Fraude por SMS Pumping: qué es, cómo detectarlo y cómo evitarlo.
Si tu aplicación utiliza verificación telefónica, es muy probable que seas víctima del fraude de bombeo de SMS. Aquí tienes todo lo que necesitas saber al respecto.
Rowan Haddad
Content & SEO Manager
Si tu aplicación utiliza verificación telefónica, es muy probable que en algún momento seas blanco del fraude por bombeo de SMS (SMS pumping). El análisis de Prelude sobre 205 millones de solicitudes de autenticación en 2025 reveló que el 11,83% de todo el tráfico de verificación fue fraudulento, evitando 3,26 millones de dólares en costes de SMS en todo el conjunto de datos (Informe de Fraude por Bombeo de SMS Prelude 2025). A nivel mundial, las pérdidas de la industria por bombeo de SMS superaron los 1.200 millones de dólares anuales a partir de 2025, con una pérdida media por incidente grave estimada en 380.000 dólares (DataIntelo, 2025).
El bombeo de SMS es uno de los varios tipos de fraude de OTP que explotan los flujos de verificación telefónica. Los atacantes manipulan estos flujos para generar tráfico de SMS hacia números de tarifa premium que ellos controlan, obligando a las empresas a asumir los costes de mensajería. Para conocer todo el panorama, consulta nuestra Guía completa sobre el fraude de OTP.
En esta guía, analizaremos qué es el fraude por bombeo de SMS, cómo funciona y, lo más importante, cómo proteger tu negocio de esta creciente amenaza.
¿Qué es el bombeo de SMS?
El bombeo de SMS es un tipo de estafa en la que los estafadores generan mensajes de texto falsos hacia números de tarifa premium que controlan para ganar dinero. Engañan a los usuarios para que envíen estos mensajes o explotan servicios digitales como las OTP (contraseñas de un solo uso) para activar tráfico de SMS automatizado.
Los estafadores suelen colaborar con operadores móviles poco éticos o buscan formas de desviar rutas de SMS para dirigir este tráfico falso. Dado que las empresas pagan por cada SMS que envían y los clientes pueden acumular cargos sin saberlo en números premium, el impacto financiero puede ser devastador.
También conocido como fraude de peaje de SMS o tráfico inflado artificialmente (AIT), el bombeo de SMS es una variante del Fraude de Código Compartido Internacional (IRSF). El mecanismo subyacente es el mismo (explotar los acuerdos de reparto de ingresos de telecomunicaciones), pero el bombeo de SMS se dirige específicamente a tus puntos de acceso de OTP y verificación, en lugar de a la infraestructura de telecomunicaciones tradicional.
A diferencia del robo de cuentas o los ataques de relleno de credenciales (credential stuffing), el objetivo del atacante no es acceder a las cuentas de los usuarios ni robar datos.
El objetivo es mucho más simple: generar tráfico de SMS facturable a gran escala.
Cómo funciona el bombeo de SMS
El bombeo de SMS requiere dos cosas: acceso a un punto de acceso de OTP de alto volumen y una relación con una ruta de telecomunicaciones que pague por el tráfico recibido.
Paso 1: El atacante asegura un reparto de ingresos. Los estafadores comienzan asociándose con operadores poco éticos o logrando acceso a números de tarifa premium. Prometen a estos operadores altos volúmenes de SMS y mayores ingresos, utilizando números internacionales de tarifa premium (IPRN) para dirigir el tráfico.
Paso 2: Identifican un punto crítico. Los formularios de registro, páginas de inicio de sesión, flujos de restablecimiento de contraseña y formularios de canje promocional se convierten en objetivos; básicamente, cualquier punto de acceso que envíe un SMS al introducir un número de teléfono.
Paso 3: Los bots inundan el punto de acceso. Los estafadores saturan el sistema con tráfico de SMS, alternando formatos de números con apariencia real dentro de los rangos objetivo. Tu sistema envía los mensajes OTP a esos números. El estafador se lleva una comisión del coste por mensaje. Estos SMS se desvían a números premium controlados por los estafadores, generalmente en el extranjero, inflando los costes para las empresas que pagan por mensaje.
Paso 4: El daño es invisible hasta que llega la factura. Cuando la víctima (empresa o particular) recibe la factura inflada, el operador reparte los ingresos con los estafadores que orquestaron el ataque. Esto es lo que hace que el bombeo de SMS sea tan perjudicial. El tráfico no genera inicios de sesión fallidos, eventos de acceso sospechosos ni quejas de usuarios. Cada mensaje aparece como entregado con éxito. La primera señal suele ser una anomalía en la facturación, a menudo días o semanas después del ataque.
En resumen, tanto los estafadores como sus socios fraudulentos se benefician de este tráfico de SMS falso, mientras que la víctima se queda con la cuenta a pagar.
Por qué los sistemas OTP son especialmente vulnerables
El bombeo de SMS funciona porque los sistemas OTP tienen una vulnerabilidad estructural integrada por diseño: el punto de acceso de envío debe ser público, el coste lo asume la plataforma y el éxito no requiere un usuario real al otro lado.
En la práctica, esto significa que un formulario de registro o un flujo de restablecimiento de contraseña debe aceptar solicitudes de cualquiera. A diferencia de las API autenticadas que requieren una sesión o token válidos, los puntos de acceso de envío de OTP están abiertos por naturaleza. No hay credenciales que robar ni sesión que comprometer. Cualquier bot puede activarlos.
Además, los flujos de verificación suelen ser predecibles. Los formularios de registro, restablecimiento de contraseña e inicio de sesión siguen patrones consistentes: aceptan un número de teléfono, activan un envío y esperan la introducción de un código. Esto permite que los bots repliquen este proceso a gran escala fácilmente.
Las plataformas, por su parte, asumen los costes sin importar el resultado. Cada mensaje enviado genera un cargo, lo haya solicitado un usuario real o no, se introduzca el código o no, e incluso si el número de teléfono ni siquiera existe. En otras palabras, asumen todo el coste de cada solicitud, sea fraudulenta o legítima.
Además, la facturación de telecomunicaciones crea un modelo de ingresos directo para los atacantes. El sistema global de enrutamiento de SMS se construyó sobre acuerdos de liquidación entre operadores. Los estafadores se introducen en este sistema adquiriendo o asociándose con rangos de números que generan ingresos al recibir tráfico. Cada OTP que tu sistema envía a esos números pone dinero en el bolsillo del atacante. No existe un mecanismo equivalente en la mayoría de los otros tipos de fraude; el bombeo de SMS es uno de los pocos ataques donde la propia infraestructura del proveedor de la víctima financia directamente al atacante.
Este tipo de fraude puede causar estragos porque muchas aplicaciones carecen de capacidades como análisis de comportamiento, inteligencia de dispositivos, puntuación de riesgo del operador, limitación de frecuencia adaptativa y controles de verificación proactivos. Esto crea un entorno ideal para que los atacantes generen un volumen masivo de OTP con muy poca resistencia.
La única defensa fiable para frenar el bombeo de SMS antes de que cause daños reales es evaluar el número de destino antes del envío, algo que muchas integraciones de OTP pasan por alto.
Ejemplos del mundo real
La app de fintech: Una campaña promocional fallida
Una app de fintech lanza una campaña de referidos: un usuario invita a un amigo y ambos reciben 80 $ en crédito. Para reclamar la recompensa, el usuario referido solo tiene que registrarse y verificar su número de teléfono.
A las 48 horas del lanzamiento, el volumen de envío de OTP es 40 veces superior al previsto. Los bots están atacando el punto de acceso de registro con miles de números de teléfono por hora, todos dirigidos a rangos de tarifas premium que controla el atacante. El mecanismo de referidos ni siquiera importa; a los atacantes no les interesa el crédito. Buscan los mensajes OTP en sí. La mayoría de las "nuevas cuentas" creadas durante el ataque muestran actividad cero y nunca se vuelven a usar.
Como los mensajes figuran como entregados con éxito, el ataque pasa desapercibido hasta que saltan las alertas de facturación días después. La primera señal fue la factura.
La empresa: Registros falsos a gran escala
DopeSocks, una tienda de ropa de lujo por suscripción, ofrece a los clientes un 15% de descuento en su primera compra a cambio de introducir su teléfono en la web.
Una vez que el usuario introduce su número, la empresa envía un SMS con un código de descuento. Una estrategia sencilla para captar clientes interesados.
Pero los estafadores ven una oportunidad. Utilizan bots para inundar la web con miles de números de teléfono falsos. Cada número activa un SMS que se desvía a un número premium controlado por ellos.
DopeSocks acaba con una factura desorbitada por esos SMS, pero sin clientes reales. Cada mensaje enviado fue a parar a números fraudulentos para beneficio de los estafadores. DopeSocks recibe una factura enorme de SMS y cero clientes nuevos. Cada mensaje fue a un número fraudulento que nunca iba a comprar nada.
Cuando se envían estos mensajes, rebotan de red en red antes de llegar a su destino. Esto significa que es imposible detectar qué red está compinchada con los autores del fraude de SMS. En la mayoría de los casos, nunca se identifica al criminal que estafó tu sistema.
La plataforma: 60 millones de dólares al año en tráfico 2FA falso
Ni siquiera las plataformas más grandes con recursos masivos de ingeniería están a salvo. El propio Elon Musk informó públicamente en 2023 que a Twitter se le cobraban aproximadamente 60 millones de dólares al año por mensajes SMS de 2FA falsos generados por esquemas de fraude telefónico, lo que ilustra lo rápido que escala el bombeo de SMS si no se detecta a tiempo.
Cómo afecta el fraude por bombeo de SMS a tu negocio
El fraude de SMS está muy extendido y puede afectar a las empresas de múltiples formas:
Pérdida financiera directa
Este es el impacto más inmediato. El tráfico fraudulento de SMS provoca pérdidas financieras masivas. Dado que las empresas pagan por cada SMS enviado, los estafadores se aprovechan de esto para disparar los costes desviando mensajes a números premium bajo su control.
Cada OTP fraudulento enviado es un cargo real. Tu plataforma paga por mensaje y los atacantes explotarán esa vía todo lo que puedan. Una sola campaña puede costar decenas de miles de dólares antes de ser detectada. Un ataque a gran escala en un punto de acceso desprotegido puede superar los 100.000 dólares en solo 72 horas.
A diferencia de otros fraudes, las pérdidas por bombeo de SMS rara vez son recuperables. Para cuando llega la factura, los mensajes ya se han enviado y los costes se han cobrado.
Por eso es vital contar con herramientas robustas de prevención contra el abuso de promociones, como el monitoreo en tiempo real y el bloqueo automático, para proteger tanto a tus usuarios como tu presupuesto.
Abuso de plataforma y creación de cuentas falsas
El bombeo de SMS no suele ocurrir de forma aislada.
La misma infraestructura utilizada para generar tráfico de OTP fraudulento a menudo se emplea para la creación de cuentas falsas, abuso de referidos, campañas de spam, registros sintéticos y abuso de promociones.
A medida que se acumulan las cuentas fraudulentas, crecen los problemas de moderación, cumplimiento y confianza en toda la plataforma.
Métricas contaminadas y datos erróneos
El bombeo de SMS genera cuentas falsas en masa. Tus números de registros, DAU, MAU y datos de cohortes se inflan con usuarios que no existen.
Tu base de usuarios se llena de perfiles falsos. Tu tasa de conversión se desploma mientras que tu coste por conversión se dispara, haciendo imposible justificar la inversión en marketing. Los informes y análisis dejan de ser fiables, y los datos erróneos conducen a malas decisiones.
En resumen, el tráfico falso envenena tus métricas de rendimiento y hace imposible medir el comportamiento real de los clientes. Sin datos precisos, tus estrategias de marketing y ventas sufren, y terminas perdiendo tiempo, dinero y recursos persiguiendo fantasmas.
Saturación del canal
Un ataque de bombeo de SMS a gran escala satura tu infraestructura de mensajería, colapsándola con tráfico falso. Tu proveedor de SMS se sobrecarga, provocando retrasos o incluso interrupciones totales del servicio.
Los usuarios reales que intentan recibir un código de acceso, una confirmación de pago o un restablecimiento de contraseña sufren retrasos o bloqueos. Esto afecta más de lleno en momentos clave: lanzamientos promocionales, eventos de ventas de alto tráfico o procesos críticos como la recuperación de cuentas.
¿El resultado? Usuarios frustrados, carritos abandonados y una pérdida de confianza en tu marca.
Problemas de cumplimiento y daño reputacional
El bombeo de SMS a menudo va de la mano con la creación de cuentas falsas generadas por bots que superan la verificación telefónica. Bajo los marcos normativos KYC y AML, que las cuentas sintéticas superen un flujo de verificación con tanta facilidad supone un riesgo de cumplimiento grave. Bajo regulaciones como el RGPD, no demostrar controles activos contra el fraude expone a la plataforma a sanciones operativas.
El daño reputacional es más difícil de cuantificar, pero se acumula. Los usuarios que sufren retrasos o bloqueos durante un ataque pierden la confianza en la plataforma. Además, la asociación con actividades fraudulentas, aun siendo la víctima, erosiona la credibilidad de la marca.
El fraude no solo daña tus finanzas, destruye la confianza. Y una vez que la confianza se rompe, recuperarla es una tarea titánica.
Costes operativos añadidos
Lidiar con las consecuencias del fraude por bombeo de SMS no solo agota tus recursos financieros. También exige una enorme cantidad de tiempo de tu equipo; las áreas de ciberseguridad y soporte tendrán que redoblar esfuerzos para solucionar incidencias por cada víctima.
Además, tendrán que investigar cada cargo fraudulento, atender a clientes legítimamente enfadados, implementar medidas de seguridad más robustas y, si es viable, iniciar acciones legales contra los estafadores (si logran ser identificados).
Cómo detectar el fraude por bombeo de SMS
El tráfico de bombeo de SMS está diseñado para imitar el comportamiento de un usuario legítimo. Estas señales ayudan a distinguir el tráfico OTP fraudulento de los usuarios reales:
Picos inusuales en el volumen de OTP
Si tus solicitudes de OTP o mensajes SMS aumentan de golpe sin un incremento correspondiente en la actividad de usuarios reales o una campaña de marketing activa, es muy probable que haya estafadores detrás.
Tráfico concentrado en ubicaciones geográficas específicas
Si detectas un volumen inusualmente alto de SMS dirigidos a países donde tu empresa no opera ni tiene clientes activos, podría ser una señal clara de explotación de tus flujos de SMS.
Números de teléfono consecutivos o con patrones claros
Si los números que solicitan OTP son sospechosamente similares o siguen secuencias numéricas (por ejemplo, +1234567801, +1234567802, +1234567803), no es casualidad.
Los bots suelen utilizar listas automatizadas para solicitar códigos OTP, por lo que identificar estos patrones es una prueba evidente de bombeo de SMS.
Solicitudes enrutadas a través de proxies residenciales
Los proxies residenciales se convirtieron en la infraestructura de ataque dominante en 2025, utilizados por los atacantes para distribuir el tráfico y evadir bloqueos basados en IP (Informe de Fraude por Bombeo de SMS Prelude 2025).
Desplome en la tasa de verificación (send-to-verify)
Una relación de envíos de OTP frente a códigos verificados superior a 2:1 es un indicador claro de peligro; a los estafadores no les interesa verificar el código, solo necesitan que el mensaje se envíe.
Por tanto, si notas una caída drástica en la tasa de conversión (global o en un país específico), significa que el tráfico fraudulento está inflando tus métricas sin aportar valor real.
Quejas de clientes por retrasos
La saturación de tu sistema de SMS por parte de estafadores genera demoras para los usuarios legítimos que esperan sus códigos de verificación.
Si tu equipo de soporte empieza a recibir quejas por la lentitud en la entrega de OTP, es probable que tu sistema esté bajo un ataque de solicitudes falsas.
Nuevos grupos de usuarios con interacción casi nula
Si observas picos de registros que no se traducen en ninguna actividad posterior (inicios de sesión, compras, sesiones activas), lo más probable es que estés en el radar de los estafadores.
Presupuesto de SMS que se agota antes de lo previsto
La relación entre gasto y actividad real es el indicador tardío más evidente; para cuando se hace visible, el impacto financiero ya es un hecho.
Las primeras seis señales son detectables en tiempo real. La última es un indicador a posteriori, razón por la cual la detección preventiva es fundamental.
Cómo prevenir los ataques de bombeo de SMS
Una prevención eficaz del bombeo de SMS requiere tanto blindar tu infraestructura como implementar detección de fraude en tiempo real antes de realizar cualquier envío.
1. Implementa limitación de frecuencia adaptativa (rate limiting)
Una de las maneras más directas de prevenir este fraude es controlando la frecuencia de envíos, estableciendo un límite máximo diario de mensajes o presupuestos de gasto.
Por ejemplo, puedes definir una política donde tu gasto en SMS no supere los 300 $ diarios para verificaciones OTP y autenticaciones. Esta barrera evita sorpresas desagradables en la factura a final de mes.
Sin embargo, gestiona esto con cuidado. Aunque la limitación de frecuencia frena la actividad fraudulenta, también puede generar falsos positivos, impidiendo que usuarios reales completen sus acciones si tu app experimenta un pico legítimo de tráfico. Monitorear y ajustar estos límites conforme crece tu negocio es clave para equilibrar seguridad y experiencia de usuario.
2. Clasificación de números antes del envío
Antes de enviar cualquier OTP, evalúa el número de destino para detectar señales de riesgo:
Tipo de número: los números VoIP, virtuales y temporales tienen una probabilidad drásticamente mayor de usarse en campañas de fraude. Identifica o bloquea los envíos a este tipo de numeración.
Riesgo geográfico: los números procedentes de países de alto riesgo o prefijos asociados con fraudes de tarifas premium deben activar controles adicionales o bloqueo inmediato.
Números de activación reciente: los números con un historial de activación muy corto son una señal habitual en ataques automatizados mediante bots.
3. Aplica restricciones geográficas
Si tu producto no está disponible en un mercado específico, no tiene sentido enviar OTPs allí. Restringir geográficamente los envíos a los países donde operas es uno de los controles más rápidos y eficientes para reducir la exposición al fraude por números premium internacionales.
Sé preciso: los bloqueos masivos por país pueden frustrar a usuarios legítimos. Utiliza tus datos reales de ubicación de usuarios para definir tu lista de permitidos.
4. Monitorea las tasas de verificación (Send-to-Verify)
Uno de los indicadores más fiables es el desplome en la tasa de verificación de OTP; el tráfico fraudulento genera envíos, pero nunca autenticaciones exitosas.
Monitorear este ratio en tiempo real te permite detectar y frenar ataques de manera temprana.
5. Apóyate en inteligencia de rutas a nivel de operador
Trabaja con un proveedor de OTP que monitoree y bloquee activamente rutas propensas al fraude. Un proveedor cuyos ingresos dependan de cobrar por mensaje enviado tiene un conflicto de interés para frenar el tráfico. Busca esquemas de precios transparentes, sin márgenes abusivos por mensaje, y con un compromiso explícito en la gestión del fraude en tránsito.
6. Utiliza puntuación de riesgo en tiempo real (Fraud Scoring)
Las listas estáticas de bloqueo se quedan obsoletas rápidamente. Los sistemas de detección deben evolucionar al mismo ritmo que las tácticas de los atacantes.
Por lo tanto, la prevención moderna requiere:
Modelos de riesgo adaptativos
Inteligencia de comportamiento
Actualización constante de señales de riesgo
Toma de decisiones en tiempo real
Cómo Prelude detecta la saturación de SMS antes de que se envíe el código OTP
El enfoque de Prelude frente al bombeo de SMS consiste en detectar antes de enviar, no en lamentar después de los daños.
La Watch API evalúa cada solicitud de OTP antes de que se despache el mensaje. Específicamente para el bombeo de SMS, analiza y detecta:
Clasificación del tipo de número: análisis en tiempo real de números VoIP, virtuales y temporales antes del envío.
Análisis de riesgo geográfico: evaluación de prefijos y códigos de país frente a patrones de fraude conocidos y riesgo de rutas premium.
Detección de anomalías y velocidad de envío: identificación de patrones de solicitud inusuales directamente en el punto de acceso, no solo a nivel global.
Señales de IP y proxies residenciales: la infraestructura de bots suele operar a través de rangos de IP residenciales identificables; evaluamos esto dentro del análisis de riesgo previo al envío.
La Verify API utiliza modelos de aprendizaje automático (machine learning) para analizar números telefónicos, detectar patrones sospechosos y detener el tráfico falso antes de que llegue a tu proveedor de SMS. En el conjunto de datos de Prelude de 2025, la detección basada en machine learning detuvo casi el 78% de todas las solicitudes de fraude bloqueadas, demostrando la ineficacia de las reglas estáticas frente a atacantes dinámicos que rotan IPs y emulan comportamientos humanos.
Gracias a la inteligencia de fuentes abiertas, alianzas de seguridad e I+D, actualizamos constantemente nuestra lista de bloqueo de números fraudulentos, impidiendo que envíes SMS a estafadores y asegurando que solo pagues por usuarios reales.
Ante cualquier actividad sospechosa, bloqueamos el envío de inmediato, protegiendo tus finanzas de facturas imprevistas de SMS y protegiendo tu conversión.
En cada intento de acceso o autenticación, combinamos tus datos de usuario con nuestras señales de riesgo para identificar comportamientos fraudulentos. Esto permite frenar bots, spam y estafas antes de que causen daños, garantizando una experiencia fluida para tus usuarios reales.
Un ataque real neutralizado
Este es un ejemplo de un ataque que Prelude bloqueó recientemente para un cliente de tecnología alimentaria (foodtech) en Europa.
El ataque procedía de números registrados en el Reino Unido, uno de los mercados principales del cliente. Aunque la ubicación parecía legítima a primera vista, el algoritmo de Prelude detectó una anomalía flagrante: decenas de números dentro del mismo rango mostraban tasas de verificación sospechosamente bajas.
Gracias a esta detección proactiva, Prelude bloqueó estos números antes de que el ataque cobrara fuerza. El intento de fraude persistió durante unos días, pero al ver que no lograban su objetivo, los estafadores abandonaron el ataque.
El volumen de mensajes fraudulentos bloqueados equivalía casi al tráfico mensual habitual del cliente, ahorrándole miles de dólares que se habrían perdido en el ataque.
Con Prelude, obtienes una prevención de fraude proactiva sin entorpecer el acceso de tus usuarios reales.
Si estás listo para blindar tu negocio contra el fraude de SMS, regístrate gratis y empieza a probar la API de Prelude hoy mismo.
¿Qué es el fraude por bombeo de SMS?
El fraude por bombeo de SMS, o tráfico inflado artificialmente (AIT), ocurre cuando los atacantes inundan tus puntos de acceso de OTP con bots para generar envíos masivos hacia números premium que controlan, obteniendo una parte de la tarifa por terminación que tu plataforma paga por mensaje.
¿Cuál es la diferencia entre el bombeo de SMS y el IRSF?
El bombeo de SMS es una variante del IRSF (fraude telefónico internacional por reparto de ingresos). El IRSF es la categoría general que explota el reparto de tarifas para lucrarse con el tráfico de mensajes. El bombeo de SMS se dirige específicamente a los puntos de verificación de OTP para forzar ese tráfico. Consulta ¿Qué es el IRSF? para ver el análisis técnico completo.
¿Cómo sé si soy un objetivo de bombeo de SMS?
Las señales tempranas más claras son un desplome en la tasa de verificación (muchos OTP enviados, pocos introducidos), picos de tráfico en países fuera de tu área de negocio y secuencias de números repetitivas en tus registros. Un aumento repentino en tu factura de SMS es el síntoma más común para muchas empresas, pero para entonces el daño ya está hecho.
¿Cómo detecta el bombeo de SMS la API Watch de Prelude?
La Watch API evalúa el tipo de número, el riesgo geográfico, la frecuencia y las firmas de IP/proxy para cada solicitud de OTP antes de realizar el envío. Las solicitudes de alto riesgo se bloquean de inmediato o se someten a desafíos de seguridad, deteniendo el coste antes de que se genere, no después.
¿Puedo limitarme a bloquear países enteros para frenar el bombeo de SMS?
El bloqueo geográfico ayuda, pero debe aplicarse con precisión quirúrgica. Bloquear todo un país de forma indiscriminada puede dejar fuera a clientes legítimos y frenar el crecimiento de tu negocio.
Lo ideal es limitar los envíos a tus mercados operativos basándote en la geografía real del usuario, combinándolo con análisis preventivo de números y control de frecuencia para lograr una defensa robusta y multicapa.
Si tu aplicación utiliza verificación telefónica, es muy probable que en algún momento seas blanco del fraude por bombeo de SMS (SMS pumping). El análisis de Prelude sobre 205 millones de solicitudes de autenticación en 2025 reveló que el 11,83% de todo el tráfico de verificación fue fraudulento, evitando 3,26 millones de dólares en costes de SMS en todo el conjunto de datos (Informe de Fraude por Bombeo de SMS Prelude 2025). A nivel mundial, las pérdidas de la industria por bombeo de SMS superaron los 1.200 millones de dólares anuales a partir de 2025, con una pérdida media por incidente grave estimada en 380.000 dólares (DataIntelo, 2025).
El bombeo de SMS es uno de los varios tipos de fraude de OTP que explotan los flujos de verificación telefónica. Los atacantes manipulan estos flujos para generar tráfico de SMS hacia números de tarifa premium que ellos controlan, obligando a las empresas a asumir los costes de mensajería. Para conocer todo el panorama, consulta nuestra Guía completa sobre el fraude de OTP.
En esta guía, analizaremos qué es el fraude por bombeo de SMS, cómo funciona y, lo más importante, cómo proteger tu negocio de esta creciente amenaza.
¿Qué es el bombeo de SMS?
El bombeo de SMS es un tipo de estafa en la que los estafadores generan mensajes de texto falsos hacia números de tarifa premium que controlan para ganar dinero. Engañan a los usuarios para que envíen estos mensajes o explotan servicios digitales como las OTP (contraseñas de un solo uso) para activar tráfico de SMS automatizado.
Los estafadores suelen colaborar con operadores móviles poco éticos o buscan formas de desviar rutas de SMS para dirigir este tráfico falso. Dado que las empresas pagan por cada SMS que envían y los clientes pueden acumular cargos sin saberlo en números premium, el impacto financiero puede ser devastador.
También conocido como fraude de peaje de SMS o tráfico inflado artificialmente (AIT), el bombeo de SMS es una variante del Fraude de Código Compartido Internacional (IRSF). El mecanismo subyacente es el mismo (explotar los acuerdos de reparto de ingresos de telecomunicaciones), pero el bombeo de SMS se dirige específicamente a tus puntos de acceso de OTP y verificación, en lugar de a la infraestructura de telecomunicaciones tradicional.
A diferencia del robo de cuentas o los ataques de relleno de credenciales (credential stuffing), el objetivo del atacante no es acceder a las cuentas de los usuarios ni robar datos.
El objetivo es mucho más simple: generar tráfico de SMS facturable a gran escala.
Cómo funciona el bombeo de SMS
El bombeo de SMS requiere dos cosas: acceso a un punto de acceso de OTP de alto volumen y una relación con una ruta de telecomunicaciones que pague por el tráfico recibido.
Paso 1: El atacante asegura un reparto de ingresos. Los estafadores comienzan asociándose con operadores poco éticos o logrando acceso a números de tarifa premium. Prometen a estos operadores altos volúmenes de SMS y mayores ingresos, utilizando números internacionales de tarifa premium (IPRN) para dirigir el tráfico.
Paso 2: Identifican un punto crítico. Los formularios de registro, páginas de inicio de sesión, flujos de restablecimiento de contraseña y formularios de canje promocional se convierten en objetivos; básicamente, cualquier punto de acceso que envíe un SMS al introducir un número de teléfono.
Paso 3: Los bots inundan el punto de acceso. Los estafadores saturan el sistema con tráfico de SMS, alternando formatos de números con apariencia real dentro de los rangos objetivo. Tu sistema envía los mensajes OTP a esos números. El estafador se lleva una comisión del coste por mensaje. Estos SMS se desvían a números premium controlados por los estafadores, generalmente en el extranjero, inflando los costes para las empresas que pagan por mensaje.
Paso 4: El daño es invisible hasta que llega la factura. Cuando la víctima (empresa o particular) recibe la factura inflada, el operador reparte los ingresos con los estafadores que orquestaron el ataque. Esto es lo que hace que el bombeo de SMS sea tan perjudicial. El tráfico no genera inicios de sesión fallidos, eventos de acceso sospechosos ni quejas de usuarios. Cada mensaje aparece como entregado con éxito. La primera señal suele ser una anomalía en la facturación, a menudo días o semanas después del ataque.
En resumen, tanto los estafadores como sus socios fraudulentos se benefician de este tráfico de SMS falso, mientras que la víctima se queda con la cuenta a pagar.
Por qué los sistemas OTP son especialmente vulnerables
El bombeo de SMS funciona porque los sistemas OTP tienen una vulnerabilidad estructural integrada por diseño: el punto de acceso de envío debe ser público, el coste lo asume la plataforma y el éxito no requiere un usuario real al otro lado.
En la práctica, esto significa que un formulario de registro o un flujo de restablecimiento de contraseña debe aceptar solicitudes de cualquiera. A diferencia de las API autenticadas que requieren una sesión o token válidos, los puntos de acceso de envío de OTP están abiertos por naturaleza. No hay credenciales que robar ni sesión que comprometer. Cualquier bot puede activarlos.
Además, los flujos de verificación suelen ser predecibles. Los formularios de registro, restablecimiento de contraseña e inicio de sesión siguen patrones consistentes: aceptan un número de teléfono, activan un envío y esperan la introducción de un código. Esto permite que los bots repliquen este proceso a gran escala fácilmente.
Las plataformas, por su parte, asumen los costes sin importar el resultado. Cada mensaje enviado genera un cargo, lo haya solicitado un usuario real o no, se introduzca el código o no, e incluso si el número de teléfono ni siquiera existe. En otras palabras, asumen todo el coste de cada solicitud, sea fraudulenta o legítima.
Además, la facturación de telecomunicaciones crea un modelo de ingresos directo para los atacantes. El sistema global de enrutamiento de SMS se construyó sobre acuerdos de liquidación entre operadores. Los estafadores se introducen en este sistema adquiriendo o asociándose con rangos de números que generan ingresos al recibir tráfico. Cada OTP que tu sistema envía a esos números pone dinero en el bolsillo del atacante. No existe un mecanismo equivalente en la mayoría de los otros tipos de fraude; el bombeo de SMS es uno de los pocos ataques donde la propia infraestructura del proveedor de la víctima financia directamente al atacante.
Este tipo de fraude puede causar estragos porque muchas aplicaciones carecen de capacidades como análisis de comportamiento, inteligencia de dispositivos, puntuación de riesgo del operador, limitación de frecuencia adaptativa y controles de verificación proactivos. Esto crea un entorno ideal para que los atacantes generen un volumen masivo de OTP con muy poca resistencia.
La única defensa fiable para frenar el bombeo de SMS antes de que cause daños reales es evaluar el número de destino antes del envío, algo que muchas integraciones de OTP pasan por alto.
Ejemplos del mundo real
La app de fintech: Una campaña promocional fallida
Una app de fintech lanza una campaña de referidos: un usuario invita a un amigo y ambos reciben 80 $ en crédito. Para reclamar la recompensa, el usuario referido solo tiene que registrarse y verificar su número de teléfono.
A las 48 horas del lanzamiento, el volumen de envío de OTP es 40 veces superior al previsto. Los bots están atacando el punto de acceso de registro con miles de números de teléfono por hora, todos dirigidos a rangos de tarifas premium que controla el atacante. El mecanismo de referidos ni siquiera importa; a los atacantes no les interesa el crédito. Buscan los mensajes OTP en sí. La mayoría de las "nuevas cuentas" creadas durante el ataque muestran actividad cero y nunca se vuelven a usar.
Como los mensajes figuran como entregados con éxito, el ataque pasa desapercibido hasta que saltan las alertas de facturación días después. La primera señal fue la factura.
La empresa: Registros falsos a gran escala
DopeSocks, una tienda de ropa de lujo por suscripción, ofrece a los clientes un 15% de descuento en su primera compra a cambio de introducir su teléfono en la web.
Una vez que el usuario introduce su número, la empresa envía un SMS con un código de descuento. Una estrategia sencilla para captar clientes interesados.
Pero los estafadores ven una oportunidad. Utilizan bots para inundar la web con miles de números de teléfono falsos. Cada número activa un SMS que se desvía a un número premium controlado por ellos.
DopeSocks acaba con una factura desorbitada por esos SMS, pero sin clientes reales. Cada mensaje enviado fue a parar a números fraudulentos para beneficio de los estafadores. DopeSocks recibe una factura enorme de SMS y cero clientes nuevos. Cada mensaje fue a un número fraudulento que nunca iba a comprar nada.
Cuando se envían estos mensajes, rebotan de red en red antes de llegar a su destino. Esto significa que es imposible detectar qué red está compinchada con los autores del fraude de SMS. En la mayoría de los casos, nunca se identifica al criminal que estafó tu sistema.
La plataforma: 60 millones de dólares al año en tráfico 2FA falso
Ni siquiera las plataformas más grandes con recursos masivos de ingeniería están a salvo. El propio Elon Musk informó públicamente en 2023 que a Twitter se le cobraban aproximadamente 60 millones de dólares al año por mensajes SMS de 2FA falsos generados por esquemas de fraude telefónico, lo que ilustra lo rápido que escala el bombeo de SMS si no se detecta a tiempo.
Cómo afecta el fraude por bombeo de SMS a tu negocio
El fraude de SMS está muy extendido y puede afectar a las empresas de múltiples formas:
Pérdida financiera directa
Este es el impacto más inmediato. El tráfico fraudulento de SMS provoca pérdidas financieras masivas. Dado que las empresas pagan por cada SMS enviado, los estafadores se aprovechan de esto para disparar los costes desviando mensajes a números premium bajo su control.
Cada OTP fraudulento enviado es un cargo real. Tu plataforma paga por mensaje y los atacantes explotarán esa vía todo lo que puedan. Una sola campaña puede costar decenas de miles de dólares antes de ser detectada. Un ataque a gran escala en un punto de acceso desprotegido puede superar los 100.000 dólares en solo 72 horas.
A diferencia de otros fraudes, las pérdidas por bombeo de SMS rara vez son recuperables. Para cuando llega la factura, los mensajes ya se han enviado y los costes se han cobrado.
Por eso es vital contar con herramientas robustas de prevención contra el abuso de promociones, como el monitoreo en tiempo real y el bloqueo automático, para proteger tanto a tus usuarios como tu presupuesto.
Abuso de plataforma y creación de cuentas falsas
El bombeo de SMS no suele ocurrir de forma aislada.
La misma infraestructura utilizada para generar tráfico de OTP fraudulento a menudo se emplea para la creación de cuentas falsas, abuso de referidos, campañas de spam, registros sintéticos y abuso de promociones.
A medida que se acumulan las cuentas fraudulentas, crecen los problemas de moderación, cumplimiento y confianza en toda la plataforma.
Métricas contaminadas y datos erróneos
El bombeo de SMS genera cuentas falsas en masa. Tus números de registros, DAU, MAU y datos de cohortes se inflan con usuarios que no existen.
Tu base de usuarios se llena de perfiles falsos. Tu tasa de conversión se desploma mientras que tu coste por conversión se dispara, haciendo imposible justificar la inversión en marketing. Los informes y análisis dejan de ser fiables, y los datos erróneos conducen a malas decisiones.
En resumen, el tráfico falso envenena tus métricas de rendimiento y hace imposible medir el comportamiento real de los clientes. Sin datos precisos, tus estrategias de marketing y ventas sufren, y terminas perdiendo tiempo, dinero y recursos persiguiendo fantasmas.
Saturación del canal
Un ataque de bombeo de SMS a gran escala satura tu infraestructura de mensajería, colapsándola con tráfico falso. Tu proveedor de SMS se sobrecarga, provocando retrasos o incluso interrupciones totales del servicio.
Los usuarios reales que intentan recibir un código de acceso, una confirmación de pago o un restablecimiento de contraseña sufren retrasos o bloqueos. Esto afecta más de lleno en momentos clave: lanzamientos promocionales, eventos de ventas de alto tráfico o procesos críticos como la recuperación de cuentas.
¿El resultado? Usuarios frustrados, carritos abandonados y una pérdida de confianza en tu marca.
Problemas de cumplimiento y daño reputacional
El bombeo de SMS a menudo va de la mano con la creación de cuentas falsas generadas por bots que superan la verificación telefónica. Bajo los marcos normativos KYC y AML, que las cuentas sintéticas superen un flujo de verificación con tanta facilidad supone un riesgo de cumplimiento grave. Bajo regulaciones como el RGPD, no demostrar controles activos contra el fraude expone a la plataforma a sanciones operativas.
El daño reputacional es más difícil de cuantificar, pero se acumula. Los usuarios que sufren retrasos o bloqueos durante un ataque pierden la confianza en la plataforma. Además, la asociación con actividades fraudulentas, aun siendo la víctima, erosiona la credibilidad de la marca.
El fraude no solo daña tus finanzas, destruye la confianza. Y una vez que la confianza se rompe, recuperarla es una tarea titánica.
Costes operativos añadidos
Lidiar con las consecuencias del fraude por bombeo de SMS no solo agota tus recursos financieros. También exige una enorme cantidad de tiempo de tu equipo; las áreas de ciberseguridad y soporte tendrán que redoblar esfuerzos para solucionar incidencias por cada víctima.
Además, tendrán que investigar cada cargo fraudulento, atender a clientes legítimamente enfadados, implementar medidas de seguridad más robustas y, si es viable, iniciar acciones legales contra los estafadores (si logran ser identificados).
Cómo detectar el fraude por bombeo de SMS
El tráfico de bombeo de SMS está diseñado para imitar el comportamiento de un usuario legítimo. Estas señales ayudan a distinguir el tráfico OTP fraudulento de los usuarios reales:
Picos inusuales en el volumen de OTP
Si tus solicitudes de OTP o mensajes SMS aumentan de golpe sin un incremento correspondiente en la actividad de usuarios reales o una campaña de marketing activa, es muy probable que haya estafadores detrás.
Tráfico concentrado en ubicaciones geográficas específicas
Si detectas un volumen inusualmente alto de SMS dirigidos a países donde tu empresa no opera ni tiene clientes activos, podría ser una señal clara de explotación de tus flujos de SMS.
Números de teléfono consecutivos o con patrones claros
Si los números que solicitan OTP son sospechosamente similares o siguen secuencias numéricas (por ejemplo, +1234567801, +1234567802, +1234567803), no es casualidad.
Los bots suelen utilizar listas automatizadas para solicitar códigos OTP, por lo que identificar estos patrones es una prueba evidente de bombeo de SMS.
Solicitudes enrutadas a través de proxies residenciales
Los proxies residenciales se convirtieron en la infraestructura de ataque dominante en 2025, utilizados por los atacantes para distribuir el tráfico y evadir bloqueos basados en IP (Informe de Fraude por Bombeo de SMS Prelude 2025).
Desplome en la tasa de verificación (send-to-verify)
Una relación de envíos de OTP frente a códigos verificados superior a 2:1 es un indicador claro de peligro; a los estafadores no les interesa verificar el código, solo necesitan que el mensaje se envíe.
Por tanto, si notas una caída drástica en la tasa de conversión (global o en un país específico), significa que el tráfico fraudulento está inflando tus métricas sin aportar valor real.
Quejas de clientes por retrasos
La saturación de tu sistema de SMS por parte de estafadores genera demoras para los usuarios legítimos que esperan sus códigos de verificación.
Si tu equipo de soporte empieza a recibir quejas por la lentitud en la entrega de OTP, es probable que tu sistema esté bajo un ataque de solicitudes falsas.
Nuevos grupos de usuarios con interacción casi nula
Si observas picos de registros que no se traducen en ninguna actividad posterior (inicios de sesión, compras, sesiones activas), lo más probable es que estés en el radar de los estafadores.
Presupuesto de SMS que se agota antes de lo previsto
La relación entre gasto y actividad real es el indicador tardío más evidente; para cuando se hace visible, el impacto financiero ya es un hecho.
Las primeras seis señales son detectables en tiempo real. La última es un indicador a posteriori, razón por la cual la detección preventiva es fundamental.
Cómo prevenir los ataques de bombeo de SMS
Una prevención eficaz del bombeo de SMS requiere tanto blindar tu infraestructura como implementar detección de fraude en tiempo real antes de realizar cualquier envío.
1. Implementa limitación de frecuencia adaptativa (rate limiting)
Una de las maneras más directas de prevenir este fraude es controlando la frecuencia de envíos, estableciendo un límite máximo diario de mensajes o presupuestos de gasto.
Por ejemplo, puedes definir una política donde tu gasto en SMS no supere los 300 $ diarios para verificaciones OTP y autenticaciones. Esta barrera evita sorpresas desagradables en la factura a final de mes.
Sin embargo, gestiona esto con cuidado. Aunque la limitación de frecuencia frena la actividad fraudulenta, también puede generar falsos positivos, impidiendo que usuarios reales completen sus acciones si tu app experimenta un pico legítimo de tráfico. Monitorear y ajustar estos límites conforme crece tu negocio es clave para equilibrar seguridad y experiencia de usuario.
2. Clasificación de números antes del envío
Antes de enviar cualquier OTP, evalúa el número de destino para detectar señales de riesgo:
Tipo de número: los números VoIP, virtuales y temporales tienen una probabilidad drásticamente mayor de usarse en campañas de fraude. Identifica o bloquea los envíos a este tipo de numeración.
Riesgo geográfico: los números procedentes de países de alto riesgo o prefijos asociados con fraudes de tarifas premium deben activar controles adicionales o bloqueo inmediato.
Números de activación reciente: los números con un historial de activación muy corto son una señal habitual en ataques automatizados mediante bots.
3. Aplica restricciones geográficas
Si tu producto no está disponible en un mercado específico, no tiene sentido enviar OTPs allí. Restringir geográficamente los envíos a los países donde operas es uno de los controles más rápidos y eficientes para reducir la exposición al fraude por números premium internacionales.
Sé preciso: los bloqueos masivos por país pueden frustrar a usuarios legítimos. Utiliza tus datos reales de ubicación de usuarios para definir tu lista de permitidos.
4. Monitorea las tasas de verificación (Send-to-Verify)
Uno de los indicadores más fiables es el desplome en la tasa de verificación de OTP; el tráfico fraudulento genera envíos, pero nunca autenticaciones exitosas.
Monitorear este ratio en tiempo real te permite detectar y frenar ataques de manera temprana.
5. Apóyate en inteligencia de rutas a nivel de operador
Trabaja con un proveedor de OTP que monitoree y bloquee activamente rutas propensas al fraude. Un proveedor cuyos ingresos dependan de cobrar por mensaje enviado tiene un conflicto de interés para frenar el tráfico. Busca esquemas de precios transparentes, sin márgenes abusivos por mensaje, y con un compromiso explícito en la gestión del fraude en tránsito.
6. Utiliza puntuación de riesgo en tiempo real (Fraud Scoring)
Las listas estáticas de bloqueo se quedan obsoletas rápidamente. Los sistemas de detección deben evolucionar al mismo ritmo que las tácticas de los atacantes.
Por lo tanto, la prevención moderna requiere:
Modelos de riesgo adaptativos
Inteligencia de comportamiento
Actualización constante de señales de riesgo
Toma de decisiones en tiempo real
Cómo Prelude detecta la saturación de SMS antes de que se envíe el código OTP
El enfoque de Prelude frente al bombeo de SMS consiste en detectar antes de enviar, no en lamentar después de los daños.
La Watch API evalúa cada solicitud de OTP antes de que se despache el mensaje. Específicamente para el bombeo de SMS, analiza y detecta:
Clasificación del tipo de número: análisis en tiempo real de números VoIP, virtuales y temporales antes del envío.
Análisis de riesgo geográfico: evaluación de prefijos y códigos de país frente a patrones de fraude conocidos y riesgo de rutas premium.
Detección de anomalías y velocidad de envío: identificación de patrones de solicitud inusuales directamente en el punto de acceso, no solo a nivel global.
Señales de IP y proxies residenciales: la infraestructura de bots suele operar a través de rangos de IP residenciales identificables; evaluamos esto dentro del análisis de riesgo previo al envío.
La Verify API utiliza modelos de aprendizaje automático (machine learning) para analizar números telefónicos, detectar patrones sospechosos y detener el tráfico falso antes de que llegue a tu proveedor de SMS. En el conjunto de datos de Prelude de 2025, la detección basada en machine learning detuvo casi el 78% de todas las solicitudes de fraude bloqueadas, demostrando la ineficacia de las reglas estáticas frente a atacantes dinámicos que rotan IPs y emulan comportamientos humanos.
Gracias a la inteligencia de fuentes abiertas, alianzas de seguridad e I+D, actualizamos constantemente nuestra lista de bloqueo de números fraudulentos, impidiendo que envíes SMS a estafadores y asegurando que solo pagues por usuarios reales.
Ante cualquier actividad sospechosa, bloqueamos el envío de inmediato, protegiendo tus finanzas de facturas imprevistas de SMS y protegiendo tu conversión.
En cada intento de acceso o autenticación, combinamos tus datos de usuario con nuestras señales de riesgo para identificar comportamientos fraudulentos. Esto permite frenar bots, spam y estafas antes de que causen daños, garantizando una experiencia fluida para tus usuarios reales.
Un ataque real neutralizado
Este es un ejemplo de un ataque que Prelude bloqueó recientemente para un cliente de tecnología alimentaria (foodtech) en Europa.
El ataque procedía de números registrados en el Reino Unido, uno de los mercados principales del cliente. Aunque la ubicación parecía legítima a primera vista, el algoritmo de Prelude detectó una anomalía flagrante: decenas de números dentro del mismo rango mostraban tasas de verificación sospechosamente bajas.
Gracias a esta detección proactiva, Prelude bloqueó estos números antes de que el ataque cobrara fuerza. El intento de fraude persistió durante unos días, pero al ver que no lograban su objetivo, los estafadores abandonaron el ataque.
El volumen de mensajes fraudulentos bloqueados equivalía casi al tráfico mensual habitual del cliente, ahorrándole miles de dólares que se habrían perdido en el ataque.
Con Prelude, obtienes una prevención de fraude proactiva sin entorpecer el acceso de tus usuarios reales.
Si estás listo para blindar tu negocio contra el fraude de SMS, regístrate gratis y empieza a probar la API de Prelude hoy mismo.
¿Qué es el fraude por bombeo de SMS?
El fraude por bombeo de SMS, o tráfico inflado artificialmente (AIT), ocurre cuando los atacantes inundan tus puntos de acceso de OTP con bots para generar envíos masivos hacia números premium que controlan, obteniendo una parte de la tarifa por terminación que tu plataforma paga por mensaje.
¿Cuál es la diferencia entre el bombeo de SMS y el IRSF?
El bombeo de SMS es una variante del IRSF (fraude telefónico internacional por reparto de ingresos). El IRSF es la categoría general que explota el reparto de tarifas para lucrarse con el tráfico de mensajes. El bombeo de SMS se dirige específicamente a los puntos de verificación de OTP para forzar ese tráfico. Consulta ¿Qué es el IRSF? para ver el análisis técnico completo.
¿Cómo sé si soy un objetivo de bombeo de SMS?
Las señales tempranas más claras son un desplome en la tasa de verificación (muchos OTP enviados, pocos introducidos), picos de tráfico en países fuera de tu área de negocio y secuencias de números repetitivas en tus registros. Un aumento repentino en tu factura de SMS es el síntoma más común para muchas empresas, pero para entonces el daño ya está hecho.
¿Cómo detecta el bombeo de SMS la API Watch de Prelude?
La Watch API evalúa el tipo de número, el riesgo geográfico, la frecuencia y las firmas de IP/proxy para cada solicitud de OTP antes de realizar el envío. Las solicitudes de alto riesgo se bloquean de inmediato o se someten a desafíos de seguridad, deteniendo el coste antes de que se genere, no después.
¿Puedo limitarme a bloquear países enteros para frenar el bombeo de SMS?
El bloqueo geográfico ayuda, pero debe aplicarse con precisión quirúrgica. Bloquear todo un país de forma indiscriminada puede dejar fuera a clientes legítimos y frenar el crecimiento de tu negocio.
Lo ideal es limitar los envíos a tus mercados operativos basándote en la geografía real del usuario, combinándolo con análisis preventivo de números y control de frecuencia para lograr una defensa robusta y multicapa.
Start optimizing your auth flow
Send verification text-messages anywhere in the world with the best price, the best deliverability and no spam.
