentemente normales
- Víctimas específicas son dirigidas a estafas o malware
- Plataformas de seguridad tienen más dificultades para detectar el ataque
Un modelo criminal que escala rápido
Uno de los hallazgos más relevantes es el cambio de estrategia de los atacantes: en lugar de desarrollar su propia infraestructura, ahora reutilizan herramientas comerciales existentes.
Keitaro, diseñado para marketers, ofrece:
- Implementación sencilla
- Segmentación avanzada
- Alta capacidad de redirección
Eso lo convierte en una solución “lista para usar” también para actores maliciosos.
“Lo que estamos viendo no es solo el abuso de una herramienta, sino un ecosistema completo que permite escalar ataques a nivel global”, explicó Renée Burton, VP de threat intel en Infoblox.
La IA como gancho para estafas
Dentro de este esquema, las estafas de inversión basadas en inteligencia artificial son la categoría dominante.
Los ciberdelincuentes utilizan:
- Promesas de “trading automatizado con IA”
- Rendimientos extraordinarios
- Deepfakes para generar credibilidad
- Contenido generado automáticamente para escalar campañas
Además, el informe detecta el uso de IA generativa para producir en masa:
- Titulares
- Landing pages
- Imágenes y videos
Esto reduce costos, acelera la ejecución y aumenta el volumen de ataques.
Un ecosistema más grande de lo que parece
La investigación combinó dos enfoques clave:
- Confiant: análisis de la cadena publicitaria
- Infoblox: monitoreo de DNS, spam y tráfico web
Esta combinación permitió mapear un ecosema mucho más amplio de lo que se creía, donde múltiples actores operan simultáneamente utilizando herramientas compartidas.
El problema no es la herramienta, sino su uso
Los investigadores remarcan un punto clave: Keitaro no fue diseñado para actividades maliciosas, pero su arquitectura lo hace fácilmente explotable.
Incluso tras restricciones en sus integraciones de cloaking, los actores de amenazas continúan abusando de sus funcionalidades.
La conclusión es clara: el cibercrimen ya no depende exclusivamente de herramientas ilegales. Cada vez más, se apoya en software legítimo para operar con mayor eficiencia, anonimato y escala.
