I+D · Twoko Labs

De la estafa masiva a la defensa en milisegundos

La historia de cómo una línea de investigación sobre SMS fraudulentos terminó convertida en NomoSpaiens: un sistema de detección de smishing basado en redes neuronales, en producción, con 97% de precisión y respuestas en menos de medio segundo.

Defensa en milisegundos: IA contra el smishing — Twoko I+D
Si tienes poco tiempo

De dónde viene y a dónde llegó

  1. Empezó como una investigación sobre la estafa por SMS, una de las principales denuncias en Chile y ligada a pérdidas millonarias.
  2. Al automatizar el análisis con IA, descubrimos que no era fraude artesanal sino un ecosistema global y organizado.
  3. Faltaba una herramienta para detectar y analizar estos mensajes en tiempo real. La construimos: NomoSpaiens.
  4. Hoy está en producción, con 97% de precisión, 95% de recall y respuestas en 390–450 ms, bajo privacidad por diseño.

El arco compuesto y la ventaja tecnológica

En el siglo XIII, durante las campañas de Gengis Kan y sus sucesores, el uso del arco compuesto mongol alcanzó su máximo esplendor. Permitía disparos potentes y precisos desde el caballo a gran velocidad, otorgando a los mongoles una movilidad y un alcance inigualables. Esa ventaja tecnológica les dio una superioridad estratégica decisiva para forjar el mayor imperio terrestre de la historia.

Aproximadamente dos años atrás, en las primeras reuniones que tuvimos como equipo, exploramos diversas opciones para desarrollar líneas de investigación. Nuestro objetivo era conseguir resultados concretos, identificando un problema en el ámbito de la ciberseguridad —área en la que nos hemos desempeñado durante varios años en distintas especialidades— que afectara a todos por igual y estuviera ampliamente distribuido.

En ese contexto, nos dimos cuenta de que varios de nosotros habíamos recibido, desde hacía tiempo, mensajes de texto con distintas versiones de estafas: Aduanas y el paquete retenido, Correos de Chile, multas, puntos de diversas compañías, entre muchas otras.

Tirando del hilo

Al buscar información, primero en foros y luego en estadísticas oficiales, nos dimos cuenta de que la estafa vía SMS estaba entre las principales denuncias. Además, varios estudios la relacionaban con pérdidas millonarias en el sector financiero, siendo los datos de las tarjetas el objetivo final de los cibercriminales.

Ya teníamos una línea de investigación. Para la metodología aplicamos una combinación de enfoques: exploratorio, descriptivo, correlacional y múltiples estudios de caso. En esta etapa agradecemos a nuestros amigos y clientes que nos compartieron sus mensajes de texto, con ejemplos como: "Tenemos un paquete retenido en la aduana", "Tienes una multa" o "Tienes 6.150 puntos que están por vencer".

La cantidad de información que recibimos se volvió inmanejable para un grupo reducido de personas. Era necesario automatizar el proceso para ordenar los datos de forma que fueran fáciles de analizar. Probamos con distintos lenguajes de programación y librerías pero, en tiempos de inteligencia artificial, optamos por incorporar estas tecnologías para agilizar el proceso y optimizar los resultados.

Los primeros análisis mostraban que una parte importante de los mensajes seguía patrones repetitivos, mientras que otros utilizaban variaciones más sutiles. La redacción y el contenido eran prácticamente idénticos. Lo mismo ocurrió al analizar las URLs incluidas en los mensajes: el patrón se repetía. Generalmente se utilizaba un acortador que, tras varias redirecciones, conducía a un sitio web donde se solicitaban los datos de la tarjeta de crédito.

El concepto de "fraude artesanal" con el que iniciamos esta investigación se quedaba corto para describir la magnitud y el nivel de organización detrás de estas estafas.

Soporte técnico vía Telegram, canales de YouTube con tutoriales paso a paso y redes de distribución que abarcan más de 100 países forman parte de un ecosistema global diseñado para estafar a gran escala.

Entender la distribución

Por la magnitud del fraude, necesitábamos entender su distribución. Este método había logrado masificarse a gran escala, así que debíamos identificar de qué forma se propagaba, qué canales utilizaba y cómo llegaba a potenciales víctimas en diferentes lugares.

Fue entonces cuando pusimos el foco en las numeraciones desde las que se enviaban los mensajes y, una vez más, encontramos un patrón. ¿Cómo era posible? Comprenderlo y obtener información que nos diera alguna pista fue uno de los mayores desafíos que enfrentamos como equipo. Sin embargo, la información finalmente apareció: la SUBTEL publica los bloques de numeración, lo que nos permitió realizar un mapeo entre las numeraciones y el origen de los SMS.

A partir de ahí, todo se centró en documentar la información, consolidar los hallazgos y establecer un registro claro de las evidencias que sustentan nuestra investigación. Enviamos el reporte al CSIRT (ahora ANCI), presentamos en varias conferencias, distintos medios publicaron la investigación y viajamos a México, donde confirmamos que enfrentaban el mismo problema, pero multiplicado por diez.

De documentar el problema a construir la solución

Una de las cosas más llamativas que encontramos, y que se hizo más evidente a medida que entendíamos cómo opera este fraude, fue la ausencia de una herramienta que permitiera detectar, centralizar y analizar este tipo de mensajes de forma efectiva.

Ante esto, la propuesta fue pasar de simplemente documentar el problema a desarrollar una solución concreta. La magnitud de la amenaza requería un enfoque innovador, capaz de procesar grandes volúmenes de datos, identificar patrones ocultos y anticipar nuevos ataques antes de que llegaran a las víctimas —incluyendo aquellos diseñados específicamente para evadir filtros y sistemas de detección. Así comenzó la siguiente etapa de nuestro trabajo: convertir la evidencia en una solución operativa y escalable.

NomoSpaiens: detección en milisegundos

NomoSpaiens es un sistema avanzado de detección de fraude por smishing, desarrollado por los laboratorios de I+D de Twoko, cuyo núcleo se basa en un modelo predictivo de inteligencia artificial implementado mediante redes neuronales multicapa (MLP). El modelo analiza varios parámetros, aplicando un sistema de scoring por componente para determinar el nivel de riesgo.

Su arquitectura expone la funcionalidad a través de una API, lo que permite integrarlo en aplicaciones móviles, plataformas web o sistemas backend corporativos. Diseñado bajo el principio de privacidad por diseño, el sistema no almacena datos personales y garantiza que el procesamiento de información se realice únicamente de forma temporal: una solución escalable, segura y lista para entornos corporativos bajo acuerdos de confidencialidad (NDA).

Actualmente el modelo se encuentra en producción e integrado en una aplicación móvil que alerta en tiempo real a los usuarios sobre posibles amenazas. En entornos de prueba y pilotos productivos, el sistema ha alcanzado estas métricas:

97%
Precisión general en detección de smishing
95%
Recall en la identificación de campañas
390–450 ms
Tiempo de respuesta por consulta

Estas métricas reflejan no sólo la efectividad del modelo para identificar campañas de smishing, sino también su capacidad de respuesta en entornos de alto volumen de consultas. El rendimiento validado y la naturaleza black-box del servicio garantizan que tanto usuarios finales como clientes corporativos puedan confiar en un sistema robusto, rápido y alineado con las mejores prácticas de seguridad y privacidad.

¿Quieres blindar el eslabón móvil de tu empresa?

NomoSpaiens detecta smishing en milisegundos vía API, listo para integrarse en tu app o backend. Trabajamos con bancos, fintechs y retail bajo NDA.

Hablar con un especialista ofensivo

Copyright Twoko ® — Offensive Prevention