Keitaro TDS (Traffic Distribution System) is commercial software sold by Apliteni OU (Estonia) that allows users to cloak malicious content from security researchers and ad reviewers. It redirects legitimate visitors to scam pages while showing clean content to analysts.

Is Keitaro used for legitimate purposes?

PhishDestroy's investigation scanned 50,000+ sites and analyzed 1,565 Keitaro admin panels. Zero legitimate use cases were found. Every panel was connected to crypto scams, phishing, malware, or fraud.

How can I detect Keitaro TDS?

Look for /click_api/v3 endpoints, _lp/_token/_subid URL parameters, and Keitaro-specific cookies. PhishDestroy has released free open-source tools including checker.html, keitaro_hunter_4.py, and a Cloudflare Worker.

Volver a las noticias

Investigación de ScamIntelLogs + Lanzamiento de la herramienta

Keitaro TDS: 1.500 paneles expuestos y ningún uso legítimo detectado

El motor de camuflaje que se esconde tras todas las estafas que nunca has visto. PhishDestroy analizó más de 50 000 sitios web, descubrió 1 565 paneles de administración de Keitaro TDS y no encontró ni una sola implementación legítima. Todos y cada uno de los paneles estaban relacionados con fraudes relacionados con las criptomonedas, phishing, distribución de malware o cosas peores. Entre sus clientes se encuentran EvilCorp, el ransomware LockBit y VexTrio. Ya están disponibles el kit de herramientas de detección de código abierto, la metodología de 7 puntos y el CSV completo del panel.

~10 min de lectura· Actualizado Marzo de 2026· PhishDestroy Intelligence

Se han encontrado 1.565 paneles Índice de malware del 100 % 7 Métodos de detección Se han lanzado 4 herramientas

Paneles de administración encontrados

Más de 50 000

Sitios analizados

Usos legítimos

Métodos de detección

¿Qué es Keitaro TDS?

Keitaro TDS es un sistema comercial de distribución del tráfico comercializado por Esfuérzate, una sociedad constituida en Estonia. A primera vista, se presenta como una herramienta de gestión del tráfico para los vendedores de afiliados. En la práctica, es el motor de enmascaramiento más utilizado en el ecosistema mundial de las estafas.

El cloaking es la técnica de mostrar contenidos diferentes a distintos visitantes. Cuando un investigador de seguridad, un revisor de anuncios o un agente de las fuerzas del orden visita una URL, Keitaro los identifica y les muestra una página limpia e inofensiva. Cuando una víctima real visita la misma URL, es redirigida a estafas relacionadas con las criptomonedas, páginas de phishing, descargas de malware o sitios de comercio electrónico fraudulentos. La víctima nunca ve la versión limpia. El analista nunca ve la estafa.

Los precios de Keitaro oscilan entre Entre 40 y 400 euros al mes, lo que la posiciona como una infraestructura antifraude de nivel empresarial. Almacena los datos de los visitantes durante un máximo de 9,75 años, lo que proporciona a los operadores un enorme conjunto de datos que incluye huellas dactilares de las víctimas, datos geográficos y perfiles de comportamiento. Todos estos datos se almacenan en Infraestructura de AWS, lo que significa que Amazon, sin saberlo, está alojando la infraestructura técnica de miles de operaciones fraudulentas.

Sociedad pantalla

Esfuérzate Opera desde Estonia, aprovechando el programa de residencia electrónica del país y la favorable legislación en materia de privacidad corporativa. La empresa mantiene una apariencia de legitimidad mediante un marketing profesional, documentación y atención al cliente, mientras que cada implementación cuantificable de su producto está vinculada a actividades delictivas. Cobran entre 40 y 400 € al mes por lo que, en la práctica, es una plataforma de «estafa como servicio» con casi una década de retención de datos.

Las cifras: 1.565 paneles, ninguno válido

La investigación de PhishDestroy partió de una hipótesis sencilla: si Keitaro TDS tiene usos legítimos, deberíamos encontrarlos a gran escala. Analizamos Más de 50 000 sitios web mediante una combinación de herramientas automatizadas y verificación manual, buscando específicamente las huellas digitales de Keitaro TDS. Lo que encontramos fue inequívoco.

1.565 paneles de administración de Keitaro activos se descubrieron. Los analizamos todos y cada uno de ellos. El resultado: ninguna implementación válida. Ni uno solo de los paneles se utilizaba para el marketing de afiliación legal, pruebas A/B o cualquier otro fin lícito. Todos los paneles —el 100 %— estaban relacionados con actividades delictivas.

1,565

Paneles activos

100 %

Índice de malware

Más de 50 000

Sitios analizados

Nueve años y tres cuartos

Retención máxima de datos

Desglose por categorías de abuso

Los 1.565 paneles se distribuyeron en seis categorías principales de abuso. Muchos paneles abarcaban varias categorías a la vez, utilizando el enrutamiento de tráfico de Keitaro para dirigir a las víctimas hacia diferentes tipos de estafas en función de su ubicación geográfica, el dispositivo utilizado o la hora del día.

Categoría de abuso	Descripción
Estafas relacionadas con las criptomonedas	Plataformas de inversión falsas, aplicaciones que vacían el monedero, páginas de destino engañosas
Phishing	Robo de credenciales de bancos, proveedores de correo electrónico y redes sociales
Distribución de malware	Entrega de programas de carga, preparación de ransomware, descargas automáticas
Fraude en el comercio electrónico	Tiendas falsas, productos falsificados, clonación de tarjetas de pago
Estafas en las citas	Estafas sentimentales, páginas de destino para la sextorsión, perfiles falsos
Fraude en el juego	Casinos sin licencia, plataformas de apuestas amañadas, robo de depósitos

Nota metodológica

Cada panel se verificó mediante al menos dos métodos de detección independientes antes de ser clasificado. Los falsos positivos se revisaron manualmente y se excluyeron. La cifra de 1.565 corresponde únicamente a instalaciones activas y confirmadas de Keitaro; el número real de implementaciones, incluidas aquellas protegidas por capas adicionales de seguridad, es sin duda mayor.

Lista de clientes en procesos penales

Keitaro TDS no solo lo utilizan los estafadores de poca monta. Es la infraestructura de ocultación preferida por algunas de las organizaciones de ciberdelincuentes más peligrosas del planeta. Estos son los clientes de los que se tiene constancia:

EvilCorp

La organización criminal cibernética rusa sujeta a sanciones utiliza Keitaro para eludir las sanciones internacionales. Al camuflar sus operaciones tras el tráfico distribuido por Keitaro, EvilCorp elude los controles de seguridad diseñados precisamente para acabar con ella. Cada clic que se canaliza a través de Keitaro constituye una violación de las sanciones facilitada por el software de Apliteni OU.

LockBit Ransomware

El grupo de ransomware LockBit utilizó Keitaro para distribuir el malware, aprovechando sus capacidades de camuflaje para garantizar que solo los objetivos reales recibieran las cargas útiles del ransomware, mientras que los entornos de pruebas de seguridad y los investigadores solo veían contenido inofensivo. Keitaro fue un factor multiplicador de la eficacia de una de las operaciones de ransomware más destructivas de la historia.

VexTrio

El mayor cliente conocido de Keitaro. VexTrio opera con Más de 60 afiliados y controles 86 832+ dominios, todas ellas canalizando el tráfico a través del motor de distribución de Keitaro. Esta única operación representa una parte enorme del tráfico publicitario malicioso de Internet, y Keitaro es la columna vertebral que lo mantiene oculto.

ClearFake

ClearFake inserta mensajes falsos de actualización del navegador en sitios web comprometidos, distribuyendo malware cuando las víctimas hacen clic en «Actualizar». La tecnología de ocultación de Keitaro garantiza que solo los visitantes reales vean la ventana emergente maliciosa, mientras que los escáneres de seguridad ven el sitio web original y limpio. El resultado: distribución de malware con índices de detección prácticamente nulos.

FakeBat

FakeBat es un cargador de malware que se distribuye a través de campañas publicitarias maliciosas. Keitaro canaliza el tráfico publicitario a través de un motor de decisión: las herramientas de seguridad son redirigidas a páginas legítimas de descarga de software, mientras que a los usuarios reales se les muestran instaladores infectados con troyanos. Keitaro hace que las campañas de publicidad maliciosa de FakeBat sean prácticamente invisibles para los equipos de seguridad de las plataformas publicitarias.

Doppelgänger

Una campaña de desinformación vinculada al Estado ruso que utiliza Keitaro para difundir propaganda en las redes sociales occidentales. El reconocimiento geográfico y de dispositivos de Keitaro garantiza que los moderadores de contenido y los verificadores de datos vean contenidos diferentes a los que ven los destinatarios. Guerra de información, impulsada por software comercial estonio.

«Hemos encontrado rastros de Keitaro en todas las operaciones importantes de ciberdelincuencia que hemos investigado en los últimos 18 meses. No es una coincidencia: es el estándar del sector para los delincuentes».

— Equipo de investigación de PhishDestroy

Metodología de detección de 7 puntos

A lo largo de esta investigación, PhishDestroy desarrolló siete métodos independientes para identificar las instalaciones del TDS Keitaro. Cada método se centra en una huella digital diferente que deja Keitaro y, en conjunto, forman un marco de detección integral que ahora está disponible como herramientas de código abierto.

1. /click_api/v3 Punto final

Punto final de la API principal de Keitaro para el procesamiento de eventos de clic. Esta ruta está codificada de forma fija en el software y está presente en todas las instalaciones. Comprobar este punto final es la forma más rápida de confirmar una implementación de Keitaro. Una respuesta 200 o 302 en esta ruta constituye una identificación positiva casi segura.

2. _lp / _token / _subid Parámetros de URL

Keitaro añade parámetros de seguimiento específicos a las URL durante las cadenas de redireccionamiento. El _lp El parámetro identifica la página de destino, _token utiliza autenticación de sesión, y _subid realiza un seguimiento de las fuentes de subafiliados. Estos parámetros son exclusivos de Keitaro y rara vez aparecen en los sistemas legítimos de gestión del tráfico.

3. Galletas específicas de Keitaro

Keitaro establece unas cookies específicas para realizar un seguimiento de las sesiones de los visitantes y mantener el estado de enmascaramiento. Estas cookies siguen convenciones de nomenclatura que difieren de las de las plataformas de análisis estándar, lo que permite identificarlas mediante la inspección del navegador o el análisis automatizado de cookies.

4. Patrones de encabezados de respuesta

Las respuestas del servidor de Keitaro contienen patrones distintivos en los encabezados HTTP, entre los que se incluyen directivas específicas de control de caché, encabezados personalizados y cadenas de identificación del servidor que difieren de las de los servidores web estándar. Estos encabezados persisten incluso cuando los operadores intentan personalizar sus instalaciones.

5. Cadenas de redireccionamiento en JavaScript

Keitaro utiliza redireccionamientos de JavaScript en varias etapas para evaluar las huellas digitales de los visitantes antes de decidir si mostrar la página fraudulenta o la legítima. Estas cadenas de redireccionamiento siguen patrones predecibles —nombres de variables específicos, secuencias temporales y lógica de evaluación— que pueden detectarse mediante el análisis estático y dinámico de JavaScript.

World heat map: 1,565 Keitaro TDS panels detected across the globe, 0 legitimate uses found — Mapa de calor mundial: se han detectado 1.565 paneles Keitaro TDS en todo el mundo; no se han encontrado usos legítimos

6. Análisis de patrones de dominio

Los operadores de Keitaro suelen registrar dominios siguiendo convenciones de nomenclatura y patrones de registro predecibles. El análisis masivo de dominios revela grupos de dominios con datos WHOIS, fechas de registro, configuraciones de servidores de nombres y proveedores de alojamiento similares, lo que apunta a implementaciones coordinadas de Keitaro.

7. Identificación del panel de administración

Se puede acceder a los paneles de administración de Keitaro a través de rutas conocidas, y estos devuelven estructuras HTML, nombres de clases CSS y archivos JavaScript característicos. Incluso cuando los administradores modifican la URL de inicio de sesión predeterminada, el marco de trabajo de la interfaz del panel deja rastros identificables que pueden detectarse mediante la enumeración de rutas y el análisis de huellas digitales del contenido.

Defensa en profundidad

Ningún método de detección es infalible. Los operadores más expertos pueden desactivar o modificar determinadas características distintivas. Por eso, la metodología de siete puntos funciona como un sistema por capas: incluso si un operador elimina tres o cuatro de esas características, los métodos restantes seguirán detectando la instalación. En nuestras pruebas, todos los paneles Keitaro fueron detectados por al menos cuatro de los siete métodos.

Mapa de infraestructuras mundiales

Los 1.565 paneles de Keitaro se distribuyen a través de una infraestructura de alojamiento global que da prioridad a los proveedores de VPS económicos y a las jurisdicciones con tiempos de respuesta lentos ante casos de abuso. A continuación se indica dónde se encuentran los paneles:

Región	Proveedores de alojamiento web	Notas
Estados Unidos	DigitalOcean, Vultr	La mayor concentración de servidores. El alojamiento con sede en EE. UU. ofrece tiempos de respuesta rápidos para los usuarios de Norteamérica.
Países Bajos	Varios servidores VPS	Muy utilizado para campañas dirigidas al mercado europeo. Políticas de alojamiento flexibles.
Alemania	Hetzner, varios	Importante centro de operaciones de phishing y fraude en el comercio electrónico dirigidas a la UE.
Rusia	Varios a prueba de balas	Sede de muchos operadores. Proveedores de alojamiento web sin medidas contra los abusos.
Reino Unido	Diversas soluciones en la nube	Se utiliza para atacar a instituciones financieras y servicios públicos del Reino Unido.
Hong Kong	Clúster Femo	Grupo diferenciado de paneles relacionado con estafas de criptomonedas dirigidas al mercado asiático. El «grupo Femo» opera como una organización coordinada.

El dominio de EE. UU.

Estados Unidos alberga la mayor concentración de paneles de Keitaro, principalmente en DigitalOcean y Vultr. Se trata de proveedores de servicios en la nube muy extendidos que gestionan las denuncias de abusos; sin embargo, el volumen de implementaciones y la rapidez con la que los operadores crean nuevas instancias hacen que los equipos encargados de combatir los abusos se vean constantemente en una situación de desventaja.

El clúster Femo

Un grupo diferenciado de paneles Keitaro que opera desde infraestructuras situadas en Hong Kong y que se dirige a los mercados asiáticos con estafas relacionadas con las criptomonedas y el juego. El «grupo Femo» muestra patrones de despliegue coordinados que apuntan a un único operador o a un grupo organizado que gestiona docenas de paneles simultáneamente.

Backend de AWS

Independientemente de dónde estén alojados los paneles front-end, el almacenamiento de datos principal de Keitaro se ejecuta en Amazon Web Services (AWS). Esto significa que las huellas digitales de los visitantes, los registros de redireccionamiento y los datos de segmentación de lo que podrían ser millones de víctimas de estafas se encuentran almacenados en la infraestructura de Amazon. Con un periodo de conservación de datos de hasta 9,75 años, AWS alberga una de las mayores bases de datos de víctimas de estafas que existen.

Lanzamiento de herramientas de código abierto

Paralelamente a esta investigación, PhishDestroy lanza un conjunto completo de herramientas de detección de código abierto. Todas las herramientas son gratuitas, no requieren claves API y se pueden implementar de inmediato. Se incluye el conjunto de datos completo, compuesto por 1.565 paneles.

checker.html

Verificador de paneles Keitaro basado en web. Ábrelo en cualquier navegador, introduce una URL y obtén resultados de detección al instante. No requiere instalación. Utiliza la metodología de 7 puntos en el lado del cliente.

Keitaro Hunter 4.py

Escáner en Python para la detección masiva de Keitaro. Solo hay que introducir una lista de dominios y ejecuta los siete métodos de detección, mostrando los paneles confirmados con puntuaciones de fiabilidad. Diseñado para equipos de seguridad e investigadores.

worker.js

Cloudflare Worker para la detección de Keitaro en tiempo real. Implántalo en tu cuenta de Cloudflare y este interceptará las solicitudes en tiempo real, señalando el tráfico enmascarado por Keitaro antes de que llegue a los usuarios. Protección sin latencia en el perímetro.

paneles.csv

Conjunto de datos completo de los 1.565 paneles de administración de Keitaro confirmados. Incluye direcciones IP, nombres de host, métodos de detección activados, proveedores de alojamiento y datos geográficos. Se actualiza periódicamente.

Repositorio completo de pruebas

Todas las herramientas, los datos y las pruebas se publican en phishdestroy.github.io/ScamIntelLogs/keitaro/. El repositorio es público y se actualizará a medida que se descubran nuevos paneles. Se agradecen las aportaciones de la comunidad y los métodos de detección adicionales.

Detectar, denunciar, desmantelar

How we detected Keitaro TDS panels — fingerprinting methodology — Cómo detectamos los paneles TDS de Keitaro: metodología de identificación

Keitaro TDS traffic flow — how malicious panels redirect victims — Flujo de tráfico de Keitaro TDS: cómo los paneles maliciosos redirigen a las víctimas

Keitaro TDS es la infraestructura invisible que mantiene vivas las estafas. Cada panel que denuncies, cada detección que realices y cada conjunto de datos que compartas contribuye a desmantelar ese ecosistema. Utiliza las herramientas. Comparte los datos. Denuncia lo que encuentres.

Consigue las herramientas Denunciar un panel Todas las herramientas de PhishDestroy

#KeitaroTDS #TrafficDistribution #Malvertising #ScamInfra #Investigation