Preguntas frecuentes

Nuestro proceso gestiona miles de dominios al día a lo largo de cuatro fases:

Fase 1: Detección preventiva e ingesta

Utilizamos una red distribuida de Más de 30 analizadores sintácticos propios para detectar dominios maliciosos en su fase más temprana:

• Registros de Certificate Transparency (CT) — supervisión en tiempo real de los nuevos certificados SSL para detectar dominios de phishing a los pocos minutos de su registro
• Supervisión del DNS — seguimiento de los nuevos registros de dominios y de las configuraciones sospechosas
• Detección de publicidad maliciosa — Seguimiento continuo de Google Ads, de los resultados de búsqueda optimizados para SEO y de las campañas de tendencia en redes sociales como Twitter/X, YouTube y Telegram
• Typosquatting — Aprovechando dnstwist y heurísticas personalizadas para detectar dominios similares que se dirigen a marcas consolidadas
• Inteligencia comunitaria — Incorporación de datos en tiempo real a través de nuestro bot de Telegram, correo electrónico y fuentes de nuestros socios
• Agregación de fuentes de phishing — Integración con más de 13 fuentes comunitarias, entre las que se incluyen OpenPhish, PhishTank y URLhaus

Fase 2: Análisis y puntuación

• 95 motores AV a través de VirusTotal
• Enriquecimiento de datos WHOIS/DNS (registrador, servidores de nombres, geolocalización de IP, país)
• Análisis de certificados SSL (emisor, nombres alternativos [SAN], fechas de validez)
• Captura de pantalla y comparación de contenido visual
• Identificación de kits de phishing
• Cálculo de la puntuación de riesgo (0-100) a partir de más de 12 señales ponderadas

Fase 3: Informes de proveedores a nivel mundial

Una vez confirmado, lo enviamos a Más de 50 expositores a la vez:

Además, se envían notificaciones formales de abuso a los registradores de dominios y a los proveedores de alojamiento web, acompañadas de pruebas documentales.

Fase 4: Transparencia pública

• Actualizaciones en tiempo real en el Repositorio Destroylist
• Panel de control en tiempo real en phishdestroy.io/live
• Alertas automáticas sobre Twitter, Telegram, y Mastodon
• Detección condicional: alertas de seguimiento si la amenaza permanece activa más de 24 horas

Cada dominio recibe un puntuación de riesgo de 0 a 100 basado en señales ponderadas:

Niveles de gravedad:

70-100 CRÍTICO40-69 ALTOPromedio de 20 a 391-19 BAJO

Además, nuestros informes internos sobre dominios (en phishdestroy.io/dominio) utilizan un sistema de puntuación independiente y mejorado que incorpora las detecciones de VirusTotal, la antigüedad del registro WHOIS, los patrones SSL, el análisis de contenidos, el grado de suplantación de marca y las tasas históricas de abuso de los registradores, a través de más de 12 indicadores.

La mayoría de las listas de bloqueo solo lista dominios. Ofrecemos inteligencia sobre amenazas de principio a fin:

• Detección preventiva — Capturamos los dominios pocos minutos después de su registro, antes de que lleguen a manos de los delincuentes
• Investigación exhaustiva — Realizamos un seguimiento de las transacciones de criptomonedas en la cadena de bloques, cartografiamos la infraestructura, descompilamos kits de phishing y vinculamos las campañas con sus autores
• Acceso «de root» — hemos tenido acceso a paneles de drenaje, al código fuente de kits de phishing y a registros de chat de operadores, lo que nos ha proporcionado una visión sin precedentes de las tácticas, técnicas y procedimientos (TTP) de los atacantes
• Retirada activa — No nos limitamos a marcar los dominios; presentamos expedientes de pruebas ante los registradores, los proveedores de alojamiento y más de 50 fabricantes de antivirus, y hacemos un seguimiento de cada dominio hasta que deja de estar activo
• Verificación del contenido — Nuestras fuentes con contenido verificado van más allá del DNS: realizamos solicitudes HTTP reales para comprobar que la página de phishing está activa, detectando así los intentos de ocultación
• Responsabilidad de los registradores — Hacemos un seguimiento público de los índices de abuso y los tiempos de respuesta de los registradores, lo que obliga a los proveedores negligentes a rendir cuentas

La verificación de contenidos significa que no solo comprobamos si un dominio es válido (DNS), sino que visitamos la página y verificamos si hay contenido de phishing.

Esto es importante porque los estafadores utilizan técnicas de ocultación: muestran páginas falsas o en blanco a los rastreadores automáticos, mientras que a las víctimas humanas les muestran la página de phishing real. Un dominio que NO figure en nuestra lista de contenidos verificados no eso no significa que sea seguro; puede que simplemente esté camuflado.

Nuestras fuentes de contenido verificado:

• Contenido principal — Dominios seleccionados que contienen contenido de phishing activo y verificado (actualización cada 12 horas)
• Contenido de la comunidad — fuentes agregadas con contenido verificado (actualizadas cada 24 horas)

Para una protección máxima, utiliza nuestro Primaria - Todos or General de la comunidad fuentes, que incluyen todos los dominios independientemente del estado de verificación del contenido.

Nuestra tasa de falsos positivos es inferior a 0,01 %. Cada detección automática pasa por múltiples niveles de verificación antes de que se genere un informe. Nos aseguramos de que:

• Lista de permitidos — una lista seleccionada manualmente de dominios que se sabe que son válidos y que nunca se marcan como sospechosos
• Recursos en un plazo de 48 horas — Cada falso positivo se revisa y se resuelve rápidamente
• Perfeccionamiento continuo del clasificador — hacemos un seguimiento de todos los resultados de las apelaciones y actualizamos la lógica de detección
• Validación cruzada de múltiples fuentes — Los dominios deben activar varias señales antes de ser confirmados

Hacemos un seguimiento de todas las principales familias de programas que vacían carteras y de todos los tipos de kits de phishing:

• Uso indebido de Wallet Connect — Mensajes falsos de WalletConnect que roban autorizaciones
• Inferno Drainer — uno de los estafadores más prolíficos en múltiples cadenas
• Angel Drainer — Escurridor avanzado compatible con NFT
• Pink Drainer — Combinación de ingeniería social y drenaje
• Phishing relacionado con permisos y autorizaciones — Vulnerabilidades en la aprobación de tokens ERC-20 (Permit2)
• Robo de la frase de semillas — Formularios falsos de «verificar monedero» o «sincronizar monedero»
• Estafas relacionadas con la prevención del blanqueo de capitales y el conocimiento del cliente — páginas falsas de verificación del cumplimiento
• Estafas relacionadas con los airdrops — páginas falsas de canje de tokens
• Estafas de inversión — plataformas de trading fraudulentas, esquemas Ponzi
• Solana Drainer — Kits de vaciamiento de carteras específicos para Solana

Explora nuestra base de datos por tipo de estafa, método de estafa o marca objetivo.

El API de PhishDestroy Threat es un API gratuita y abierta ofreciendo una evaluación del riesgo de los dominios en tiempo real en Más de 883 000 amenazas. No se necesita clave API.

Resultados:

Ejemplo:

curl "https://api.destroy.tools/v1/check?domain=suspicious-site.xyz"

La respuesta incluye: threat (booleano), risk_score (0-100), severity (crítico/alto/medio/bajo), lists (qué fuentes contienen el dominio), y last_seen marca de tiempo.

Ofrecemos 7 fuentes de datos distintas a través de la Repositorio Destroylist:

Recomendado: Uso list.json or active_domains.json para la producción. Utilizar blocklist.json para obtener la máxima cobertura.

Todos los canales están disponibles en JSON y texto formato. Las listas de dominios raíz (sin subdominios y excluyendo a los proveedores de alojamiento) también están disponibles por separado.

Todas las fuentes están disponibles en 7 formatos para una integración inmediata:

Todos los formatos disponibles en: github.com/phishdestroy/destroylist/tree/main/rootlist/formats/

Python:

import requests

r = requests.get(f"https://api.destroy.tools/v1/check?domain={domain}")
data = r.json()
if data["threat"]:
    print(f"BLOCKED: {data['severity']} (score: {data['risk_score']})")

JavaScript:

const r = await fetch(`https://api.destroy.tools/v1/check?domain=${domain}`);
const data = await r.json();
if (data.threat) console.warn("PHISHING:", data.severity, data.risk_score);

Comprobación masiva (hasta 500 dominios):

curl -X POST "https://api.destroy.tools/v1/check/bulk" \
  -H "Content-Type: application/json" \
  -d '{"domains":["site1.com","site2.xyz","site3.top"]}'

Comprobación sencilla de la lista de bloqueados (Bash):

curl -s https://raw.githubusercontent.com/phishdestroy/destroylist/main/list.txt \
  | grep -q "suspicious-domain.com" && echo "BLOCKED"

Listas de raíces solo contienen dominios de nivel superior —sin subdominios— y se excluyen los proveedores de alojamiento (Vercel, Pages.dev, Netlify, etc.). Esto los hace ideales para:

• Reglas del cortafuegos — bloquear dominios completos, no solo subdominios concretos
• Bloqueo de DNS — Apto para resolutores de DNS sin riesgo de bloquear plataformas de alojamiento legítimas
• Análisis del registrador — datos depurados para el cálculo de la tasa de abusos

Hay tres variantes disponibles:

• Todas las raíces — todos los dominios raíz confirmados
• Solo en directo — Raíces activas verificadas por DNS
• Solo servicios — alojar los subdominios de la plataforma de forma independiente (Vercel, Pages.dev, Netlify, etc.)

Cada informe de dominio es un informe de inteligencia exhaustivo que contiene:

• Puntuación de riesgo — Índice de amenaza compuesto de 0 a 100 con clasificación de gravedad
• Resultados de VirusTotal — Detecciones de 95 motores antivirus, desglosadas por proveedor
• Captura de pantalla — Instantánea visual capturada en el momento del escaneo (más de 75 000 capturas de pantalla almacenadas localmente)
• Datos WHOIS — registrador, fecha de creación, datos del titular, servidores de nombres
• Registros DNS — A, MX, NS, TXT con geolocalización por IP y banderas de países
• Certificado SSL — emisor, validez, nombres alternativos del sujeto (SAN)
• Estado de la lista de bloqueados — Presencia en más de 11 listas de bloqueo de seguridad importantes
• Tipo de estafa — robo de fondos de monederos, robo de frases de recuperación, estafas de airdrops, estafas de inversión, etc.
• Dirigido a una marca concreta — ¿Qué marca legítima está siendo suplantada? (más de 350 marcas monitorizadas)
• Dominios relacionados — otros dominios que comparten infraestructura, favicon o kit de phishing
• Cloudflare Radar — Estado de la categorización de dominios
• Análisis de URLQuery — análisis de seguridad adicional

Posibles motivos:

• Tu dominio era ya comprometida y se utilice para el phishing sin que tú lo sepas
• Tu dominio comparte infraestructura (direcciones IP, servidores de nombres) con dominios conocidos por practicar el phishing
• Un clasificador automático ha detectado un falso positivo; esto ocurre en menos del 0,01 % de los casos
• Alguien ha denunciado tu dominio a través de los canales de la comunidad

Importante: PhishDestroy no bloquea los dominios directamente. Nosotros enviamos informes a los proveedores de antivirus y a los registradores, quienes toman sus propias decisiones de bloqueo. Si tu dominio ha sido marcado por error, presentar un recurso — Respondemos en un plazo de 48 horas e incluimos los dominios verificados en nuestra lista de permitidos permanente.

Dos formas de presentar un recurso:

1. Formulario de recurso (la forma más rápida) — envía tu dominio junto con una prueba de su legitimidad
2. Incidencia de GitHub — abrir un caso con pruebas

Proceso:

• Revisamos en un plazo de 48 horas (la mayoría el mismo día)
• Si se aprueba, el dominio se añade a nuestra lista permanente lista de permitidos
• La lista de permitidos es pública: allowlist.json
• Los cambios se aplican inmediatamente en nuestra API y nuestra base de datos

Todo el proceso es totalmente gratuito. Nunca cobramos por las apelaciones ni por la eliminación de listados; nunca lo hemos hecho y nunca lo haremos.

Nada. Cero. Gratis. Siempre.

Cualquier tercero que afirme poder eliminar tu dominio de PhishDestroy a cambio de dinero está llevando a cabo una estafa. No contamos con ningún programa de eliminación de listados de pago y nunca lo tendremos. Denúncianos este tipo de servicios.

PhishDestroy es solo una de las muchas fuentes. Aunque eliminemos tu dominio, es posible que otros sistemas sigan marcándolo como sospechoso:

• Navegación segura de Google — enviar a safebrowsing.google.com
• Fabricantes de antivirus — cada uno mantiene sus propias listas de bloqueo; ponte en contacto con el canal de notificación de problemas de seguridad de cada proveedor
• Advertencias del navegador — puede almacenar datos antiguos en la caché durante 24-48 horas

Comprueba tu dominio en VirusTotal para ver qué proveedores concretos lo están señalando y, a continuación, ponerse en contacto con cada uno de ellos por separado.

Cuando presentamos denuncias por abuso, nos ajustamos a las normas de la ICANN:

• Notificaciones formales de abuso a los registradores a través de los contactos de abuso de WHOIS
• Expedientes completos de pruebas — resultados de análisis, capturas de pantalla, informes en PDF con metadatos
• La ICANN exige que los registradores examinen las denuncias de abuso en un plazo de 24 horas
• Reevaluación condicional — Si un dominio sigue activo tras 24 horas, lo elevamos al nivel superior con alertas de seguimiento

Cuando un dominio recibe entre 10 y más de 30 denuncias por abuso y el registrador sigue ignorándolas durante meses, lo hacemos público. El registrador ya no es un mero espectador: en la práctica, está proporcionando la infraestructura necesaria para actividades ilegales. Nuestra base de datos pública fomenta la responsabilidad.

El tiempo es fundamental. Actúa de inmediato:

1. REVOCA las autorizaciones de tokens AHORA MISMO — ir a revoke.cash Revoca inmediatamente cualquier autorización de monedero pendiente. Esto detiene la pérdida de fondos.
2. Póngase en contacto con SEAL 911 — Respuesta de emergencia ante incidentes relacionados con las criptomonedas a cargo de profesionales de la seguridad. Visita phishdestroy.io/acción-urgente
3. Transferir los fondos restantes — Transfiere todos los activos del monedero afectado a un monedero nuevo y sin problemas.
4. Denunciarlo a la policía — Presenta una denuncia por delito informático ante la policía local. Pide que te den un número de expediente.
5. Denunciar públicamente — archivo sobre Abuso en cadena para advertir a los demás y dejar constancia por escrito
6. Conserva TODAS las pruebas — direcciones de monederos, ID de transacciones, capturas de pantalla, registros de chat, correos electrónicos y la URL de phishing

NO te pongas en contacto con los «servicios de recuperación» que se encuentran en Internet. Más del 95 % son estafas secundarias dirigidas a las víctimas.

A veces, pero solo si te das prisa:

• Aprobaciones de tokens aún no ejecutadas: Si solo has firmado una autorización maliciosa, revócala en revoke.cash evita de inmediato que se produzcan más pérdidas
• Retiradas de CEX: Si el atacante envía fondos a Binance, Coinbase, etc., las fuerzas del orden pueden bloquear las cuentas, pero necesitan tu denuncia policial
• Pausas en el puente: Algunos puentes entre cadenas han suspendido las transacciones cuando se ha detectado rápidamente un caso de fraude

Una dosis de realidad: La mayoría de los robos de criptomonedas en la cadena son irreversibles. La prevención es la mejor defensa: utiliza carteras de hardware, comprueba las direcciones URL y nunca compartas frases de recuperación.

Señales de alerta:

• Discrepancia en la URL — «metamask-login.com» en lugar de «metamask.io»
• Expresiones de urgencia — «Actúa ahora o perderás el acceso», «Se bloqueará tu monedero»
• Solicitudes de frases de semillas — Ningún servicio legítimo te pedirá JAMÁS tu frase de recuperación
• Ventanas emergentes inesperadas de la cartera — Avisos de WalletConnect o MetaMask que no has iniciado
• Demasiado bueno para ser verdad — Regalos gratuitos, rentabilidad garantizada, «recoge tu recompensa»
• Anuncios en redes sociales — El phishing recurre en gran medida a anuncios de pago en Twitter, Google y Telegram
• Estafas por mensajes directos o respuestas — El «servicio de atención al cliente» se pone en contacto contigo primero

Protección: Comprueba siempre los dominios en phishdestroy.io/dominio o utiliza nuestro Bot de Telegram antes de conectar tu monedero. Lee nuestra guía completa: Conceptos básicos sobre seguridad en el mundo de las criptomonedas

Casi nunca. Más del 95 % de los «servicios de recuperación» son estafas secundarias dirigido a personas que ya han perdido dinero.

Señales de alerta:

• Aseguran la recuperación (algo imposible de garantizar)
• Exigen el pago por adelantado
• Te encontraron a través de unos comentarios en las redes sociales en los que decías que te habían estafado
• Afirman ser «hackers éticos» capaces de «revertir transacciones»
• Te piden tu frase de recuperación o el acceso a tu monedero

Ayuda fiable (todo gratis): SEAL 911, las fuerzas del orden locales, el equipo de asistencia de tu plataforma de intercambio, Abuso en cadena para su divulgación pública.

Ve a Pi-hole Admin → Configuración → Listas de bloqueo → Pega esta URL:

https://raw.githubusercontent.com/phishdestroy/destroylist/main/rootlist/formats/primary_active/hosts.txt

Guarda y actualiza Gravity. La lista se actualiza automáticamente según la programación de Pi-hole.

uBlock Origin: Ajustes → Listas de filtros → Importar → Pegar:

https://raw.githubusercontent.com/phishdestroy/destroylist/main/rootlist/formats/primary_active/adblock.txt

AdGuard Home: Filtros → Listas de bloqueo de DNS → Añadir lista de bloqueo → pega la misma URL.

Para el resolutor DNS Unbound (pfSense/OPNsense):

https://raw.githubusercontent.com/phishdestroy/destroylist/main/rootlist/formats/primary_active/unbound.conf

Para BIND o Knot DNS (formato RPZ):

https://raw.githubusercontent.com/phishdestroy/destroylist/main/rootlist/formats/primary_active/rpz.zone

Para Dnsmasq:

https://raw.githubusercontent.com/phishdestroy/destroylist/main/rootlist/formats/primary_active/dnsmasq.conf

¡Sí! Así es como se hace:

• Denunciar dominios de phishing — Bot de Telegram or [email protected]
• Integra nuestras listas de bloqueo — añadir Lista de destrucción en tu DNS, cortafuegos o herramientas de seguridad
• Utiliza nuestra API — crear herramientas, bots o paneles de control utilizando el API de amenazas
• Enviar solicitudes de incorporación de cambios — mejoras en los algoritmos de detección, consejos de integración, información actualizada
• Difundir la concienciación — Comparte nuestra investigación en las redes sociales

No aceptamos donaciones; la mejor forma de apoyarnos es sacando partido a nuestros datos.

Nuestros datos (licencia MIT) se utilizan para:

• Seguridad de redes — reglas de cortafuegos, bloqueo de DNS, filtrado de correo electrónico
• Automatización — Integración de SIEM y SOC, respuesta automatizada ante incidentes
• Investigación sobre amenazas — Análisis de campañas de phishing, tendencias en la suplantación de marcas
• Formación en aprendizaje automático e inteligencia artificial — Conjuntos de datos para el entrenamiento de modelos de detección de phishing
• Análisis de tendencias — índices de abuso de los registradores, patrones de riesgo de los TLD, evolución de los drainer
• Pruebas legales — Informes de dominios con marca de tiempo para las fuerzas del orden y las reclamaciones de seguros

Bóveda histórica: Más de 500 000 dominios archivados a lo largo de más de cinco años. Contacto [email protected] para acceder.