← Volver al Blog
Guía

Fraude SMS Pumping: Cómo Detectar y Frenar AIT (2026)

Fraude SMS Pumping: Cómo Detectarlo y Detener el AIT en 2026

Respuesta rápida: El SMS pumping — también llamado tráfico artificialmente inflado (AIT) — es un esquema de fraude en el que atacantes usan bots para generar miles de SMS (normalmente códigos de un solo uso) hacia rangos de números que controlan. Cobran una parte de la tarifa de terminación de cada mensaje, mientras tu empresa paga el coste completo. Se detiene con monitoreo de conversión OTP, límites de velocidad, controles geográficos y detección de bots.

Las pérdidas globales por fraude SMS alcanzarán los 71.000 millones de dólares en 2026, y el AIT es la categoría que más crece. Un ejemplo célebre: Twitter reportó pérdidas de unos 60 millones de dólares al año por SMS pumping antes de restringir el 2FA por SMS. Si tu producto envía códigos de verificación, eres un objetivo.

¿Qué Es el SMS Pumping?

El SMS pumping es una forma de fraude de reparto internacional de ingresos (IRSF) aplicada a la mensajería A2P. Los estafadores explotan cualquier formulario público que dispare un SMS — verificación de registro, 2FA de inicio de sesión, enlaces de "envíame la app" — y automatizan solicitudes hacia números en rangos donde reciben una parte de los ingresos de terminación.

La economía es simple: un SMS a un destino caro puede costar entre 0,10 y 0,50 dólares. Un bot puede solicitar miles de códigos por hora. Cada mensaje es tráfico real y facturable — solo que no sirve a ningún usuario.

¿Cómo Funciona el SMS Pumping?

El esquema sigue cuatro pasos:

  1. Adquisición del rango. El estafador se asocia con un operador móvil deshonesto o titular de un rango de números — normalmente en un país con tarifas de terminación altas — y acuerdan repartirse los ingresos por mensaje.
  2. Selección del objetivo. Buscan empresas con disparadores públicos de SMS: formularios de registro, flujos OTP de inicio de sesión, restablecimientos de contraseña, invitaciones de referidos.
  3. Automatización. Los bots envían miles de números del rango controlado, rotando IPs mediante proxies residenciales para evadir bloqueos básicos.
  4. Cobro. Los mensajes terminan en el rango controlado. Nadie los lee. El operador factura hacia arriba y el estafador cobra su parte.

Como cada mensaje se entrega técnicamente, el tráfico parece legítimo en las facturas — hasta que compruebas si los códigos se usaron alguna vez.

¿Cuáles Son las Señales de Alerta del SMS Pumping?

Vigila estas siete señales:

SeñalTráfico legítimoTráfico de pumping
Tasa de conversión OTP70–95% de códigos verificadosMenos del 20% verificados
Patrón de volumenSigue la actividad de usuariosPicos súbitos, ráfagas nocturnas
DestinosCoinciden con tu base de clientesPaíses caros sin usuarios
Patrones de númerosAleatorios, distribuidosBloques secuenciales o mismo prefijo
Comportamiento de sesiónFormulario a velocidad humanaEnvíos en menos de un segundo
Patrón de reintentosReenvíos ocasionalesMáximo de reenvíos en cada número
Diversidad de IPsMezcla geográfica normalConcentración de proxies/datacenters

La métrica más fiable es la tasa de conversión de verificación por país de destino. Calcúlala semanalmente: códigos verificados ÷ códigos enviados. Cualquier país por debajo del 30% merece investigación; por debajo del 10% es casi con seguridad fraude.

¿Cómo Prevenir el SMS Pumping? (9 Defensas)

  1. Limita la velocidad agresivamente. Restringe las solicitudes OTP por número de teléfono, por IP y por sesión — por ejemplo, 3 códigos por número por hora y 10 por IP al día.
  2. Aplica permisos geográficos. Mantén una lista blanca de códigos de país donde realmente operas. Rechaza todo lo demás en la capa de aplicación.
  3. Monitorea la conversión por destino. Genera alertas automáticas cuando la tasa de verificación de un país caiga por debajo de tu umbral.
  4. Añade fricción antibots antes del envío. Exige un CAPTCHA, prueba de trabajo o atestación de dispositivo antes de disparar cualquier SMS. Los desafíos invisibles frenan la mayoría de la automatización sin dañar a usuarios reales.
  5. Usa huella digital de dispositivo. Las IPs rotan barato con proxies residenciales; las huellas de dispositivo y navegador persisten y exponen a las botnets.
  6. Detecta ataques de números secuenciales. Marca ráfagas de solicitudes hacia números adyacentes del mismo rango — un patrón que los usuarios reales nunca producen.
  7. Retrasa y agrupa el tráfico sospechoso. Los bots necesitan entrega instantánea para confirmar que el esquema funciona. Un pequeño retraso en solicitudes sospechosas rompe su ciclo de retroalimentación con un coste de UX mínimo.
  8. Ofrece verificación alternativa. Enlaces por email, apps de autenticación, passkeys y autenticación silenciosa de red reducen tu dependencia del OTP por SMS como único canal.
  9. Negocia cláusulas antifraude con tu proveedor. Pide detección AIT en tiempo real, topes de gasto por país y cortacircuitos automáticos que pausen el tráfico ante anomalías.

¿Qué Hacer Durante un Ataque Activo?

Si descubres pumping en curso:

  1. Pausa de inmediato la entrega de SMS a los códigos de país afectados.
  2. Activa o endurece el CAPTCHA en todos los formularios que disparan SMS.
  3. Reduce los límites por número y por IP a valores mínimos.
  4. Exporta los registros del tráfico afectado — números, marcas de tiempo, IPs — para tu proveedor.
  5. Revisa el periodo de facturación y pregunta a tu proveedor por créditos AIT.

La mayoría de los ataques cesan en horas cuando los mensajes dejan de terminar: los ingresos del estafador dependen por completo de que sigas enviando.

Cómo Protege ViteMobile Contra el AIT

ViteMobile monitorea las tasas de conversión de verificación por destino en tiempo real, aplica controles de velocidad a nivel de red antes de que los mensajes lleguen a los operadores y te permite fijar topes de gasto por país que actúan como cortacircuitos automáticos. El tráfico sospechoso se marca en tu panel antes de convertirse en una sorpresa en la factura.

Puntos Clave

  • El SMS pumping (AIT) genera dinero a los estafadores con cada OTP falso que envía tu plataforma — las pérdidas globales por fraude SMS se proyectan en 71.000 millones de dólares en 2026.
  • La señal de detección más clara es la tasa de conversión OTP por país: por debajo del 20%, investiga ya.
  • Las mejores defensas son límites de velocidad, listas blancas de países, controles antibots previos al envío y monitoreo de conversión — desplegados juntos.
  • Los reembolsos son raros porque los mensajes realmente se entregaron. La prevención y las cláusulas contractuales antifraude son tu verdadera red de seguridad.

Preguntas Frecuentes

P: ¿Qué es el fraude de SMS pumping? R: El SMS pumping (tráfico artificialmente inflado o AIT) es un esquema donde estafadores usan bots para generar grandes volúmenes de SMS — normalmente códigos OTP — hacia rangos de números que controlan, cobrando parte de la tarifa de terminación mientras tu empresa paga el envío.

P: ¿Cómo sé si mi empresa está afectada? R: Revisa tu tasa de conversión OTP por país de destino. Si menos del 20–30% de los códigos enviados a un país se verifican, ese tráfico probablemente es artificial. Picos de volumen sin crecimiento de usuarios y ráfagas a números secuenciales lo confirman.

P: ¿Quién se beneficia del SMS pumping? R: El estafador y un cómplice en la cadena de entrega — normalmente un operador pequeño o titular de rango en un país con terminación cara — se reparten los ingresos por mensaje que paga tu empresa.

P: ¿Bloquear países detiene el SMS pumping? R: El geobloqueo es la solución individual más rápida y elimina la mayoría de las pérdidas si no tienes usuarios en destinos de riesgo. Combínalo con límites de velocidad y detección de bots, porque los ataques pueden trasladarse a países permitidos.

P: ¿Puedo recuperar el dinero del tráfico inflado? R: Normalmente no: los mensajes se entregaron y son facturables. Algunos contratos empresariales incluyen créditos o topes AIT; negocia estas protecciones antes de un incidente, no después.