Una plataforma de phishing que robó 884.000 tarjetas de crédito utilizando inteligencia artificial

Una operación global de phishing ingeniosa y sofisticada ha logrado robar millones de datos bancarios, utilizando inteligencia artificial y técnicas avanzadas de engaño.

Una poderosa plataforma de phishing llamada Darcula ha logrado robar 884.000 tarjetas de crédito tras más de 13 millones de clics en enlaces maliciosos enviados por mensajes de texto durante siete meses entre 2023 y 2024. La operación, coordinada por investigadores de organizaciones como NRK, Bayerischer Rundfunk, Le Monde y la firma noruega Mnemonic, involucra a unos 600 operadores distribuidos en distintos países y cuenta con un creador principal del sistema.

Darcula se ha establecido como un servicio de phishing (PhaaS, por sus siglas en inglés) que apunta a usuarios de Android y iPhone en más de 100 países, utilizando aproximadamente 20.000 dominios que imitan marcas conocidas para engañar y robar credenciales. Los mensajes maliciosos suelen simular notificaciones de multas de tránsito o alertas de envío de paquetes, incluyendo enlaces a sitios falsos diseñados para captar información personal y financiera.

Una de las innovaciones más destacadas de Darcula, detectada en febrero de 2025, es su capacidad para utilizar RCS e iMessage en lugar de SMS tradicionales, lo que aumentó la efectividad de los ataques. Además, permite a los operadores generar kits de phishing personalizados para cualquier marca, integrando funciones de sigilo, un conversor de tarjetas de crédito a tarjetas virtuales y un panel de administración simplificado. En abril de ese mismo año, se incorporó inteligencia artificial generativa, que permite crear estafas en cualquier idioma y tema, facilitando campañas altamente personalizadas y efectivas a escala global.

El análisis detallado llevado a cabo por los investigadores reveló que la infraestructura está respaldada por una potente herramienta denominada «Magic Cat», vinculada a un joven de 24 años de Henan, China. Este individuo, asociado a una empresa dedicada a la creación de software, negó estar involucrado en actividades fraudulentas y aseguró que solo venden programas para el desarrollo de sitios web. Sin embargo, las investigaciones mostraron que la operación funciona a través de grupos cerrados en Telegram, donde se comparte hardware especializado, como granjas de SIM y módems, utilizados para enviar campañas masivas de mensajes y gestionar las tarjetas robadas.

El equipo de investigadores también identificó evidencia que vincula la infraestructura con un perfil en GitHub y a diversos actores en China, evidenciando una organización estructurada con roles específicos en la ejecución del fraude. No se trata solo de un grupo de delincuentes independientes, sino de una red organizada con capacidades significativas para evadir detecciones, especialmente mediante técnicas como DNS-over-HTTPS para esconder sus actividades.

Las autoridades y las compañías de ciberseguridad continúan monitoreando y enfrentándose a esta amenaza, que ejemplifica cómo la tecnología y la organización criminal se combinan para unificar esquemas sofisticados de fraude digital a nivel mundial. La creciente incorporación de inteligencia artificial en estos sistemas hace prever que las futuras campañas serán aún más difíciles de detectar y neutralizar, subrayando la necesidad de fortalecer las medidas de seguridad en las plataformas digitales y comunicar continuamente las mejores prácticas para protegerse contra estos ataques.