Ago 2025
En el siglo XIII, durante las campañas de Gengis Kan y sus sucesores, el uso del arco compuesto mongol alcanzó su máximo esplendor. Permitía disparos potentes y precisos desde caballo a gran velocidad, otorgando a los mongoles una movilidad y un alcance inigualables. Esta ventaja tecnológica les dio una superioridad estratégica decisiva para forjar el mayor imperio terrestre de la historia.
Aproximadamente dos años atrás, en las primeras reuniones que tuvimos como equipo, exploramos diversas opciones para desarrollar líneas de investigación. Nuestro objetivo era conseguir resultados concretos, identificando un problema en el ámbito de la ciberseguridad —área en la que nos hemos desempeñado durante varios años en distintas especialidades— que afectará a todos por igual y estuviera ampliamente distribuido.
En ese contexto, nos dimos cuenta de que varios de nosotros habíamos recibido, desde hace tiempo, mensajes de texto con distintas versiones de estafas: Aduanas y el paquete retenido, Correos de Chile, Multas, Puntos de diversas compañías, entre muchas otras.
Al buscar información, primero en foros y luego en estadísticas oficiales, nos dimos cuenta de que la estafa vía SMS estaba entre las principales denuncias. Además, varios estudios la relacionaban con pérdidas millonarias en el sector financiero. siendo los datos de la tarjetas el objetivo final de los cibercriminales.
Ya teníamos una línea de investigación. Para la metodología, aplicamos una combinación de enfoques: exploratorio, descriptivo, correlacional y múltiples estudios de caso. En esta etapa, agradecemos a nuestros amig@s y clientes que nos compartieron sus mensajes de texto, con ejemplos como: "Tenemos un paquete retenido en la aduana", "Tienes una multa", o "Tienes 6.150 puntos que están por vencer".
La cantidad de información que recibimos se volvió inmanejable para un grupo reducido de personas. Era necesario automatizar el proceso para ordenar la información de tal forma que fuera fácil de analizar. Probamos con distintos lenguajes de programación y librerías, pero, en tiempos de inteligencia artificial, optamos por incorporar estas tecnologías para agilizar el proceso y optimizar los resultados.
Los primeros análisis mostraban que una parte importante de los mensajes seguía patrones repetitivos, mientras que otros utilizaban variaciones más sutiles. La redacción y el contenido eran prácticamente idénticos. Lo mismo ocurrió al analizar las URL incluidas en los mensajes: el patrón se repetía. Generalmente, se utilizaba un acortador que, tras varias redirecciones, conducía a un sitio web donde se solicitaban los datos de la tarjeta de crédito.
En ese momento, cuando ya contábamos con cierta evidencia, nos dimos cuenta de que una de las ideas con las que habíamos iniciado esta línea de investigación —el concepto de fraude artesanal— se quedaba corta para describir la magnitud y el nivel de organización detrás de estas estafas. Soporte técnico vía Telegram, canales de YouTube con tutoriales paso a paso y redes de distribución que abarcan más de 100 países forman parte de un ecosistema global diseñado para estafar a gran escala.
Por la magnitud del fraude, necesitábamos entender su distribución. Este método había logrado masificarse a gran escala, así que debíamos identificar de qué forma se propagaba, qué canales utiliza y cómo llega a potenciales víctimas en diferentes lugares. Fue entonces cuando pusimos el foco en las numeraciones desde las que se enviaban los mensajes de texto y, una vez más, encontramos un patrón. ¿Cómo era posible? Comprenderlo y obtener la información que nos diera alguna pista sobre esto fue uno de los mayores desafíos que enfrentamos como equipo. Sin embargo, la información finalmente apareció: la Subtel publica los bloques de numeración, lo que nos permitió realizar un mapeo entre las numeraciones y el origen de los SMS.
A partir de ahí, todo se centró en documentar la información, consolidar los hallazgos y establecer un registro claro de las evidencias que sustentan nuestra investigación. Enviamos el reporte al CSIRT (ahora ANCI), presentamos en varias conferencias, distintos medios publicaron la investigación y viajamos a México, donde confirmamos que enfrentaban el mismo problema, pero multiplicado por diez.
Una de las cosas más llamativas que encontramos, y que se hizo más evidente a medida que entendíamos cómo opera este fraude, fue la ausencia de una herramienta que permitiera detectar, centralizar y analizar este tipo de mensajes de forma efectiva.
Ante esto, la propuesta fue pasar de simplemente documentar el problema a desarrollar una solución concreta. La magnitud de la amenaza requería un enfoque innovador, capaz de procesar grandes volúmenes de datos, identificar patrones ocultos y anticipar nuevos ataques antes de que llegaran a las víctimas, incluyendo aquellos diseñados específicamente para evadir filtros y sistemas de detección. Así comenzó la siguiente etapa de nuestro trabajo: convertir la evidencia en una solución operativa y escalable.
NomoSpaiens es un sistema avanzado de detección de fraude por smishing, desarrollado por los laboratorios de I+D de Twoko, cuyo núcleo se basa en un modelo predictivo de inteligencia artificial implementado mediante redes neuronales multicapa (MLP). El modelo analiza varios parámetros, aplicando un sistema de scoring por componente para determinar el nivel de riesgo. Su arquitectura expone la funcionalidad a través de una API, lo que permite integrarlo en aplicaciones móviles, plataformas web o sistemas backend corporativos. Diseñado bajo el principio de privacidad por diseño, el sistema no almacena datos personales y garantiza que el procesamiento de información se realice únicamente de forma temporal, siendo así una solución escalable, segura y lista para entornos corporativos bajo acuerdos de confidencialidad (NDA).
Actualmente, el modelo se encuentra en producción e integrado en una aplicación móvil que alerta en tiempo real a los usuarios sobre posibles amenazas. En entornos de prueba y pilotos productivos, el sistema ha alcanzado una precisión general del 97% y un recall del 95% para la detección de Smishing, con tiempos de respuesta que oscilan entre los 390 y 450 milisegundos. Estas métricas reflejan no solo la efectividad del modelo para identificar campañas de smishing, sino también su capacidad de respuesta en entornos de alto volumen de consultas. El rendimiento validado y la naturaleza black-box del servicio garantizan que tanto usuarios finales como clientes corporativos puedan confiar en un sistema robusto, rápido y alineado con las mejores prácticas de seguridad y privacidad.
Copyright Twoko ® — Offensive Prevention