Nueva investigación de Infoblox Threat Intel

Ciudad de México, mayo de 2025

De los anuncios en Facebook a las noticias falsas: Dentro del mundo de los actores de estafas de inversión

5.700 millones de dólares: esa es la cantidad que los consumidores en Estados Unidos reportaron haber perdido en estafas de inversión en 2024. ¿La dolorosa ironía? Las víctimas no estaban siendo imprudentes: buscaban crear seguridad financiera y una red de protección para el futuro. En cambio, fueron manipuladas, estafadas y quedaron aún más vulnerables que antes.

Una nueva investigación de InfobloxAmenaza Intel arroja luz sobre dos actores detrás de estas estafas de inversión: RecklessConejo y DespiadadoConejo .

Ambos utilizan algoritmos de generación de dominios registrados (RDGA) para escalar sus campañas maliciosas y atraer a las víctimas utilizando nombres conocidos que inspiran confianza.

Enfoque sobre Reckless Rabbit y Ruthless Rabbit

Conejo imprudente

Imprudente Rabbit es un actor de amenazas que utiliza anuncios en Facebook para promover plataformas de inversión falsas. Recurre a supuestas recomendaciones de celebridades y crea millas de dominios para evadir la detección.

Anuncios maliciosos en Facebook : Utiliza anuncios falsos que presentan celebridades como avales de la supuesta inversión, lo que da credibilidad a la estafa.

Respuestas de DNS comodín: Configure sus dominios para que cualquier subdominio consultado devuelva una respuesta válida. Esto genera ruido en el DNS y complica la identificación de los subdominios reales usados para estafar.

Alcance global: Ataca a víctimas en Múltiples países, adaptando el contenido a cada región para aumentar su efectividad.

Implacable Conejo

Este actor de amenazas opera su propio servicio de encubrimiento ( cloaking ) para validar a los usuarios antes de mostrar contenido malicioso. Su enfoque está en Europa del Este, donde reemplaza sitios de noticias locales o marcas conocidas como WhatsApp o Meta.

Servicio de encubrimiento: Filtra el tráfico no deseado para evitar ser detectado, mostrando las páginas solo a víctimas potenciales.

Sitios de noticias falsificadas: Clona sitios de noticias reales o marcas populares para atraer la atención de los usuarios y engañarlos.

URLs dinámicas: Modifica constantemente las rutas de sus sitios de estafa para dificultar su rastreo.

El Factor Clave: Caos y Confianza

El éxito de estas estafas de inversión se basa en dos elementos fundamentales: el caos y la confianza.

En tiempos caóticos, muchas personas buscan obtener ingresos rápidos. Los ciberdelincuentes explotan esta necesidad creando urgencia y temor a perder una supuesta oportunidad. A la vez, manipulan la confianza al utilizar fuentes conocidas —como celebridades o medios informativos populares— para hacer que sus fraudes parezcan legítimos.

Conclusión

El hecho de que estos actores dependan del abuso del DNS en sus campañas masivas y sofisticadas permite a los defensores utilizar este mismo vector como pilar fundamental de ciberseguridad. A través del análisis del DNS, los investigadores de Infoblox pueden detectar de forma automatizada y correlacionar estos dominios de estafa a gran escala.

Los usuarios deben extremar precauciones al invertir en cualquier proyecto o plataforma. Es crucial verificar los dominios a través de motores de búsqueda confiables para asegurarse de que no son falsificaciones. Además, cualquier contenido que mencione patrocinio de celebridades o figuras deportivas debe analizarse con escepticismo, ya que la IA puede haber generado esas afirmaciones.

¿Qué pueden hacer las organizaciones?

Aquellas que implementan servicios de protector DNS respaldados por inteligencia de amenazas sólidas pueden proteger a sus usuarios bloqueando el acceso a sitios fraudulentos y plataformas falsas desde el principio.

Acerca de los RDGAs

Los RDGA (algoritmos de generación de dominios registrados) son una evolución de los DGA tradicionales usados por ciberdelincuentes. Permiten generar enormes cantidades de dominios maliciosos para actividades como malware, phishing, spam, estafas, juegos ilegales, redes de distribución de tráfico (TDS), VPNs y publicidad engañosa. Al registrar todos estos dominios, se vuelve muy difícil bloquearlos mediante métodos convencionales, lo que obliga a adoptar soluciones de detección avanzada para mantenerse al día frente a amenazas cambiantes.

Los “Conejos” de Infoblox

El equipo de Infoblox Amenaza Intel denomina “conejos” a los actores que usan RDGA. A diferencia de las DGA tradicionales, en este caso todos los dominios generados se registran efectivamente y pueden ser utilizados en actividades como estafas, phishing, spam o malware.

Gracias a la visibilidad DNS, la inteligencia automatizada y el enfoque proactivo de Infoblox, es posible frenar estas campañas antes de que causen daño.