Saltar al contenido principal
Volver a las noticias
Informe de inteligencia en curso

Derribos a 0 $, Rabietas que no tienen precio

Desde 2019, hemos eliminado miles de dominios de phishing sin coste alguno. Los estafadores respondieron con ataques DDoS, empresas falsas, denuncias masivas y documentos legales falsificados. Nada de eso funcionó. Aquí están las pruebas.

Publicado el 20 de mayo de 2025 Actualizado en abril de 2026 9 minutos de lectura PhishDestroy Intelligence
OSINT investigation board tracking scammer retaliation against PhishDestroy operations since 2019
$0Coste por retirada
10+Tipos de ataque
Más de 5 añosEn activo desde
0Días de inactividad
100 %Índice de fallos

Cómo funcionamos

Nuestro modelo es deliberadamente sencillo. Buscamos infraestructuras de phishing, archivamos pruebas, elaboramos informes estructurados sobre abusos y eliminamos dominios. Sin guerras de relaciones públicas, sin juegos de ego. Solo automatización y correo electrónico.

Detectar
Rastreo automatizado + envíos de la comunidad a través del bot de Telegram. Más de 839 000 dominios en nuestra base de datos de amenazas.
Archivo
Capturas de pantalla en Web Archive + copias forenses locales antes del retiro. La conservación de las pruebas es fundamental.
Informe
Un correo electrónico SMTP estructurado por dominio con todo lo que necesita un registrador o proveedor de alojamiento. Flujo de trabajo automatizado. Sin coste alguno.
Principio fundamental

Por defecto, no se divulga información personal. Nos centramos en la infraestructura, no en las personas. Cuando los autores de amenazas traspasan los límites legales (amenazas, fraude, robo de identidad), remitimos el caso a las fuerzas del orden con un expediente completo de pruebas. En los demás casos, simplemente desactivamos sus dominios.

Lo que intentaron los estafadores (y por qué fracasaron)

A lo largo de los años, los ciberdelincuentes nos han lanzado todo lo que se les ha ocurrido. A continuación, te ofrecemos un análisis detallado de todas las tácticas y de por qué cada una de ellas fue una pérdida de tiempo.

AtaqueMétodoSu costeNuestro impactoEstado
Avalanchas de correos electrónicosEntre 2 000 y 5 000 mensajes al día durante meses50-300 $ al mesCeroFalló
Sociedad ficticia del Reino UnidoEmpresa ficticia + documentos de «propiedad» falsificados500-2 000 dólaresCeroFalló
Criticas en las redes socialesX, Telegram, Medium100-500 dólaresCuentas suspendidas, archivos activosMolestia
Ataques DDoSBotnets alquiladas contra nuestro servidor de aterrizaje200-2000 dólaresCeroFalló
Granjas de botsSeguidores, «Me gusta» y denuncias falsos50-300 $CeroFalló
Denuncias falsas de abusoDenuncias falsas a nuestro proveedor de alojamiento webHoraCeroFalló
Intercambio de contenidosIntroducir contenido ilegal para provocar bloqueos automáticosHoraCeroFalló
Suplantación de identidadFalsos foros de «hackers rusos» que venden nuestro trabajoHoraCeroFalló
DDoS → caída del servidor283 millones de solicitudes / 1,21 TB — Namecheap nos ha dado de bajaMás de 2.000 $Migrado a Cloudflare + HetznerMolestia
Falsa notificación DMCADenuncia falsa de infracción de derechos de autor de OnlyFans ante GoogleHoraCero — OnlyFans ha negado haber presentado la demandaFalló
Infiltración de usuarios de confianzaUn usuario de confianza introdujo 46 dominios falsos positivosHoraSe ha fijado rápidamente, se han consolidado todos los rolesFalló
Formulario para denunciar spamMás de 9 000 reclamaciones por dominios falsos a través de la resolución de hCaptcha100-500 dólaresCero — filtrado de forma trivialFalló
Bombardeo de correos electrónicos (en curso)Más de 400 000 mensajes, sin parar, que se borran automáticamenteMás de 500 $ al mesCeroFalló
X/Twitter me ha bloqueado (otra vez)Solicitud de emergencia al estilo del Gobierno → cuenta suspendidaMás de 3.000 $No voy a restaurarlo. He terminado con X.Molestia
Reddit me ha expulsadoCuenta bloqueada. Una publicación de hace 5 años.HoraCeroFalló
La lógica económica es sencilla

Ellos gastan más de 3.000 dólares por cada retirada de contenido de «tipo gubernamental». Nosotros no gastamos nada por cada dominio eliminado. Nuestro proceso de retirada se basa en la automatización por correo electrónico; la página web es opcional. Los ataques DDoS contra una página de aterrizaje son como bombardear una valla publicitaria: los camiones de reparto siguen circulando.

Cronología del ataque

2019 — Origen
«¡Ni siquiera tienes página web!»
Unos estafadores se burlaron de nosotros en una queja presentada ante el registrador. Creamos uno en 15 minutos. La broma tuvo éxito. Las retiraciones se multiplicaron.
2020-2022 — Avalanchas de correos electrónicos
Entre 2 000 y 5 000 mensajes al día
Bombardeo masivo de la bandeja de entrada que se prolongó durante meses. No dependemos del correo electrónico entrante para nuestras operaciones. No ha tenido ningún impacto.
2023 — Sociedad pantalla del Reino Unido
Empresa ficticia + documentos de propiedad falsificados
Crearon una empresa registrada en el Reino Unido y falsificaron documentos de «titularidad del dominio» para reclamar nuestro dominio. El dominio estaba registrado a nombre de un particular, por lo que las reclamaciones de la empresa estaban abocadas al fracaso desde el principio.
2024 — Campaña DDoS
Alquiler de una red de bots contra nuestro sitio de aterrizaje
Alquilaron redes de bots para «atacarnos». Detrás de Cloudflare. El flujo de correos electrónicos siguió sin interrupciones. Las retiradas no se vieron afectadas. Una lección muy cara para ellos.
Septiembre de 2025 — Cierre de Telegram
Se ha informado masivamente en nuestro canal de Telegram
Denunciamos en masa nuestro canal, donde se publicaban dominios para su bloqueo automático. Inmediatamente creamos un nuevo canal.
2025-2026 — En curso
Ampliación de las operaciones y refuerzo de la infraestructura
Se ha ampliado el proceso automatizado de detección y notificación. Se han implementado nuevas medidas contra la infraestructura de phishing activa. Los detalles son confidenciales.
6 de marzo de 2026 — La opción nuclear contra los ataques DDoS
283 millones de solicitudes, 1,21 TB: Namecheap nos ha dejado tirados
Ataque DDoS masivo: 283 millones de solicitudes y 1,21 TB de ancho de banda en 7 días. El alojamiento de Namecheap no pudo soportarlo y nos canceló la cuenta. Nos cambiamos a Cloudflare + Hetzner (de 8 $ al mes a 25 $ al mes). Tras la migración, lo intentaron de nuevo... y, como era de esperar, fracasaron estrepitosamente. Cloudflare lo absorbió todo. Cero tiempo de inactividad.
30 de marzo de 2026 — DMCA falsa
Denuncia falsa de infracción de derechos de autor de OnlyFans ante Google
Presentó una solicitud fraudulenta de retirada en virtud de la DMCA ante Google, alegando que nuestra página de informes sobre dominios infringía los derechos de autor de OnlyFans. La reclamación fue presentada por «kanave mogel» utilizando nombres de artistas de OnlyFans. Nos pusimos en contacto directamente con OnlyFans, y nos confirmaron que: «Este aviso no ha sido enviado por el equipo de OnlyFans. No proviene de nosotros». Se desestima el caso.
Marzo de 2026 — Infiltración de usuarios de confianza
Un usuario de confianza introdujo 46 dominios falsos positivos
Un usuario con estatus de confianza logró añadir 46 dominios legítimos a nuestra lista de bloqueados. Lo detectamos rápidamente y revertimos el cambio. Resultado: un modelo de permisos reforzado para todos los roles de usuario: administradores, usuarios de confianza y todos los demás. Gracias por la auditoría de seguridad gratuita.
Marzo-abril de 2026 — Avalancha de formularios de recurso
Más de 9 000 apelaciones falsas mediante la resolución de hCaptcha
Inundaron nuestro formulario de reclamaciones de dominios con más de 9 000 envíos falsos, pagando por la resolución de hCaptcha. Se filtraron fácilmente: los patrones eran evidentes. Les costó dinero y tiempo. A nosotros no nos costó nada.
Abril de 2026 — X/Twitter vuelve a ser suspendido
Se ha eliminado la segunda cuenta de X. No se va a recuperar.
Nos han vuelto a suspender la cuenta de X, probablemente a raíz de solicitudes de emergencia por parte de las autoridades. Esta vez lo tenemos claro: hemos terminado con X. No merece la pena el esfuerzo de recuperarla. Hemos creado canales de comunicación alternativos y nuestras operaciones no dependen de ninguna red social.
2026 — Expulsado de Reddit
Una cuenta de cinco años con entre una y tres publicaciones. Desaparecida.
Nos han bloqueado la cuenta de Reddit. Tenía 1 punto de karma, 0 publicaciones y una entrada de hace 5 años en r/TREZOR en la que se advertía sobre aplicaciones fraudulentas en Google Play. Estamos destrozados. (No, en realidad no.) 😂
En curso — Bombardeo de correos electrónicos
Más de 400 000 correos electrónicos y sumando
Una avalancha incesante de correos electrónicos que se borran automáticamente. Sinceramente, no podemos darte la cifra exacta porque nuestros filtros los eliminan automáticamente. Se calcula que son más de 400 000. Alguien está muy enfadado. Debemos de estar haciendo algo bien.

Archivo de pruebas

A continuación se presentan pruebas documentadas de incidentes concretos. Haz clic en cualquier ficha para ver la captura de pantalla a tamaño completo. Todas las pruebas se conservan en aras de la transparencia y para posibles procedimientos legales.

DDoS attack traffic graph showing attack attempts against PhishDestroy infrastructure
Gráfico de ataques DDoS
Picos de tráfico procedentes de botnets alquiladas. A través de Cloudflare. Sin impacto operativo alguno en las retiradas de contenido por correo electrónico.
Fake Russian hacker forum screenshot marketing PhishDestroy's work as their own service
Foro falso de «hackers rusos»
Los estafadores crearon foros falsos de RU y presentaron nuestro trabajo como si fuera su «servicio». Captura de pantalla guardada a efectos de documentación.
Scam forum pricing for illegal services including government database access
Precios del foro — «Gov Access»
Precios de un foro público sobre estafas. Ofrecen servicios llave en mano y acceso a un panel de control automatizado para las fuerzas del orden.
False abuse report submitted to hosting provider with fabricated domain masking
Denuncia falsa de abuso
En un informe, ocultaron el dominio real bajo el nombre «mysite.com». No se trataba de un ataque DDoS, sino de su punto final de autenticación para la captura de claves.
Cloudflare analytics showing 283M requests and 1.21 TB bandwidth from DDoS attack
DDoS: 283 millones de solicitudes / 1,21 TB
6 de marzo de 2026. El ataque que dejó fuera de servicio nuestro alojamiento de Namecheap. Canadá, EE. UU., Indonesia, Bulgaria: una red de bots a escala mundial. Migramos a Cloudflare.
Google notice about fraudulent DMCA copyright complaint against PhishDestroy
Falsa notificación DMCA a través de Google
Se ha falsificado una denuncia DMCA de OnlyFans para solicitar la retirada de nuestro dominio. Presentada por «kanave mogel». OnlyFans ha confirmado que nunca la presentó.
OnlyFans official response denying they filed the DMCA notice
OnlyFans: «No es de nuestra parte»
Respuesta oficial de Dana, de OnlyFans: «Este aviso no ha sido enviado por el equipo de OnlyFans. No proviene de nosotros».
Banned Reddit account showing 1 karma and a 5-year-old anti-scam post
Cuenta de Reddit bloqueada
1 karma. 0 contribuciones. Una publicación de hace 5 años que advierte sobre aplicaciones fraudulentas. Sin duda, una amenaza para la sociedad.

Marzo de 2026: El ataque DDoS que dejó fuera de servicio nuestro servidor

El 6 de marzo de 2026, unos estafadores lanzaron el mayor ataque DDoS contra nuestra infraestructura hasta la fecha: 283,45 millones de solicitudes y 1,21 TB de ancho de banda en solo 7 días. El ataque procedía de una red de bots global que abarcaba Canadá (91 millones de solicitudes), Estados Unidos (73 millones), Indonesia (13 millones), Bulgaria (13 millones), Guatemala (12 millones), Japón, Rusia y Alemania.

Cloudflare analytics showing 283M requests, 1.21 TB bandwidth, 313K visits from DDoS attack across multiple countries
Estadísticas de Cloudflare: 283 millones de solicitudes, 1,21 TB de ancho de banda. El ataque que nos obligó a cambiar de proveedor de alojamiento.

El alojamiento de Namecheap, a 8 $ al mes, no pudo con el volumen y nos canceló la cuenta. Nos cambiamos a Cloudflare + Hetzner (25 $ al mes). Tras la migración, lo volvieron a intentar... y, como era de esperar, fracasaron estrepitosamente. Cloudflare lo gestionó todo sin ningún problema. Sin interrupciones del servicio. Sin repercusiones en las operaciones de retirada.

Falso ataque en virtud de la DMCA

El 30 de marzo de 2026, Google nos notificó una reclamación por infracción de derechos de autor contra nuestra página de informes de dominios phishdestroy.io/domain/hbmhcw.net/. En la denuncia se alegaba que nuestra página contenía contenido de OnlyFans protegido por derechos de autor perteneciente a las artistas «Mibadbitch, Bri Naranjo o Brianna Naranjo». La denuncia fue presentada por una persona llamada «kanave mogel».

Google DMCA notice
Aviso de derechos de autor de Google
30 de marzo de 2026. Google retira nuestra página de informes de dominios de los resultados de búsqueda a raíz de una reclamación fraudulenta en virtud de la DMCA.
OnlyFans denying they filed the notice
OnlyFans: No es de nuestra parte
Dana, de OnlyFans: «Este aviso no ha sido enviado por el equipo de OnlyFans. No proviene de nosotros».

Nos pusimos en contacto directamente con OnlyFans. Su respuesta fue clara: «La notificación de la DMCA a la que se hace referencia (ID de la base de datos de Lumen: 81731777) no fue presentada por el equipo de OnlyFans. Nuestra plataforma simplemente fue identificada en la notificación como la supuesta fuente original del contenido. Sin embargo, la denuncia no fue presentada en nuestro nombre».

Registro de la base de datos Lumen

lumendatabase.org/notices/81731777 — La notificación fraudulenta completa en virtud de la DMCA es de dominio público. Presentada por «kanave mogel». Un estafador que intenta utilizar la ley de derechos de autor para eliminar de nuestros informes las pruebas de sus dominios de phishing.

Eliminación de contenidos en redes sociales

Nuestras cuentas en redes sociales son objeto de ataques sistemáticos. X (Twitter), Telegram, Medium, Reddit: todas han sido suspendidas o bloqueadas mediante denuncias masivas, probablemente con el pretexto de solicitudes de emergencia gubernamentales falsificadas. Nuestra última cuenta de X fue eliminada en abril de 2026. Hemos decidido no restaurarlo. Ya estamos hartos de jugar al «golpea al topo» con las suspensiones de las plataformas.

X/Twitter — abandonado definitivamente

Tras la segunda suspensión, decidimos que ya era suficiente. No vamos a perder el tiempo recuperando cuentas en plataformas en las que los estafadores con dinero pueden presentar solicitudes falsas a las autoridades para que se eliminen cuentas. Nuestras operaciones nunca han dependido de las redes sociales. Las eliminaciones continúan de todos modos.

Canales alternativos

Decimos la verdad y ayudamos a bloquear lo que hay que bloquear. A algunas personas no les gusta eso. Creen que bloquear o eliminar nuestras cuentas nos detendrá o nos hará daño. No nos quejamos; la verdad es que, a estas alturas, nos hace gracia. Estamos preparados para cualquier bloqueo o eliminación. Estafadores con dinero y sin cerebro = compran ataques e intentan destruirnos. Pero PhishDestroy sigue aquí. Y seguimos destruyendo.

Archivo X
Se han conservado más de 140 000 publicaciones eliminadas.
Repositorio de GitHub
Archivo de Medium
Todas las entradas del blog se han conservado y duplicado.
Ver archivo
Nuevo canal
Se reconstruyó inmediatamente después de su desmantelamiento.
Suscríbete al canal

Protocolo de conservación de pruebas

Cada medida que tomamos sigue un estricto protocolo de conservación de pruebas diseñado para garantizar la máxima transparencia y estar preparados para posibles procedimientos judiciales:

Lecturas relacionadas

Revista Infosecurity: Correos electrónicos de las fuerzas del orden y la administración pública — La calidad de la respuesta de los registradores varía enormemente. Namecheap siempre actúa con rapidez; otros, no tanto.

El modelo de 0 dólares en la práctica

Nuestra estructura de costes es deliberadamente asimétrica. Cada dólar que gastan en represalias es dinero tirado a la basura. Cada dominio que eliminamos no nos cuesta nada.

Sus gastosNuestros gastos
Más de 3.000 dólares por cada acción de desactivación de redes sociales «al estilo del gobierno»0 $ por cada denuncia automática de abuso
Entre 200 y 2000 dólares por el alquiler de una red de bots para ataques DDoS0 $ — A pesar de Cloudflare, el flujo de correos electrónicos continúa
Entre 500 y 2000 dólares por una empresa de papel del Reino Unido + falsificaciones legales0 $ — registro privado, solicitudes rechazadas automáticamente
Entre 50 y 300 dólares al mes por servicios de envío masivo de correos electrónicos0 $ — No utilizamos el correo electrónico entrante para nuestras operaciones
Entre 50 y 300 dólares por informes falsos generados por una red de bots0 $ — notificado y eliminado por las plataformas

El marcador

Matan a miles de personas intentando detenernos. Nosotros gastamos $0 para desmantelar su infraestructura. Nuestra automatización es escalable. Su pánico, no. Les advertimos: «Tu infraestructura se va a desconectar pronto» — y ahí empieza el caos por su parte. Mientras tanto, nosotros seguimos con lo de siempre: escanear, archivar, informar, eliminar.

¿Quieres echar una mano?

Si te has topado con una página de phishing o quieres colaborar en la lucha contra las estafas relacionadas con las criptomonedas, aquí te explicamos cómo hacerlo:

Aviso de transparencia. PhishDestroy es un proyecto sin ánimo de lucro impulsado por voluntarios. Nuestra investigación puede reflejar un sesgo inherente contra las infraestructuras fraudulentas y los servicios que las facilitan. Animamos a los lectores a que evalúen todo el material de forma crítica e independiente. Lee nuestra declaración de transparencia completa →