Estafas de “Mystery Boxes” con Suscripciones Ocultas en Facebook Ads: Análisis Tecnico

Más de 200 sitios fraudulentos identificados hasta el momento, operando con patrones repetidos en diseño, hosting y mecanismos de cobro. Distribución principal vía Facebook Ads, con targeting masivo y tácticas de social engineering disfrazadas de ofertas atractivas.

---

? Modus operandi

Se promociona una mystery box con productos premium (teléfonos, zapatillas, relojes, etc.) a precios bajos. El usuario entra al sitio, simula comprar, y acepta —sin saberlo— una suscripción que ejecuta cargos periódicos.

Los cobros aparecen como:

• “VIP club”
• “Loyalty program”
• “Free trial”
• “Product protection”

Todo escondido en la letra chica, casi siempre en inglés. Los formularios de pago usan pasarelas poco conocidas y sin controles antifraude efectivos.

---

? Infraestructura

• Sitios montados sobre plantillas HTML idénticas
• Misma imagen de caja (PNG) con leves variaciones
• Códigos fuente clonados, estructura de cookies repetida
• Dominios con TLDs económicos: .fun, .store, .click, .top
• Registros con privacidad activa
• Hosting sobre CDNs permisivos o bulletproof

---

? Dirección común

Una constante:
Andrea Kalvou 13, Limassol, Chipre

Presente en +60 dominios. Coincide con registros en la base de datos de ICIJ (Offshore Leaks, Paradise Papers). No se identifica a los operadores, pero hay vínculos con campañas anteriores basadas en Chipre y Panamá.

---

? Distribución de la estafa

• Se usa Facebook Ads con cuentas legítimas (posiblemente robadas o alquiladas)
• Se reutilizan páginas antiguas que fueron renombradas
• Todo el contenido visual es imagen, sin texto HTML (evita detección por OCR)
• Las imágenes están alojadas en Google Drive / Dropbox públicos (facilita rotación sin tocar el anuncio original)

---

?️ Técnicas de evasión observadas

• Homograph spoofing en los dominios
• URLs acortadas con múltiples redirecciones
• Anuncios clonados con rotación cada 24 h
• Uso de session cloaking para mostrar contenido distinto a crawlers
• Configuraciones en Cloudflare para bloquear escaneos automáticos

---

? Impacto

• Usuarios individuales: robo de tarjeta y cargos recurrentes
• Cuentas corporativas afectadas (ej. tarjetas empresariales usadas para pagos menores en horario laboral)
• Al menos dos entidades financieras en LATAM detectaron movimientos asociados

---

✅ Recomendaciones técnicas

• ? Bloquear TLDs relacionados desde proxy/firewall
• ? Auditar tarjetas corporativas y definir límites en e-commerce
• ? Implementar detección HTTP/HTTPS hacia dominios sospechosos
• ? Entrenar al personal no técnico (la mayoría cae por falta de contexto, no descuido)
• ? Usar feeds de IOCs actualizados en correlación SIEM
• ? Analizar logs DNS/NAV al detectar actividad anómala

---

? IOCs & patrones

• ? Dirección física: Andrea Kalvou 13, Limassol, CY
• ? Dominios activos:
  • coolgiftshop[.]store
  • dailybox[.]fun
  • vipsurprise[.]shop
• ? Tags HTML sospechosos: <input name="vip_terms"> style="display:none" value="recurring"
• ?️ Imágenes alojadas en:
  • https://drive.google.com/uc?id=...
  • https://cdn.mystery-promo.com
• ? Tráfico observado:
  • Redirecciones típicas: l.facebook.com → bit[.]ly → sitio final

---

? Fuente primaria

? Bitdefender: Active Subscription Scam Campaigns Flooding the Internet

---

? Contexto y continuidad

Para análisis en curso se recomienda seguir la pista de dominios relacionados con esa dirección física. Se observó actividad en rotación diaria, con al menos 15 nuevos registros por semana (detectado vía passive DNS y feeds de amenazas).

Esto no es una campaña aislada. Es una operación estructurada y sostenida, con tráfico pago continuo, rotación de infraestructura y targeting en países con alta exposición en redes sociales.

La mecánica central es phishing emocional + scam financiero, con nivel técnico medio y ejecución sistemática.

---

? Comunidades

Si se detectan nuevas muestras o campañas similares, se recomienda compartir los IOCs entre equipos de threat intel o comunidades técnicas. Esto ayuda a mejorar los bloqueos, enriquecer reglas de detección y anticipar variantes.

? #CyberSecurity, ? #PhishingAlert, ? #SocialEngineering, ?️‍♂️ #OSINT, ? #FraudeDigital,
? #MysteryBoxScam, ? #ThreatIntelligence