What is cloaking in phishing?

Cloaking is a technique where a phishing site shows different content to different visitors. Security scanners, bots, and researchers see a harmless 'white page' or a redirect to a legitimate website, while real victims see the phishing content.

What is a white page in phishing infrastructure?

A white page is a harmless-looking decoy page (often a blog, news article, or product page) that a cloaked phishing domain shows to security scanners and search engine crawlers instead of the real phishing content. It exists solely to evade detection.

Why does PhishDestroy ban sites that redirect to official websites?

Because redirecting to an official site is a known cloaking defense. When a phishing domain detects a scanner, it redirects to the real company's website. The scanner sees a clean redirect and marks it safe. The next real victim sees the phishing page. No legitimate website needs to redirect to someone else's domain.

Keitaro is a Traffic Distribution System (TDS) used extensively by phishing operators to filter visitors. It routes real victims to phishing pages while sending bots, scanners, and researchers to white pages or legitimate redirects. PhishDestroy has identified over 1,565 active Keitaro panels serving phishing infrastructure.

Can a site using cloaking be legitimate?

In our experience scanning over 50,000 sites, the number of legitimate websites using cloaking infrastructure like Keitaro TDS, white pages, or conditional redirects to other domains is zero. These technologies exist for one purpose: to show different content to different visitors, which is the definition of deception.

Volver a las noticias

Informe de investigación

Por qué bloqueamos las «páginas en blanco» y redirigimos a los sitios web oficiales: El problema del cloaking, explicado

El cloaking, las páginas en blanco y los redireccionamientos TDS son la columna vertebral de la infraestructura moderna de phishing. Cualquier sitio web que los utilice es bloqueado. A continuación explicamos por qué, y lo que descubrimos cuando miramos más allá de las apariencias.

29 de marzo de 2026 Investigación de PhishDestroy ~12 min de lectura

Cloaking and White Pages in Phishing Infrastructure — Technical Overview

Cómo la infraestructura moderna de phishing utiliza el camuflaje para eludir todas las capas de detección automatizada.

Más de 50 000

Sitios analizados

1,565

Viñetas de Keitaro

Usos legítimos

55+

Comprar dominios en BUYTRX

Más de 100

AV Engines

La pregunta que nos hacen constantemente

Cada semana recibimos la misma petición: «Has marcado mi dominio, pero cuando lo compruebo, simplemente redirige a la página web oficial. Aquí no hay nada malicioso».

O una variante: «La página es solo una entrada de blog sobre criptomonedas. No es phishing».

Entendemos que esto pueda resultar confuso. Si visitas un dominio que ha sido marcado y ves una página perfectamente normal —o una redirección correcta a un sitio legítimo—, es lógico pensar que la marca es errónea. Pero esa página correcta no es un error de nuestro sistema de detección. Es el ataque.

En este artículo se explica la tecnología que hay detrás del cloaking, por qué existen las «páginas blancas», cómo los sistemas de distribución de tráfico (TDS), como Keitaro, redirigen a las víctimas, y por qué PhishDestroy considera cada uno de estos patrones como infraestructura maliciosa confirmada, sin excepción alguna.

Por qué es importante

Si estás leyendo esto porque tu dominio ha sido marcado y crees que se trata de un error, te animamos a que leas hasta el final. También mantenemos un procedimiento de recurso por falsos positivos legítimos. Sin embargo, según nuestra experiencia, los dominios que muestran un comportamiento de cloaking son maliciosos en el 100 % de los casos.

Cómo los sistemas antivirus cambiaron las reglas del juego

Hace una década, el phishing era sencillo. Un atacante registraba un dominio, creaba una página de inicio de sesión falsa y enviaba el enlace a las víctimas. Los proveedores de seguridad acababan rastreando esa URL, detectaban la página de phishing y la añadían a las listas de bloqueo. El dominio desaparecía en cuestión de horas o días.

Entonces, el sector mejoró. Google Safe Browsing, Microsoft SmartScreen y más de 100 motores antivirus en plataformas como VirusTotal comenzaron a analizar las URL casi en tiempo real. Las advertencias en los navegadores redujeron drásticamente las tasas de clics. Los proveedores de alojamiento web pusieron en marcha procesos automatizados de retirada de contenidos. El lapso de tiempo entre la publicación de una página de phishing y su bloqueo se redujo de días a minutos.

Los autores de los ataques de phishing se enfrentaban a un problema: sus páginas eran detectadas más rápido de lo que tardaban en publicarlas. Necesitaban una forma de mostrar el contenido fraudulento a las víctimas reales sin que los sistemas automatizados que intentaban detectarlas lo consideraran sospechoso.

La respuesta fue camuflaje.

Evolution of antivirus detection vs phishing evasion — technical infographic

La carrera armamentística: a medida que la detección de virus mejoraba, pasando de días a minutos, los autores de ataques de phishing respondieron con una infraestructura de camuflaje que muestra un contenido diferente a los escáneres y a las víctimas reales.

El problema fundamental

El phishing moderno no se descubre porque la página de phishing sea difícil de detectar. Se sale con la suya porque el escáner ni siquiera detecta la página de phishing. El escáner detecta una entrada de blog, una redirección o una página en blanco. La víctima —que visita la página desde un país concreto, a través de un dispositivo móvil y tras hacer clic en un anuncio de pago— ve el programa de robo de credenciales.

Qué es realmente el cloaking

El cloaking es la práctica de mostrar contenidos diferentes a distintos visitantes en función de quiénes sean. En el contexto del phishing, esto significa una cosa: Los escáneres de seguridad ven una página inofensiva, mientras que las víctimas reales ven la página de phishing.

El filtrado puede realizarse en varios niveles:

Reputación de IP — Las direcciones IP de centros de datos conocidos, los rangos de VPN y los bloques de direcciones IP de proveedores de seguridad reciben la versión limpia. Las direcciones IP residenciales reciben la página de phishing.
Cadenas User-Agent — Se identifican y se filtran los navegadores sin interfaz gráfica, los rastreadores conocidos (Googlebot, Bingbot, Screaming Frog) y los escáneres de seguridad.
Geolocalización — La página de phishing solo se muestra a los visitantes de los países seleccionados. El resto de usuarios ven una página en blanco.
Encabezados de referencia — Solo los visitantes que llegan desde fuentes concretas (un anuncio de Google, un enlace de un correo electrónico de phishing, una publicación en redes sociales) ven el contenido real.
Identificación de dispositivos — JavaScript comprueba la resolución de pantalla, las fuentes instaladas, el motor de renderizado WebGL, la API de batería y otras señales para distinguir los dispositivos reales de los emuladores.
Reglas basadas en el tiempo — La página de phishing solo está activa durante un horario concreto (por ejemplo, el horario laboral en la zona horaria de destino) y, fuera de ese horario, se muestra por defecto la página en blanco.
Seguimiento de cookies y sesiones — En la primera visita se muestra la página en blanco. Los visitantes que vuelven y tienen una cookie específica (creada al hacer clic en el anuncio) ven la página de phishing.

Three threat actors operating cloaking infrastructure — conceptual illustration

La infraestructura de camuflaje filtra a los visitantes en múltiples niveles. Para cuando una víctima real llega a la página de phishing, todas las defensas automatizadas ya han recibido un señuelo inofensivo.

Un sofisticado sistema de camuflaje combina todos estos elementos. El resultado es un dominio que parece totalmente limpio ante cualquier escáner de Internet, mientras que, al mismo tiempo, roba activamente las credenciales de las víctimas seleccionadas.

La brecha en la detección

Cuando VirusTotal analiza una URL enmascarada, se muestra una página en blanco. Resultado: 0/93 detecciones. Google Safe Browsing lo rastrea y encuentra una entrada de blog. Resultado: sin previo aviso. La víctima hace clic en la misma URL desde su teléfono a través de un anuncio de Google: ven una página de inicio de sesión falsa de MetaMask. No se trata de un problema teórico, sino del modelo operativo habitual del phishing moderno.

Las herramientas que se esconden tras el engaño

El cloaking no se improvisa. Se lleva a cabo mediante un software comercial especializado llamado Sistemas de distribución del tráfico (TDS). El más utilizado en las operaciones de phishing es Keitaro.

Keitaro es un producto de tecnología publicitaria de confianza diseñado para que los profesionales del marketing de afiliación dirijan el tráfico en función de las características de los visitantes. Es compatible de serie con todos los criterios de filtrado mencionados anteriormente —rangos de IP, ubicación geográfica, dispositivo, sitio de referencia y agente de usuario—. Los operadores de phishing solo tienen que configurarlo para redirigir a los escáneres a una página en blanco y a las víctimas a la página de phishing.

Nuestra investigación, publicada como Keitaro TDS: 1.500 paneles expuestos, identificado 1.565 cómics activos de Keitaro infraestructura dedicada al phishing. No son 1.565 páginas de phishing, sino 1.565 paneles de control, cada uno de los cuales gestiona entre decenas y cientos de campañas de phishing simultáneamente.

Keitaro TDS panel infrastructure used for phishing traffic distribution

Keitaro TDS: un sistema comercial de distribución de tráfico reconvertido en la columna vertebral de un sistema de ocultación de phishing. Se han identificado y documentado más de 1.565 paneles.

Otras plataformas de TDS con las que nos encontramos son:

Binom — Un servidor de seguimiento autohospedado muy utilizado en operaciones en la región de la CEI
Mantente en movimiento — Herramienta de seguimiento basada en la nube con filtrado de direcciones IP y detección de bots
Enrutadores PHP personalizados — Scripts de desarrollo propio que utilizan MaxMind GeoIP y listas de bloqueo de direcciones IP
Cloudflare Workers — Enrutamiento basado en el borde que evalúa los atributos de los visitantes antes incluso de que la solicitud llegue al servidor de origen

El denominador común: todas ellas existen para mostrar contenidos diferentes a distintos visitantes. En el mundo del marketing de afiliación, esto se conoce como «optimización del tráfico». En el phishing, se denomina evasión.

Herramienta de detección disponible

Hemos construido el Herramienta de detección de Keitaro para detectar rastros de Keitaro TDS en cualquier dominio. Comprueba las rutas de paneles conocidas, los patrones de encabezados de respuesta, las cadenas de redireccionamiento y las firmas de JavaScript asociadas a las instalaciones de Keitaro.

El caso de la «redirección del sitio web oficial»

Uno de los patrones de cloaking más habituales con los que nos encontramos es un dominio que simplemente redirige a un sitio web oficial. El mensaje siempre es el mismo: «Compruébalo tú mismo: solo te lleva a coinbase.com. No hay ningún intento de suplantación de identidad».

Esto es lo que está pasando realmente:

El escáner visita la URL

El TDS comprueba la IP, el UA y la ubicación geográfica

302 → coinbase.com

Escáner: «Limpio»

La víctima hace clic en el anuncio

El TDS comprueba la IP, el UA y la ubicación geográfica

Página de inicio de sesión falsa de Coinbase

Robo de credenciales

El redireccionamiento a la página web oficial no significa que el dominio sea inofensivo. Es el propio mecanismo de ocultación. El TDS ha determinado que el visitante es un robot de rastreo, y la respuesta más segura —la que tiene más probabilidades de dar lugar a un escaneo limpio— es redirigirlo al sitio web auténtico.

A continuación se muestra un ejemplo simplificado de la lógica del lado del servidor:

// Simplified cloaking router (illustrative)
const SCANNER_IPS = ['34.0.0.0/8', '35.0.0.0/8', '64.233.0.0/16']; // Google, etc.
const BOT_UA = /bot|crawl|spider|scan|check|virus|curl|wget|python/i;
const TARGET_GEO = ['US', 'GB', 'CA', 'AU'];

function routeVisitor(req) {
  const ip = req.headers['cf-connecting-ip'];
  const ua = req.headers['user-agent'];
  const geo = req.headers['cf-ipcountry'];

  // If scanner/bot detected: redirect to official site
  if (isInRange(ip, SCANNER_IPS) || BOT_UA.test(ua)) {
    return Response.redirect('https://www.coinbase.com', 302);
  }

  // If not in target geography: show white page
  if (!TARGET_GEO.includes(geo)) {
    return renderWhitePage(); // Innocent blog post
  }

  // Real victim from target country: show phishing page
  return renderPhishingPage(); // Credential harvester
}

La idea clave

Ningún sitio web legítimo redirige a los visitantes al dominio de otra empresa. Si crypto-wallet-app[.]com redirige a coinbase.com, ese dominio no tiene razón de ser. Una página auténtica de Coinbase estaría alojada en coinbase.com. La redirección es la clave.

El problema de la página en blanco

Una «página en blanco» es el contenido de distracción que un dominio de phishing camuflado muestra a los escáneres y a los visitantes que no forman parte del público objetivo. A pesar de su nombre, rara vez se trata de una página en blanco. Las páginas en blanco modernas son sitios web totalmente funcionales diseñado para parecer legítimo:

Entradas de blog sobre criptomonedas, finanzas o tecnología
Páginas de destino de productos para herramientas SaaS genéricas
Artículos de prensa extraídos de publicaciones fiables
Páginas de dominios aparcados con mensajes genéricos del tipo «próximamente»
Contenido optimizado para SEO diseñado para posicionarse en los resultados de búsqueda

Este último punto es fundamental. Las páginas en blanco no son solo herramientas de evasión, sino que son Armas de SEO. Al alojar contenido de alta calidad en un dominio de phishing, los operadores logran dos objetivos a la vez: evaden la detección y Conseguir así una autoridad de dominio que hace que sus enlaces de phishing aparezcan en posiciones más altas en los resultados de búsqueda.

El ataque de envenenamiento SEO en tres fases

Este es el ciclo de vida completo de una campaña de phishing basada en páginas en blanco:

Fase 1
Autoridad de construcción

Fase 2
Clasificación e índice

Fase 3
Activar phishing

Fase 1: Generar autoridad (semanas 1 a 4)

Registrar el dominio. Publicar una página de inicio con contenido optimizado para SEO (entradas de blog, artículos). Crear enlaces externos. El dominio madura y gana autoridad. Todos los rastreadores ven un sitio con contenido limpio. Google lo indexa sin advertencias.

Fase 2: Clasificación e indexación (semanas 4-8)

El dominio empieza a posicionarse para las palabras clave objetivo («conectar el monedero MetaMask», «iniciar sesión en Coinbase», «airdrop de criptomonedas»). El contenido de la página en blanco sigue estando disponible. Comienza a llegar tráfico orgánico. Se consolida la reputación del dominio en todos los sistemas de valoración.

Fase 3: Activación del phishing (semana 8 en adelante)

Las reglas del TDS se han invertido. Los visitantes que coinciden con los perfiles de las víctimas (IP residencial, país de destino, dispositivo móvil) ven ahora la página de phishing en lugar de la página en blanco. Los escáneres siguen viendo la página en blanco. La reputación acumulada del dominio hace que las advertencias del navegador tarden en activarse. Las víctimas que hacen clic en los resultados de búsqueda o en los anuncios llegan a un dominio que parece fiable y que tiene una puntuación de autoridad elevada.

White page SEO poisoning pipeline — phishing domain builds authority before activating

Las páginas blancas no son una evasión pasiva. Son armas activas de SEO que refuerzan la autoridad del dominio, consiguen un buen posicionamiento en los resultados de búsqueda y, a continuación, aprovechan esa reputación para enviar mensajes de phishing a las víctimas a través de los resultados de búsqueda orgánicos.

Por eso marcamos los dominios en la fase 1. Para cuando se activa la fase 3, el daño ya está hecho. Esperar a que aparezca la página de phishing equivale a esperar a que las víctimas pierdan sus credenciales y su dinero.

Escenarios de tráfico activo: anuncios y campañas de correo electrónico

No todo el phishing encubierto se basa en la búsqueda orgánica. Dos de los métodos más agresivos para captar tráfico son publicidad de pago y campañas de correo electrónico, las cuales utilizan técnicas de ocultación para eludir la revisión de la plataforma.

Ocultación en Google Ads

Nuestra investigación sobre el Red de drenaje BUYTRX documentado Más de 55 dominios utilizar Google Ads para dirigir el tráfico hacia sitios que vacían la cartera. El mecanismo:

El operador envía el dominio para su revisión en Google Ads. El rastreador de Google encuentra una página en blanco (un blog sobre tecnología blockchain). Anuncio aprobado.
Se publican anuncios orientados a las palabras clave «connect wallet» y «crypto airdrop».
Un usuario de Google hace clic en el anuncio. TDS detecta una dirección IP residencial procedente de una fuente de referencia de Google Ads. Se sirve un plato que deja el bolsillo vacío.
La víctima conecta su monedero. Los fondos se vacían en cuestión de segundos mediante una transacción prefirmada.

El sistema de revisión de anuncios de Google —al igual que cualquier escáner automatizado— solo ve la página en blanco. El anuncio sigue publicándose y el operador sigue pagando a Google por cada víctima que le envían.

Ocultación de campañas de correo electrónico

Las pasarelas de correo electrónico (Microsoft Defender para Office 365, Proofpoint, Mimecast) analizan los enlaces de los correos electrónicos antes de su envío. Cloaking gestiona esto de la misma manera:

El correo electrónico de phishing contiene un enlace a un dominio oculto.
La pasarela de correo electrónico analiza la URL. El sistema TDS del servidor reconoce el rango de IP de la pasarela. Muestra la página en blanco o redirige al sitio web oficial. Correo electrónico enviado.
El destinatario hace clic en el enlace desde su cliente de correo electrónico. IP residencial, referenciador correcto, zona geográfica de destino. Se ha abierto una página de phishing.

La balanza

Solo en la investigación de BUYTRX, Google Ads financiaba activamente la distribución de programas maliciosos para vaciar monederos electrónicos en más de 55 dominios. Cada uno de estos dominios superó la revisión automática de Google porque al rastreador de Google se le mostraba una página en blanco. No se trata de una laguna jurídica, sino de un fallo estructural en la forma en que las plataformas publicitarias validan las páginas de destino cuando se utiliza el cloaking.

Por qué el principio de «inocente hasta que se demuestre lo contrario» no se aplica en este caso

A veces se oye decir que marcar un dominio basándose en una infraestructura de cloaking es prematuro, y que deberíamos esperar a que aparezca el contenido de phishing propiamente dicho antes de tomar medidas. Este argumento malinterpreta en qué consiste el cloaking.

El camuflaje no es una tecnología neutra. Es infraestructura adversaria diseñado específicamente para eludir la detección. Un dominio que utiliza técnicas de camuflaje ya ha dejado clara su intención: mostrar una cosa a los sistemas de seguridad y otra a las víctimas. Esa no es una configuración que sirva para ningún fin legítimo.

Las 5 señales que buscamos

Cualquier dominio que presente cualquier combinación de estas señales se marca como maliciosa:

Publicación de contenido condicional — Contenido diferente en función de la dirección IP, el agente de usuario, la ubicación geográfica, la página de referencia o la huella digital del dispositivo
Huellas digitales de TDS — Keitaro, Binom, BeMob o firmas de enrutadores personalizadas en los encabezados de respuesta, las cadenas de redireccionamiento o el JavaScript
Redirigir a las páginas web oficiales — Cualquier redireccionamiento a un dominio legítimo de terceros (especialmente de entidades bancarias, plataformas de criptomonedas o proveedores de correo electrónico)
Página en blanco con contenido no relacionado — Entradas de blog, artículos de noticias o contenido genérico en un dominio registrado recientemente sin presencia comercial consolidada
JavaScript antibots — Scripts de identificación que comprueban si hay navegadores sin interfaz gráfica, WebDriver, las dimensiones de la pantalla o la representación en el lienzo antes de decidir qué mostrar

En nuestra base de datos, que cuenta con más de 50 000 sitios web analizados, el número de dominios que presentaban estas señales y que resultaron ser legítimos es cero. No es «poco frecuente», es que no existe. Nunca nos hemos encontrado con una sola página web legítima que necesitara redirigir a los visitantes no específicos al dominio de otra empresa, o mostrar un blog sobre criptomonedas a los rastreadores mientras se mostraba un formulario de inicio de sesión a los visitantes de rangos de IP concretos.

Nuestra política

El cloaking es una señal binaria. Si un dominio muestra contenidos diferentes a distintos visitantes utilizando los mecanismos descritos anteriormente, se marca como sospechoso. Si un operador considera que se trata de un falso positivo, nuestro procedimiento de recurso existe precisamente para eso. Hasta la fecha, ninguna sanción relacionada con el cloaking ha sido revocada tras una apelación.

El problema del registrador

El cloaking genera un problema posterior a la hora de denunciar abusos. Cuando denunciamos un dominio oculto ante un registrador, el equipo de abuso de este visita la URL y se encuentra con… una página limpia. Una entrada de blog. Una redirección a coinbase.com. Desde su punto de vista, no hay nada sobre lo que actuar.

Este es exactamente el escenario que se produjo en nuestro Investigación sobre NiceNIC y nuestro Investigación de NameSilo. En ambos casos, los registradores comprobaron los dominios denunciados, comprobaron que el contenido era lícito y, o bien archivaron el caso, o bien defendieron activamente al titular del dominio.

El problema es sistémico:

Los equipos de lucha contra el abuso de los registradores utilizan los mismos métodos de análisis que los proveedores de antivirus — Acceden a la URL desde direcciones IP de centros de datos utilizando navegadores estándar. El cloaking lo frustra siempre.
Ningún registrador ha invertido en la detección del cloaking — La tecnología para detectar la entrega de contenido condicional existe (la hemos desarrollado nosotros), pero ningún registrador la ha implementado.
El marco de la ICANN sobre abusos no tiene en cuenta el cloaking — Las denuncias de abuso requieren pruebas de que existe contenido perjudicial. Si dicho contenido solo es visible para las víctimas, el proceso de verificación del propio registrador nunca lo detectará.

Error en la respuesta del registrador

Hemos documentado este patrón de forma exhaustiva. Nuestro informe Cuando las denuncias de abusos caen en saco roto explica cómo los registradores no suelen tomar medidas respecto a los dominios ocultos, ya que sus métodos de verificación son precisamente lo que el cloaking pretende eludir.

Por eso PhishDestroy funciona como una capa independiente. No nos limitamos a visitar la URL desde una única IP y comprobar lo que muestra. Analizamos cadenas de redireccionamiento, huellas TDS, el comportamiento de JavaScript, el historial de DNS, los registros de transparencia de certificados y los patrones temporales en miles de dominios. Cuando marcamos un dominio, ya hemos tenido en cuenta que este parecerá limpio a cualquiera que lo compruebe de la forma más obvia.

Resumen: Técnicas de ocultación y detección

Técnica	Lo que ven los escáneres	Lo que ven las víctimas	Método de detección
Filtrado basado en direcciones IP	Página en blanco / redireccionamiento	Página de phishing	Escaneo de múltiples direcciones IP, comparación de proxies residenciales
Filtrado basado en el espacio de direcciones unificadas (UA)	Página en blanco / 403	Página de phishing	Rotación de UA: comparación entre un navegador sin interfaz gráfica y un navegador real
Filtrado basado en la ubicación	Contenido genérico	Phishing localizado	Escaneo de proxies multirregional
Filtrado de referencias	Página en blanco	Phishing (a través de anuncios o correos electrónicos)	Falsificación de la dirección de referencia, simulación de clics en anuncios
Identificación de JavaScript	Página en blanco (se ha detectado un bot)	Phishing (dispositivo real)	Análisis estático de JavaScript, desofuscación
Reglas basadas en el tiempo	Limpieza (fuera del horario laboral)	Phishing (en horario de oficina)	Escaneo temporal, comprobaciones alineadas con la zona horaria
Control de acceso mediante cookies o sesiones	Limpieza (primera visita)	Phishing (visita posterior con cookie)	Análisis de sesiones con múltiples visitas, reproducción de cookies
TDS (Keitaro/Binom)	Página en blanco o redireccionamiento	Redirigido a una página de phishing	Herramienta de detección de Keitaro, análisis de encabezados y redireccionamientos
Redirección a la página web oficial	302 → sitio legítimo	Página de phishing	Análisis de destinos de redireccionamiento, validación de la finalidad del dominio

Summary of cloaking detection and phishing infrastructure analysis

El panorama completo: toda técnica de ocultación tiene su método de detección. El reto no radica en la tecnología, sino en conseguir que los registradores, las plataformas publicitarias y las pasarelas de correo electrónico los implementen.

Conclusión

El cloaking no es una zona gris. Es el la técnica de evasión más eficaz en el phishing moderno, y todos los componentes del ecosistema del phishing —desde Google Ads hasta las pasarelas de correo electrónico y los equipos de lucha contra el abuso de los registradores— están fallando a la hora de abordarlo.

Cuando PhishDestroy marca un dominio por cloaking, no estamos haciendo una suposición. Estamos documentando la presencia de una infraestructura maliciosa que existe con un único propósito: mostrar contenido diferente a distintos visitantes. En más de 50 000 análisis, la tasa de falsos positivos de esta señal es cero.

Si tu dominio ha sido marcado:

Si usted es un operador legítimo y cree que se trata de un falso positivo, presentar un recurso. Los revisamos todos.
Si estás utilizando una infraestructura de cloaking, ya lo sabemos. La página en blanco que le mostraste a nuestro escáner no es lo que ven tus víctimas. Y tenemos pruebas que lo demuestran.

Una página en blanco no es una defensa. Es una confesión. Si tu dominio necesita mostrar contenidos diferentes a distintos visitantes, ya has respondido a la pregunta de si es malicioso.

Todos los dominios ocultos son bloqueados. Sin excepciones. Ninguna apelación ha prosperado. Porque, en 50 000 análisis, nunca nos hemos equivocado con respecto a esta señal.

Investigaciones y recursos relacionados

Keitaro TDS: 1.500 paneles expuestos

Investigación Sólidos totales disueltos Ocultación

Cómo identificamos 1.565 servidores Keitaro que alimentan la infraestructura de phishing en todo el mundo.

Herramienta de detección de Keitaro

Herramienta Detección Sólidos totales disueltos

Analiza cualquier dominio en busca de huellas de Keitaro TDS, cadenas de redireccionamiento y firmas de enmascaramiento.

BUYTRX: 55 dominios, financiación de Google Ads

Investigación Escurrir Google Ads

Una red dedicada a vaciar carteras que utiliza páginas blancas camufladas para superar la revisión de Google Ads.

Cuando las denuncias de abusos caen en saco roto

Informe Registrar ICANN

Por qué los equipos de lucha contra los abusos de los registradores no toman medidas ante los dominios ocultos y qué es lo que debe cambiar.

Veredicto de NiceNIC

Investigación Registrar ICANN

Denuncia de la ICANN contra NiceNIC por su inacción sistemática ante las denuncias de abuso.

Investigación de NameSilo

Investigación NameSilo Moneda

Cómo NameSilo defendió a un ladrón de criptomonedas que se había llevado 2 millones de dólares y se inventó una coartada.

Este artículo se basa en nuestra experiencia operativa tras analizar más de 50 000 dominios, investigar infraestructuras de phishing activas y presentar informes de abuso ante los registradores y la ICANN. Todas las técnicas descritas están documentadas con pruebas. En ningún momento de nuestra investigación se llevó a cabo ningún acceso no autorizado.