Cada minuto, miles de mensajes de texto viajan de un teléfono a otro. Algunos traen noticias de amigos o alertas de compras, pero otros esconden trampas diseñadas para vaciar cuentas bancarias. Una de las más sofisticadas y peligrosas recientes es Darcula PhaaS, una plataforma de Phishing-as-a-Service que permitió a ciberdelincuentes robar 884,000 tarjetas de crédito tras generar más de 13 millones de clics en enlaces maliciosos enviados por SMS a víctimas de todo el mundo.
El fraude se extendió durante siete meses entre 2023 y 2024, aunque esa cifra apenas refleja el daño total causado por esta red criminal, que reunió a más de 600 operadores y fue desarrollada y distribuida por un único creador principal. Comprender cómo operan estas amenazas no solo es importante: es esencial para proteger tu información financiera y mantenerte un paso adelante frente a los delincuentes digitales.
Darcula no es solo otro fraude más en internet. Es una plataforma de Phishing-as-a-Service que ha crecido a una velocidad impresionante. Ataca tanto a usuarios de Android como de iPhone en más de 100 países y usa unos 20,000 dominios que se hacen pasar por marcas muy conocidas para robar las credenciales de las cuentas de las personas.
Los mensajes que envía suelen parecer muy legítimos. Normalmente fingen ser multas de peaje o avisos de entrega de paquetes, e incluyen enlaces que llevan a sitios web falsos diseñados para robar información personal.
Netcraft (los primeros en dar la voz de alarma en marzo de 2024) explicó que Darcula destacaba porque, a diferencia de otros fraudes, no solo usaba SMS. También podía aprovechar RCS e iMessage, lo que hacía que sus estafas fueran más creíbles y efectivas.
En febrero de 2025, los mismos expertos notaron que Darcula había evolucionado bastante. Ahora permitía a los atacantes crear automáticamente kits de phishing para cualquier marca, incorporaba nuevas funciones ocultas y hasta tenía un sistema que convertía tarjetas de crédito robadas en tarjetas virtuales. Todo esto gestionado desde un panel de control muy fácil de usar.
Y por si fuera poco, en abril de 2025, se descubrió que Darcula había dado otro gran salto: integró IA generativa. Esto permitió a los ciberdelincuentes crear estafas personalizadas con ayuda de herramientas de lenguaje (LLM), en cualquier idioma y sobre cualquier tema. En otras palabras, Darcula se volvió más inteligente y mucho más peligroso.
Teléfonos de operador cargados con tarjetas robadas (Fuente: Mnemonic)
Conoce más sobre: El Peligroso Mundo del Smishing: Conoce sobre esta Amenaza
Los investigadores que lograron meterse hasta el fondo de Darcula hicieron un trabajo impresionante. Al desarmar su infraestructura de phishing, descubrieron una poderosa herramienta llamada "Magic Cat", que básicamente es el corazón de toda la operación.
Pero no se quedaron ahí. También lograron infiltrarse en uno de los grupos privados de Telegram donde se coordinaba todo. Allí encontraron fotos de granjas de SIM, módems y hasta pruebas de que los estafadores estaban usando el dinero robado para financiar estilos de vida de lujo.
Usando técnicas de OSINT (investigación de fuentes abiertas) y analizando registros de DNS pasivo, los expertos siguieron el rastro digital hasta dar con un joven de 24 años, de Henan, China. Este individuo estaba vinculado a una empresa que, según los hallazgos, desarrolló el famoso Magic Cat.
Cuando se les preguntó al respecto, la empresa admitió que Magic Cat se estaba usando para phishing y prometieron eliminarlo. Pero poco después, apareció una versión nueva. También afirmaron que el joven en cuestión, llamado Yucheng, había trabajado con ellos, pero negaron cualquier relación con las estafas, diciendo que solo vendían "software para crear sitios web".
Por otro lado, los investigadores identificaron a unos 600 estafadores individuales que usaban Darcula para robar datos de tarjetas de crédito en todo el mundo. De hecho, lograron capturar información de 884,000 tarjetas.
Estos delincuentes no operaban solos. Estaban organizados en grupos cerrados de Telegram, donde se comunicaban mayormente en chino y manejaban granjas de SIM y hardware especializado para enviar mensajes masivos y procesar tarjetas robadas.
Entre ellos destacaba un usuario conocido como 'x66/Kris', que operaba desde Tailandia y parecía estar bastante alto en la jerarquía de Darcula debido al enorme volumen de tráfico malicioso que gestionaba. Todo lo que los investigadores encontraron fue compartido con las autoridades para ayudar en las acciones legales contra los responsables.
Esta plataforma de phishing también ha dado un gran salto en su evolución: ahora usa inteligencia artificial para crear páginas falsas en varios idiomas, de manera rápida y casi sin esfuerzo.
A principios de 2025, Darcula lanzó su versión 3 con un nuevo panel de control y hasta una aplicación de escritorio. Esto hizo que poner en marcha campañas de phishing fuera más fácil que nunca. Pero la verdadera revolución llegó con la última actualización: Darcula-Suite. Con esta nueva versión, los ciberdelincuentes ahora pueden:
Clonar automáticamente el diseño de cualquier sitio web.
Personalizar formularios de phishing en cualquier idioma.
Traducir páginas completas sin perder el formato original.
Crear sitios falsos sin necesidad de saber programar ni diseñar.
Básicamente, cualquier persona (aunque no tenga conocimientos técnicos) puede usar Darcula-Suite para lanzar estafas online muy elaboradas y adaptadas al idioma y la cultura de sus víctimas. Esto ha reducido muchísimo la dificultad de crear campañas de phishing sofisticadas, permitiendo que más estafadores participen en estas actividades.
Aunque los hackers cada vez se vuelven más creativos, hay varias cosas sencillas que puedes hacer para no caer en la trampa:
Desconfía de los mensajes raros: Si recibes un SMS que te pide datos personales o de pago, sospecha siempre. Incluso si parece que viene de tu banco o de una empresa conocida.
No hagas clic en enlaces dudosos: Si un mensaje te manda un enlace, no lo abras. Es mejor ir directamente al sitio web oficial escribiendo la dirección en tu navegador.
Activa la verificación en dos pasos: Pon la autenticación de dos factores en todas tus cuentas importantes. Así, aunque alguien consiga tu contraseña, no podrá entrar fácilmente.
Mantén tu teléfono actualizado: Actualiza siempre el sistema y las apps. Muchas veces esas actualizaciones corrigen fallos de seguridad que los delincuentes podrían aprovechar.
Usa un buen antivirus o antimalware: Instala una app de seguridad confiable en tu móvil. Es una capa extra de protección que nunca está de más.