Más de 400.000 sitios web han sido blanco de AkiraBot desde septiembre de 2024, un framework automatizado que combina inteligencia artificial y técnicas avanzadas de evasión para promocionar servicios SEO dudosos.
Investigadores de SentinelOne han desvelado la existencia de AkiraBot, un framework de spam masivo que utiliza inteligencia artificial generativa para crear mensajes personalizados en formularios de contacto y chats web. El bot, escrito en Python, ha alcanzado ya más de 400.000 sitios web y ha logrado insertar spam con éxito en al menos 80.000 de ellos.
La campaña se dirige principalmente a pequeñas y medianas empresas que utilizan plataformas como Shopify, Wix, Squarespace o GoDaddy. A diferencia del spam tradicional, AkiraBot destaca por su capacidad para crear mensajes únicos usando modelos de lenguaje de OpenAI, evitando así filtros antispam que detectan textos repetitivos. Además, rota constantemente los dominios utilizados para redirigir a los usuarios hacia servicios SEO poco fiables como useakira[.]com o servicewrap[.]pro.
Inteligencia artificial para automatizar el engaño
El componente central de AkiraBot es su integración con modelos de OpenAI (como GPT-4o-mini), los cuales generan textos de marketing personalizados basados en el contenido del sitio web objetivo. Para ello, el bot primero extrae texto del sitio mediante BeautifulSoup, lo analiza, y luego completa una plantilla con información como el nombre del sitio y palabras clave. Cada mensaje de spam es único, lo que complica su detección automática.
Evasión de CAPTCHAs y detección de red
AkiraBot incluye múltiples técnicas para eludir sistemas de seguridad como reCAPTCHA y hCAPTCHA, incluso aquellos protegidos por Cloudflare. Emplea inyecciones de JavaScript y el navegador headless Chrome para simular sesiones legítimas de usuarios. También manipula atributos del navegador como fuentes, geolocalización o hardware para evadir sistemas de detección por fingerprinting.
El sistema se complementa con servicios como Capsolver, FastCaptcha y NextCaptcha, y se apoya en proxies de SmartProxy, herramienta legítima pero frecuentemente utilizada por cibercriminales. De hecho, SentinelOne señala conexiones entre AkiraBot y credenciales filtradas en campañas previas de ransomware.
Monitorización y control a través de Telegram
El bot no solo genera y envía los mensajes, sino que mantiene registros detallados en archivos como submissions.csv, donde se almacenan los mensajes enviados, y failed.txt, que documenta intentos fallidos. Además, versiones recientes integran bots de Telegram que reportan estadísticas y rotaciones de proxy en tiempo real, vinculados a un usuario identificado como «Shadow / hts».
Impacto y riesgos
Aunque los servicios promocionados —bajo las marcas Akira y ServiceWrap— se presentan como soluciones de marketing digital, varios comentarios en plataformas como TrustPilot los califican de spam o incluso estafa. Algunos análisis forenses de dominios como servicewrap-go[.]com revelan vínculos con actividades maliciosas anteriores, incluyendo campañas de malvertising.
La sofisticación del sistema, su uso de IA generativa y su capacidad para evadir medidas de seguridad convierte a AkiraBot en una amenaza emergente para el ecosistema web. Si bien sus intenciones son comerciales (promover servicios SEO), su funcionamiento se asemeja más al de una campaña de abuso masivo con claros componentes de ingeniería social.
Reacción de OpenAI
En respuesta a la investigación, OpenAI desactivó la clave API involucrada y reiteró su política de tolerancia cero frente al uso indebido de sus herramientas: “Distribuir contenido generado por nuestros servicios con fines de spam viola nuestras políticas. Seguimos investigando y reforzando nuestros mecanismos de detección”.
Conclusión: AkiraBot representa una nueva generación de bots que combina IA avanzada con ingeniería automatizada para explotar puntos débiles en millones de sitios web. Su eficacia pone de manifiesto los desafíos crecientes en ciberseguridad frente a los abusos de herramientas de IA, y la urgente necesidad de reforzar las defensas antispam y de validación en formularios y plataformas de comunicación digital.
Fuente: Sentinel ONE
