Fraude de SMS pumping (AIT): qué es y cómo detenerlo en 2026
¿Qué es el fraude de SMS pumping?
El SMS pumping —también conocido como tráfico artificialmente inflado (AIT) o fraude de peaje SMS— es un esquema en el que atacantes usan bots para disparar volúmenes masivos de mensajes de texto desde tu aplicación hacia números de los que sacan provecho. El objetivo típico es tu formulario de OTP o de «envíame el enlace por SMS»: envía un mensaje al instante, sin autenticación, a cualquier número que un visitante introduzca. Cada mensaje entregado genera ingresos de terminación para un operador o dueño de rango cómplice, que reparte una parte con el estafador.
La economía es brutal para la víctima. Una campaña de pumping puede multiplicar tu gasto mensual en SMS de 5 a 50 veces en horas, y a menos que vigiles las métricas correctas, la primera señal es la factura. Las estimaciones del sector sitúan las pérdidas por AIT en miles de millones de dólares al año, y para 2026 el fraude se ha expandido más allá del OTP hacia invitaciones de referidos, enlaces de descarga y formularios de encuestas — cualquier endpoint público que envíe un SMS.
¿Cómo funciona un ataque de SMS pumping?
- El atacante consigue un rango de números. Se asocia con un operador móvil corrupto, un OMV o un revendedor que controla bloques de números de tarificación especial o con tarifas de terminación altas — normalmente en países con SMS entrante caro.
- Encuentra tu disparador. Cualquier formulario no autenticado que envíe un texto: OTP de registro, 2FA de inicio de sesión, «envíame el enlace», invitación de referidos.
- Los bots envían números a escala. Los scripts recorren el rango del atacante —a menudo secuencialmente— solicitando miles de mensajes por hora, con frecuencia de noche o en fin de semana.
- El dinero fluye. Tu pasarela entrega los mensajes; el operador de terminación cobra las tarifas; el estafador recibe su parte. Nadie introduce jamás un código de verificación.
- Te llega la factura. Con costos de $0.05–$0.30 por mensaje en los corredores objetivo, 100 000 solicitudes falsas pueden quemar cinco cifras antes del lunes.
¿Cómo se detecta el SMS pumping?
Cuatro métricas exponen un ataque a tiempo. Ponlas todas en un panel con alertas — nuestra guía de monitorización de entregabilidad cubre las herramientas:
| Señal | Saludable | Bajo ataque |
|---|---|---|
| Relación envío-verificación | 70–95 % verificado | Bajo el 40 %, a menudo cerca del 0 % en los corredores afectados |
| Solicitudes por país por hora | Estable, acorde a tu base de usuarios | Picos repentinos hacia países sin usuarios |
| Números únicos por IP / dispositivo | ~1 | De docenas a miles |
| Costo por verificación exitosa | Línea base estable | Subida brusca con registros planos |
Indicadores adicionales casi seguros:
- Patrones de números secuenciales: +263 71 000 0001, 0002, 0003…
- Tasa de verificación de cero para todo un rango de números u operador
- Tráfico insensible a la latencia: los usuarios reales reintentan cuando los códigos tardan; los bots no
- Ráfagas fuera de horario que no coinciden con la curva de uso de tu producto
¿Cómo se previene el SMS pumping?
Ningún control por sí solo detiene el AIT; el objetivo es apilar capas baratas hasta matar el ROI del atacante. Recorre esta checklist:
- Geopermisos (máximo impacto, mínimo esfuerzo). Permite SMS solo hacia países donde realmente tienes usuarios. La mayoría de los negocios pueden bloquear el 80 % de los corredores de alto riesgo del mundo sin impacto alguno en los usuarios. Revisa la lista trimestralmente.
- Limita la tasa en todas partes. Por número de teléfono (máx. 3 códigos / 15 min), por IP, por huella de dispositivo y por sesión. Añade retroceso exponencial a los botones de reenvío.
- Detección de bots antes de enviar. Un CAPTCHA invisible o un desafío de prueba de trabajo en el formulario de OTP filtra las solicitudes automatizadas sin añadir fricción a los humanos.
- Bloquea los tipos de números de alto riesgo. Rechaza en el momento de la solicitud los rangos de tarificación especial, VoIP y conocidos por abuso usando datos de lookup. La detección de patrones secuenciales atrapa el barrido de rangos.
- Flujos diferidos y asimétricos. Pequeñas demoras antes del envío (500–1500 ms), o exigir verificación por correo primero ante señales sospechosas, destruyen la economía del bot siendo invisibles para las personas.
- Alertas de gasto y cortacircuitos. Limita el gasto de SMS por hora y por corredor, y pausa automáticamente cualquier destino cuyo volumen salte, digamos, un 500 % sobre la línea base. Un cortacircuito que pausa Zimbabue para revisión te cuesta minutos; la alternativa cuesta miles.
- Elige una pasarela que combata el AIT contigo. Importan el filtrado antifraude a nivel de ruta, la detección de anomalías por corredor y los datos de entrega honestos. Los proveedores con enrutamiento alineado con operadores también detectan cuándo el tráfico termina en rangos que nunca convierten — los agregadores baratos compartidos a menudo no pueden, y algunos se benefician calladamente del volumen inflado.
¿Qué hacer durante un ataque activo?
- Pausa de inmediato los corredores afectados — tu pasarela debería permitirte bloquear países de destino en una sola acción.
- Preserva la evidencia: registros de solicitudes, IP, rangos de números, marcas de tiempo.
- Endurece los límites de tasa y activa los controles anti-bots en el endpoint expuesto.
- Contacta a tu proveedor para disputar el tráfico cuando sea posible y confirmar los rangos implicados.
- Haz el post-mortem del endpoint: cada ruta de tu producto que envíe SMS debe llevar los controles anteriores antes de reabrir el corredor.
Preguntas frecuentes: fraude de SMS pumping
¿Qué es el fraude de SMS pumping?
Un esquema en el que atacantes usan bots para disparar grandes volúmenes de SMS —normalmente OTP— desde tu app hacia rangos de números de los que se benefician. También se llama tráfico artificialmente inflado (AIT) o fraude de peaje SMS.
¿Cómo detecto el SMS pumping?
Monitoriza la relación envío-verificación (bajo ~40 % es sospechoso), los picos de solicitudes por país, los números únicos por IP y el costo por verificación exitosa. Los números de destino secuenciales son un indicio casi seguro.
¿Cómo detengo el SMS pumping sin bloquear a usuarios reales?
Apila capas de baja fricción: geopermisos, límites por número y por IP, detección de bots invisible, bloqueo de rangos de tarificación/VoIP, retroceso en reenvíos y cortacircuitos de gasto.
¿Quién se beneficia del SMS pumping?
El estafador y un operador o dueño de rango cómplice que cobra tarifas de terminación por cada mensaje entregado y comparte los ingresos.
¿El SMS pumping solo afecta a los endpoints de OTP?
No — cualquier formulario público que dispare un SMS es un objetivo: enlaces de descarga de apps, invitaciones de referidos y encuestas.
Conclusión: vuélvete no rentable
El SMS pumping persiste porque la mayoría de las víctimas se lo ponen fácil: endpoints abiertos, sin geolímites, sin monitorización de la tasa de verificación y con un proveedor sin incentivos para señalar el volumen inflado. Cada capa de arriba eleva el costo del atacante y recorta su rendimiento; dos o tres juntas suelen empujarlo hacia un objetivo más blando. Combina los controles del endpoint con una pasarela que te dé analíticas por corredor y datos de entrega honestos — y luego revisa tu configuración de entrega de OTP para que el tráfico legítimo restante realmente convierta.
Dach SMS Lab