Las técnicas de enmascaramiento de dominios se han consolidado como una pieza clave en la infraestructura de los ciberataques, al permitir que páginas maliciosas aparenten ser seguras y oculten su verdadera actividad entre tráfico web ordinario. Entre los cebos más frecuentes figuran falsas oportunidades de inversión vinculadas a la inteligencia artificial.
Infoblox Threat Intel, la unidad de inteligencia de seguridad de Infoblox, ha presentado junto a la firma Confiant una investigación sobre el uso abusivo de Keitaro, un rastreador empleado para medir el rendimiento de campañas de publicidad online. El análisis muestra cómo actores maliciosos han utilizado esta herramienta para encubrir estafas y distribuir malware, mientras mostraban contenido inofensivo a otros usuarios.
Según los datos recabados durante cuatro meses, los investigadores han identificado cerca de 15.500 dominios utilizados activamente como instancias maliciosas de Keitaro. A través de estas infraestructuras se han redirigido víctimas a sitios que alojaban fraudes de inversión y programas de robo de información, con tráfico procedente de webs comprometidas, spam, redes sociales y publicidad digital.
La investigación sostiene que el enmascaramiento de dominios, aplicado mediante sistemas de distribución de tráfico y kits específicos, forma ya parte de las operaciones delictivas en internet. Este mecanismo permite eludir restricciones publicitarias y de contenido, afinar la segmentación de las víctimas y añadir una capa de protección entre los propios ciberdelincuentes.
El informe también apunta que muchos de estos actores no desarrollan ya sus propias infraestructuras, sino que adquieren o piratean software comercial de rastreo para adaptarlo a sus fines. En ese esquema, Keitaro resulta útil tanto para profesionales del marketing que lo emplean de forma legítima como para quienes lo explotan de manera ilícita. Aunque la plataforma ya no admite integraciones con herramientas de cloaking, los atacantes siguen aprovechando algunas de sus funciones.
“Durante años, Keitaro ha aparecido en investigaciones puntuales, pero nadie se había detenido a analizar la verdadera magnitud del problema. Hemos descubierto que Keitaro aparecía con frecuencia en campañas maliciosas, pero la cuestión no gira en torno a Keitaro, es solo un elemento más de un ecosistema que los ciberdelincuentes utilizan para escalar y dirigir ataques a nivel mundial”, ha señalado Renée Burton, VP de Infoblox Threat Intel.
Entre las amenazas detectadas, las estafas relacionadas con supuestas inversiones en inteligencia artificial han ocupado un lugar destacado. Los investigadores han observado anuncios que promocionan tecnologías de trading automatizado y soluciones basadas en IA con promesas de rentabilidades elevadas, reforzadas en algunos casos con imágenes o vídeos manipulados mediante deepfakes. También han hallado indicios del uso de IA generativa para producir titulares, textos e imágenes a gran escala en páginas señuelo y piezas publicitarias.
La investigación conjunta ha combinado la visibilidad de Confiant sobre la cadena publicitaria con el análisis de Infoblox sobre la presencia de estas amenazas en el DNS, apoyado en el estudio de spam y contenido web. Esa aproximación ha permitido ampliar la comprensión del funcionamiento de este tipo de operaciones.
