>
PhishDestroy En directo
Volver a las noticias
 Compartir: Publicación Telegram
● ÚLTIMA HORAActualizado el 2 de julio de 2026 — Presentación del caso ICANN n.º 1479
Investigación

NameSilo Defendió a un estafador de criptomonedas que se llevó 100 millones de dólares
— Entonces Nos han bloqueado la cuenta de Twitter

Un registrador acreditado por la ICANN publicó 4 mentiras documentadas para encubrir una operación de robo de Monero que llevaba 10 años en marcha, se ofrecieron a borrar su historial en VirusTotal mientras el drainer seguía activo y, a continuación, utilizaron una marca de verificación X Gold de pago para silenciar a los investigadores que demostraron que estaban equivocados. Su ingeniero de DevOps: exjefe de TI de una pirámide financiera rusa durante una década.

1 de abril de 2026 — Actualizado el 2 de julio de 2026 Investigación de PhishDestroy 10 minutos de lectura 61 archivos verificados con SHA-256
$0M+ Se estima que ha sido robado
0 años Operación Lifespan
0 Mentiras documentadas
0k Páginas desindexadas por Bing
0+ Comentarios eliminados
0 Archivos de pruebas SHA-256
Lee la investigación completa en phishdestroy.eth.limo

Este artículo es un avance. Las pruebas completas, los archivos IPFS y todo el material original se encuentran en el enlace anterior.

Antecedentes: ¿Qué es realmente xmrwallet.com?

xmrwallet.com no es una página de phishing. Es una una cartera de Monero totalmente funcional con una puerta trasera en el servidor creado en 2018 y en funcionamiento hasta mayo de 2026 —casi una década—. El repositorio de GitHub es una fachada pública. El código del robo solo existe en el servidor de producción, nunca se ha subido al repositorio ni se ha auditado.

Cada interacción del usuario envía la clave privada de visualización a los servidores del operador mediante una solicitud POST, codificada en Base64 en una variable denominada session_key — aproximadamente 40 transmisiones por sesión. La transacción del lado del cliente se descarta explícitamente (raw_tx_and_hash.raw = 0); el servidor genera la suya propia utilizando las claves robadas.

La «auditoría de seguridad» de 2018 que no abarcó nada

La auditoría de NewAlchemy obtuvo 67 votos positivos en Reddit y se utilizó como indicador de confianza durante años. Su alcance explícito: «Solo JavaScript del lado del cliente». Quedan expresamente excluidos del ámbito de aplicación: «numerosos puntos finales de la API de PHP». Esos puntos finales constituyen el mecanismo real del robo. La auditoría era estructuralmente incapaz de detectar la puerta trasera.

El robo está diseñado para ser selectivo. Los depósitos pequeños permanecen intactos durante años, lo que genera confianza y reseñas legítimas. Las cantidades elevadas se roban en cuestión de minutos. Una de las víctimas documentadas depositó 590 XMR, que desaparecieron en dos días. Cifra total estimada, basada en más de 15 víctimas documentadas: Entre 5.000 y más de 50.000 XMR robados (entre 1,5 y más de 15 millones de dólares a precios históricos). El 60 % de las publicaciones de las víctimas fueron denunciadas de forma masiva y eliminadas antes de que se pudieran recopilar las pruebas.

# The smoking gun: client-side transaction explicitly discarded raw_tx_and_hash.raw = 0 # thrown away; server builds its own with stolen keys # ~40 POST transmissions per session, every session, since 2016: clave de sesión = base64_encode(wallet_address + ":" + private_view_key) # GitHub: 0 occurrences of "session_key" in any commit # Production server: core theft variable, all versions, since 2016
Puerta trasera de xmrwallet: la fachada pública de GitHub funciona correctamente, pero el servidor de producción oculto exfiltra la clave de sesión (session_key)
El robo en un esquema: verde = repositorio público de GitHub (limpio, auditado, fiable). Rojo = servidor de producción: nunca aparece en ninguna confirmación, nunca se ha auditado, está filtrando datos. session_key al operador en cada sesión.
 Demostración en directo: hemos reconstruido el exploit
Observa cómo se produce la filtración de la clave de sesión en tu navegador

Hemos recreado la exfiltración de claves basada en gtag en una demostración en un entorno aislado. Abre DevTools → pestaña «Red» → interactúa con el monedero. Observa session_key Las solicitudes POST se envían en tiempo real. Esto es lo que ha estado funcionando durante 10 años. Esto es lo que la «auditoría de seguridad» nunca tuvo en cuenta. Esto es lo que NameSilo defendió públicamente.

Abrir demostración interactiva

La frase que explicaba NameSilo

Prueba irrefutable: un mazo agrietado y unas comillas brillantes
17 de febrero de 2026. Una sola frase. Una década de confianza en su registrador.

El 16 de febrero de 2026, el administrador de xmrwallet.com envió un correo electrónico a PhishDestroy exigiendo la eliminación de la denuncia. Firmó como «Nathalie Roy» — cuenta de GitHub nathroy, ID 39167759. Respondimos con un informe técnico detallado y una advertencia por escrito: «Lo que suceda a continuación dependerá totalmente de cómo decidas actuar».

Al día siguiente, nos envió una frase que lo decía todo sobre su relación con NameSilo:

«No dudes en citar al registrador del dominio para que facilite mis datos».
— Administrador de xmrwallet.com, 17 de febrero de 2026
Tres semanas antes de que NameSilo lo considerara la víctima

Nadie utiliza un desagüe de hace una década en $550/mo bulletproof Belize hosting, desde su puesto en la empresa rusa DDoS-Guard, te invita con toda tranquilidad a citar a su registrador —a menos que ya conozca la respuesta—. Otros tres registradores (PDR, WebNic y NICENIC) suspendieron sus dominios a los pocos días de conocer las mismas pruebas. NameSilo le redactó un comunicado de prensa y se ofreció a limpiar su historial.

Mientras la puerta trasera seguía activa: xmrwallet pagó a PR Newswire para afirmar lo contrario

21 de enero de 2026 — xmrwallet pagó a PR Newswire para que difundiera un comunicado de prensa en el que se afirmaba lo siguiente: «Las claves privadas nunca llegan a los servidores centrales». El session_key Durante todo este periodo se enviaron solicitudes POST en cada sesión de usuario al servidor de producción. PR Newswire es un servicio de distribución de pago: las empresas redactan y financian sus propios textos, sin revisión editorial. Fuente: PR Newswire, 21 de enero de 2026


Las cuatro mentiras de NameSilo, según consta oficialmente

El 13 de marzo de 2026, la cuenta oficial de NameSilo publicó un comentario en nuestro hilo de investigación. 11 300 visualizaciones antes de la captura. Archivado de forma permanente en ghostarchive.org/archive/CXXZ0. Cada frase queda refutada por fuentes primarias:


¿Quién es NameSilo?: una empresa de externalización de servicios de seguridad informática con una dirección postal en EE. UU.

NameSilo LLC está registrada en Phoenix, Arizona. Cotiza en la Bolsa de Valores de Canadá bajo el nombre de Brisio Innovations (CSE:BZI) y declaró unos ingresos de 65,5 millones de dólares canadienses en 2025. El equipo de ingeniería propiamente dicho se encuentra repartido por Rusia, Bielorrusia, Ucrania, Serbia, Argentina y Letonia. Se han identificado al menos 13 empleados de habla rusa. La persona con acceso completo a la infraestructura de DevOps se dedicó durante una década a gestionar los sistemas informáticos de una pirámide financiera rusa antes de incorporarse a NameSilo.

DevOps — Acceso completo a la infraestructura
Mijaíl Chudinov
Argentina (reubicada)
Anteriormente Responsable de TI en SuperKopilka — Pirámide financiera rusa, 2007-2017. Diez años gestionando la infraestructura informática de un esquema de circulación de dinero hasta su colapso. Se autodenomina «entusiasta de las criptomonedas». En NameSilo: acceso completo a DevOps para toda la infraestructura.
Exdirector de TI de Pyramid, 10 años
Desarrollador de backend en PHP
Iván Borzenkov
Bryansk, Rusia (+7 920)
Desarrollador de backend afincado en Rusia. GitHub: ivan1986. Acceso directo mediante PHP al backend de NameSilo desde Rusia.
🇷🇺 Acceso al backend desde Rusia
Responsable de proyectos
Vladimir Voskov
Moscú, Rusia
Anteriormente Empresa Zyfra — Contratos estatales rusos de automatización industrial. Gestión desde Moscú de un registrador de dominios registrado en EE. UU.
🇷🇺 Moscú — antiguo contratista del Estado
Jefe de proyectos sénior
Tatiana Labutina
Belgrado, Serbia
Anteriormente ForexClub Libertex — Corredor de divisas ruso, objeto de múltiples sanciones regulatorias de la UE. Belgrado: principal centro de reubicación para los profesionales rusos a partir de 2022.
Antiguo ForexClub, ahora Libertex
También se han identificado

Aleksey Podashevskiy (Frontend) — Bielorrusia, jurisdicción sujeta a sanciones, que trabaja para un registrador acreditado por la ICANN y registrado en EE. UU. Se han identificado más de 13 empleados de habla rusa en total repartidos por Rusia, Bielorrusia, Serbia, Argentina y Letonia. No hay ningún servidor occidental en la cadena de infraestructura de xmrwallet.

Alcance de la investigación

Más de 5,18 millones de dominios analizados en toda la cartera de NameSilo; cada uno de ellos se ha cotejado con VirusTotal, URLhaus, PhishTank, abuse.ch, OpenPhish y SURBL.

Backend PHP de xmrwallet reconstruido íntegramente a partir de registros de comportamiento del lado del cliente —sin acceso al servidor, sin código fuente y sin colaboración alguna—. El mecanismo de robo se determinó únicamente a partir de patrones de red observables.

13 miembros del equipo cruzados con datos de LinkedIn, GitHub, HeadHunter, Telegram, registros mercantiles y expedientes judiciales de seis países. Patrones de eliminación en Trustpilot se ha realizado un seguimiento a lo largo de varios meses para identificar la periodicidad sistemática de las eliminaciones. Informes trimestrales de CSE:BZI se cotejó con los datos de la cartera de dominios para identificar la anomalía en los ingresos. 5,18 millones de dominios analizados en relación con seis fuentes de información sobre amenazas. Todos los datos sin procesar están disponibles públicamente en github.com/phishdestroy/namesilo-evidence. Presentada ante la ICANN, las fuerzas del orden de la UE y tres unidades nacionales de lucha contra la ciberdelincuencia.


La anomalía de los dominios: un 32,2 % nunca se ha activado — Una cortina de humo estadística

Recopilamos y analizamos todos los dominios de la cartera de NameSilo — los 5,18 millones en total—. Cada uno de ellos se analizó en VirusTotal, URLhaus, PhishTank, abuse.ch, OpenPhish y SURBL. Los datos brutos, la metodología y los resultados por dominio son públicos: github.com/phishdestroy/namesilo-evidence. Resultado: El 32,2 % de los dominios nunca se han activado — frente al 14,7–22,8 % de otros registradores comparables. Entre 10 000 y 17 000 registros masivos en un solo día (máximo: 17 180 el 19 de julio de 2025). Se gastaron 12 millones de dólares en dominios que nunca se activaron; el gasto anual ascendió a 3,2 millones de dólares en dominios que no sirven para nada. En 2024, cuando ShortDot, socio de NameSilo, adquirió nuevos TLD (.sbs, .cfd a unos 0,50 dólares al por mayor, vendidos a 14,95 dólares al por menor = 22–31× de margen), los registros de dominios inactivos se dispararon 615% en un solo año.

Geografía y escala de dominios de NameSilo: empresa de Phoenix (Arizona), equipo CIS, 5,18 millones de dominios
Registrados en EE. UU. Gestionados por CIS. 5,18 millones de dominios, de los cuales el 32,2 % nunca se han activado. El equipo que une los puntos entre Phoenix, Moscú y Buenos Aires.

PrivacyGuardian oculta la identidad del comprador en más de 3 millones de dominios (registrados a nombre de pw-{hex}@privacyguardian.org). Se acepta Bitcoin. Sin KYC. Cada dominio fantasma hace que la proporción entre abusos y total parezca menor.

0.43% frente a un total de 5,18 millones
«casi nada»
2.34% vs HTTP-alive
cada 43.º sitio
40.9% frente a empresas reales
1 intento de phishing por cada 2,5 mensajes legítimos
Anomalía financiera: CSE:BZI

NameSilo registra unos ingresos de 65,5 millones de dólares canadienses (2025). Relación precio/beneficio: 143,8× frente a los 21× del sector. Ingresos por dominio real (activo): 68 dólares canadienses frente a los 10-15 dólares del sector. 95 registradores de la ICANN venden dominios .com más baratos. Si los registros masivos de dominios fantasma sirven para blanquear ingresos —con un margen de beneficio de entre 22 y 31 veces al convertir BTC en dominios—, estos aparecen como «ingresos legítimos de los registradores» en los informes trimestrales presentados en la Bolsa de Valores de Canadá. Este patrón está documentado y se ha remitido a las fuerzas del orden.

Cómo NameSilo genera «cobertura mediática» para los inversores de CSE:BZI — 6 pasos
1
NameSilo redacta un comunicado de prensa sobre sí mismos. En tercera persona. «NameSilo, el registrador que más rápido está creciendo...»
3
PR Newswire lo publica automáticamente en Yahoo Finance, Morningstar, StockWatch, newswire.ca — A quienes hayan pagado, no se realizará ninguna revisión editorial.
4
Yahoo Finance lo publica con una pequeña nota: «Este es un comunicado de prensa patrocinado».
5
La página de la acción CSE:BZI de NameSilo muestra ahora «cobertura mediática». «Yahoo Finance nos ha dedicado un artículo». «StockWatch nos ha dedicado un artículo».
!
Nadie escribía sobre ellos. Eran ellos mismos quienes escribían sobre sí mismos y pagaban para que pareciera una noticia. Esta es la «cobertura mediática» que aparece en la página para inversores de la CSE de una empresa cuyo registrador defendió públicamente a un estafador activo de Monero.
 Un comunicado de prensa pagado de 805 dólares ≠ periodismo independiente. Inversores de CSE:BZI: lean la etiqueta.

Qué pasó después de que lo publicáramos

Tras la publicación de nuestro reportaje, se puso en marcha una campaña coordinada de acciones legales y de supresión en las plataformas, dirigida contra todos los principales espacios en los que PhishDestroy tenía presencia. Tres mecanismos —cada uno de ellos registrado, archivado y que ahora forma parte de la reclamación n.º 1479 ante la ICANN—.

X / Twitter — Cuenta @Phish_Destroy bloqueada. La marca de verificación dorada de X ofrece a los suscriptores un canal de asistencia prioritario al que no tienen acceso los usuarios habituales. Ese canal se utilizó para presentar una reclamación contra nuestra cuenta. El propio sistema de revisión automatizado de X tramitó el caso, nos exoneró por escrito y confirmó que no se había producido ninguna infracción. A pesar de ello, el bloqueo se mantuvo. Publicamos la carta de exoneración incluso antes de que se levantara el bloqueo —la predicción con marca de tiempo de GhostArchive incluida en el caso ICANN n.º 1479—.
Google: solicitudes de supresión en virtud del RGPD y reclamaciones en virtud de la DMCA. Se presentaron solicitudes europeas de «derecho al olvido» en virtud del RGPD para obligar a Google a eliminar de los resultados de búsqueda páginas específicas de la investigación sobre PhishDestroy. Paralelamente, se enviaron notificaciones de retirada en virtud de la DMCA dirigidas a las URL de la investigación. Ambos mecanismos se aplicaron simultáneamente: presión jurídica a través de la legislación de la UE en materia de privacidad y presión en materia de derechos de autor a través de la legislación estadounidense. El contenido de la investigación en sí nunca fue cuestionado con éxito en cuanto a los hechos.
Bing: 108 000 páginas desindexadas en un solo día. La totalidad de phishdestroy.io —108 000 páginas indexadas— fue eliminada del buscador Bing en una sola acción masiva. El momento fue perfecto: la desindexación coincidió exactamente con la publicación de nuestro informe sobre NameSilo. No se trató de un problema de rastreo gradual ni de un error técnico, sino de una única denuncia masiva que Bing tramitó sin previo aviso.
IPFS: presentaron denuncias. No cambió nada. Se presentaron solicitudes de retirada contra el dominio ENS y los servicios de pasarela. phishdestroy.eth.limo sigue funcionando con total normalidad. El contenido de IPFS se identifica mediante un hash SHA-256: no hay ningún servidor que se pueda cerrar, ninguna cuenta de alojamiento que se pueda suspender, ningún registrador al que se pueda presionar ni ninguna CDN a la que se pueda llamar. La investigación se encuentra simultáneamente en Arweave, GhostArchive y Wayback Machine. La ira es proporcional a la impotencia.
Campaña de censura en las plataformas: la marca de verificación dorada de X, el RGPD de Google y la desindexación de Bing
Una marca de verificación dorada. Tres mecanismos legales. 108 000 páginas de Bing. Todas las plataformas se hicieron eco de la misma publicación. Así es como se manifiesta el silenciamiento financiado por las grandes empresas.
Ya lo habíamos predicho: quedó registrado en GhostArchive antes de que sucediera.

Antes de que se activara el bloqueo, publicamos un tuit en el que predijimos que NameSilo utilizaría las tácticas de supresión propias de los estafadores y lo archivamos con marca de tiempo en GhostArchive. Hicieron exactamente lo que dijimos, tal y como habíamos previsto. La predicción con marca de tiempo —que demuestra que anticipamos la táctica antes de que se utilizara— se incluye en la denuncia presentada ante la ICANN contra NameSilo (ICANN n.º 1479).

No se puede tocar el archivo

Todo está en marcha IPFS (phishdestroy.eth), Arweave, GhostArchive y Wayback Machine. 61 capturas de pantalla verificadas con SHA-256. Cero impugnaciones legales exitosas contra ninguna de las denuncias. Cero refutaciones técnicas por parte del operador o de NameSilo. Cero respuestas basadas en hechos: solo amenazas legales, ataques ad hominem y tuits eliminados. La investigación completa, con los datos sin procesar, el expediente del equipo, el análisis de blanqueo y los recursos para las víctimas, se encuentra en phishdestroy.eth.limo — replicado en IPFS, Arweave, GhostArchive y Wayback Machine. Ninguno de ellos cuenta con la marca de verificación dorada.


Red «Escape Domain»: preparada meses antes de su desmantelamiento

Inicio 4 de febrero de 2026 —la misma semana en que el operador se puso en contacto por primera vez con PhishDestroy— empezó a registrar en secreto dominios de escape a través de cuatro registradores diferentes, con renovaciones prepagadas de entre 5 y 10 años cada uno. La infraestructura estaba diseñada para sobrevivir a cualquier cierre puntual. No sobrevivió a la investigación.

Análisis técnico inicial con toda la documentación: github.com/phishdestroy/NO-UTILICES-xmrwallet-com

Dominios «escapados»: registrados tras el inicio de la investigación
Dominio Secretario Prepago IP Estado
xmrwallet.cc Registro de dominio público 8 años 185.129.100.248 SUSPENDIDO
xmrwallet.biz WebNic.cc 5 años 190.115.31.40 SUSPENDIDO
xmrwallet.net NICENIC International 10 años 190.115.31.40 ← DNS INACTIVO
xmrwallet.me Key-Systems GmbH 10 años 185.129.100.248 ← ACTIVO — se ha denunciado un caso de abuso

Agrupación de direcciones IP: 185.129.100.248 compartido por .cc y .me — mismo servidor. 190.115.31.40 Compartidos por .biz y .net — mismo servidor. Cuatro registradores, dos grupos de direcciones IP. 33 años de registro prepagado. Todos registrados de forma secreta tras el primer contacto con los investigadores.


Reputación comprada: Wikipedia, Forbes y más de 15 artículos patrocinados

La reputación pública de NameSilo es artificial. Wikipedia: etiqueta de «contenido pagado/promocional». Forbes: declaración de afiliación «Obtenemos una comisión». SmartCustomer: 1,8/5 — sin ningún resultado negativo en Google.

Wikipedia — Marcado como «promocional» por los editores

NameSilo tiene un artículo en Wikipedia — señalado por los editores como artículo patrocinado o promocional, y no una cobertura editorial imparcial. Historial de ediciones (archivado): en.wikipedia.org/w/index.php?title=NameSilo&action;=history

Forbes Advisor — Información sobre comisiones de afiliados

NameSilo aparece en Forbes Advisor con una declaración explícita sobre su programa de afiliados: «Forbes Advisor se rige por estrictas normas de integridad editorial... Recibimos una comisión». Forbes Advisor obtiene ingresos cuando los usuarios se registran a través de sus enlaces, lo que genera un incentivo económico directo para ofrecer una cobertura positiva. Fuente: forbes.com/advisor/business/software/namesilo-review/

SmartCustomer: 1,8/5 — Ningún resultado negativo en Google

NameSilo cuenta con un Valoración de 1,8/5 en SmartCustomer — fuente: smartcustomer.com/reviews/namesilo.com. A pesar de las docenas de críticas negativas registradas, una búsqueda en Google no arroja ningún resultado negativo: se trata de una supresión activa que utiliza las mismas herramientas del RGPD y la DMCA que se han aplicado contra nuestra investigación.

PR Newswire — Publicado por cuenta propia, de pago, sin revisión editorial

NameSilo Technologies Corp. (CSE:BZI / OTC: URLOF — sociedad matriz de NameSilo LLC que cotiza en bolsa) utiliza PR Newswire para sus comunicados corporativos. PR Newswire es un servicio de distribución de pago: la empresa redacta el texto y paga por su publicación. Ejemplos de comunicados de prensa de pago de NameSilo Technologies:

El mismo mecanismo: xmrwallet utilizó PR Newswire el 21 de enero de 2026 para publicar su artículo de portada («las claves privadas nunca llegan a los servidores centrales») mientras la puerta trasera estaba activa. Distribución de pago que presentaba un texto redactado por el operador como contenido de interés periodístico.


Tres puestos. Una empresa. Ninguno de ellos sobrevive al contacto con los demás.

NameSilo no mantuvo una versión coherente. Adoptaron sucesivamente tres posturas mutuamente excluyentes —el experto seguro de sí mismo, la víctima amenazada y el humilde funcionario público— en función del riesgo legal al que se enfrentaban en cada momento.

1
Marzo de 2026 — El puesto de experto seguro de sí mismo
El equipo de lucha contra los abusos de NameSilo ha determinado de forma definitiva El dominio fue objeto de un ataque. Investigaron el ataque. Saben que el titular del dominio es la víctima. Están ayudándole a eliminar las detecciones de VirusTotal — lo que, según su propia lógica, significa que tienen más autoridad que todos los proveedores de antivirus que señalaron ese dominio. Nivel de confianza: absoluto.
2
Fase 2 — La amenaza legal (tuit público, 11 de mayo de 2026)
@namesilo — Cuenta oficial con marca de verificación dorada — 11 de mayo de 2026 · 417 visualizaciones · 107 respuestas

«Tus afirmaciones son falsas, calumniosas y difamatorias. NameSilo toma medidas y revisa todas las denuncias por abuso que se nos envían. Si tiene algún caso de este tipo, envíelo a abuse@namesilo.com. De lo contrario, póngase en contacto directamente con el proveedor de alojamiento web o con el titular del dominio. Y deje de difundir falsedades sobre nosotros o nos veremos obligados a emprender acciones legales».

El experto, que actuaba con seguridad en sí mismo, investigó el ataque informático, identificó al titular del dominio como la víctima y le estaba ayudando a eliminar las detecciones de VirusTotal, se ha convertido ahora en una simple bandeja de entrada para denuncias de abuso. La investigación se esfumó. La experiencia se esfumó. Solo quedó la amenaza legal.
3
Respuesta de la ICANN — La humilde postura del procesador
Ahora se dedican a tramitar las denuncias. Ahora no pueden detectar los casos de phishing. Ahora recurren a los proveedores de alojamiento web. El equipo que superó a todos los principales proveedores de antivirus, lo que llevó a la conclusión de que el dominio estaba limpio Ahora es demasiado modesto para llamar. Esto no es incompetencia. La incompetencia es constante. Se trata de una postura que se elige en función de cada público.
La contradicción fundamental: elige una, NameSilo

Si tu equipo de atención a las víctimas de maltrato tuviera la capacidad para llevar a cabo una revisión exhaustiva y detallada, determinar que el dominio había sido pirateado, identificar al titular del dominio como la víctima y empezar a ayudarle a eliminar las detecciones de VirusTotal — entonces estás afirmando explícitamente que tienes más autoridad y más competencia técnica que todos los proveedores de antivirus que han señalado este dominio como malicioso.

No podrás alegar más adelante que tú simplemente procesar informes y no cuentan con los conocimientos necesarios para detectar el phishing. La denuncia presentada ante la ICANN no te pide una competencia que no tienes. Lo que te pregunta es por qué utilizaste la competencia que, como se ha demostrado, sí tienes: para ayudar al estafador, y no a las víctimas.


Trustpilot: granjas de bots que compiten entre sí

Ejemplo: «Patty Johnson» — Perfil de EE. UU., 2 reseñas en total

Una valoración de 5 estrellas para NameSilo (enero de 2026): «Leonid fue de gran ayuda… ¡5 estrellas!» La otra reseña: sobre Otrium, una empresa con reseñas en las que se le acusa de fraude y de apropiación indebida de dinero. Una cuenta de bot, dos empresas relacionadas con estafas. Patrón: agentes de atención al cliente con nombre propio, se elogia el tiempo de respuesta, lenguaje basado en plantillas. Los compradores reales de dominios valoran los precios y la experiencia de usuario del panel. Las reseñas de los bots elogian a «Leonid».

Análisis de datos: 2.280 opiniones sobre NameSilo frente a 2.480 sobre Namecheap

Métrico NameSilo Namecheap
Opiniones de 5 estrellas88.9%74.0%
Opiniones de 1 estrella7.2%16.7%
Cuentas con una sola reseña62.4%59.6%
Sin avatar (cuentas nuevas)67.3%51.5%
Opiniones sobre la atención al cliente/el servicio70.0%60.2%
Opiniones sobre el precio/coste9.8%37.5%
Agente con el nombre en clave «Leonid»5.7%0.0%
Geolocalización en EE. UU.35.1%26.5%
La anomalía de las Leónidas

Leonid apareció el 13 de abril de 2025. Antes no se había mencionado en absoluto. Luego recibió 65 reseñas en sus dos primeros meses. Mayo de 2025: 106 reseñas (5 veces más de lo habitual), un 95 % de cinco estrellas y ninguna de una estrella. Ni un solo cliente insatisfecho en las 106 opiniones sobre un registrador que ocupa el puesto n.º 96 en precios de dominios .com.

El 43 % de las reseñas sobre Leonid tienen menos de 80 caracteres. Cuatro de ellas solo tienen el título «Leonid». Tres más: «Leonid fue de gran ayuda». Entre los revisores: «Satoshi Nakamoto», «Autor», «Виктор -», «Anna Koroleva», «Boris Martin», «Andrei Dobrescu», junto con «Brad», «LaToya» y «Patty Johnson». Un generador de nombres que recorre los continentes. El nombre Leonid es ruso.

Hong Kong: 57 opiniones. 57 de 57 con cinco estrellas. Estadísticamente imposible.

Cero valoraciones de cuatro estrellas. Cero de tres estrellas. Cero de cualquier otro tipo. El 91 % son cuentas con una sola valoración. A lo largo de 7 años. China: el 94 % son valoraciones de cinco estrellas, el 80 % con una sola valoración. Singapur: el 95 % son valoraciones de cinco estrellas. Un total de 168 valoraciones procedentes de mercados de habla china, casi todas ellas falsas.

¿Por qué China? NameSilo lleva a cabo una campaña de marketing activa en ese país: namesilo-china.com, bcbay.com/namesilo, entradas de blog chinas pagadas, un artículo de la Wikipedia china. Cuando los investigadores se preguntan «¿quién compra 4,22 millones de dominios inactivos?», NameSilo señala a China. Los datos de Trustpilot muestran que llevan construyendo esta coartada desde 2019, una reseña falsa tras otra.

Análisis forense independiente de la API de Claude — Prueba a ciegas

Se enviaron a Claude API 2.480 opiniones de Trustpilot sobre NameSilo y 2.480 sobre Namecheap, anonimizadas como «Empresa A» (NameSilo) y «Empresa B» (Namecheap). La IA no sabía cuál era cuál.

Indicador forense NameSilo (A) Namecheap (B)
Proporción de 5 estrellas89.1%74.0%
Porcentaje de valoraciones de 1 estrella7.1%16.7%
Cuentas desechables a las que se les dan 5 estrellas92%~65%
Opiniones en las que se menciona el precio11.2%39.2%
Mencionado como único agente en las reseñasLeonid: 168ninguno
Diversidad de vocabulario de 5 estrellas (TTR)0.073~0.15
HK: 100 % de valoraciones de cinco estrellas57/57n/a
Pico en mayo-junio de 2025 (5 veces lo normal)215 opinionesninguno
Veredicto sobre la manipulación mediante IA92%15%
Conclusión forense sobre la IA — Texto literal

«La empresa A presenta numerosas pruebas multidimensionales de manipulación sistemática de las revisiones mediante la generación artificial coordinada. La probabilidad de que estos patrones se produzcan de forma espontánea es prácticamente nula».

Análisis completo: phishdestroy.eth.limo/namesilo-trustpilot.html · Datos brutos: trustpilot-forensic-report-final.txt


Resultados de la investigación

xmrwallet.com — Servicio cerrado

Tras la investigación y la publicación de PhishDestroy, xmrwallet.com cesó sus actividades. La operadora envió un mensaje de despedida y, cabe destacar, ya no lo firmó como «Nathalie Roy». La identidad que había sido la imagen pública de xmrwallet durante años se abandonó discretamente. No se dio ninguna explicación.

El dominio ya redirige a GitHub — a la tercera va la vencida

xmrwallet.com acabó redirigiéndose a su repositorio de GitHub, la misma fachada pública que sirvió como coartada de «código abierto» durante una década. Se necesitaron tres intentos. El repositorio llevaba inactivo desde 5 años antes de la redirección: sin confirmaciones, sin actualizaciones, sin mantenimiento — en consonancia con un proyecto cuyo código real se alojaba exclusivamente en un servidor de producción no auditado y que nunca se destinó a la revisión pública.


El cambio de dominio no puso fin a esto. Lo convirtió en algo permanente.

xmrwallet.com se transfirió a Namecheap en mayo de 2026 y está registrado hasta 2036. Al parecer, NameSilo considera que este asunto está resuelto. No lo es.

¿Pensabas que los expertos capaces de superar a todos los fabricantes de antivirus se darían por vencidos cuando se cambiara de dominio? La investigación se está llevando a cabo en IPFS. Se está llevando a cabo en Arweave. Se encuentra en el sistema oficial de denuncias de la ICANN. Está en manos de las fuerzas del orden de la UE. Está en manos de tres unidades nacionales de lucha contra la ciberdelincuencia. La amenaza legal añadió una marca de tiempo más al expediente. La transferencia del dominio añadió una prueba más. Cada medida adoptada para obstaculizar esta investigación constituye en sí misma una prueba documentada del patrón que hemos descrito.

No erais los más listos en esta situación. Simplemente, durante un tiempo, teníais más dinero.

Leer la investigación completa phishdestroy.eth.limo Pruebas en GitHub Denunciar un caso de víctima
Aviso sobre una investigación independiente
PhishDestroy · Investigación de seguridad sin ánimo de lucro

Nadie ha pagado por esto. Esta investigación no ha recibido financiación, ni directrices editoriales, ni textos proporcionados por ninguna parte. A diferencia de las publicaciones en Forbes Advisor y PR Newswire, que NameSilo financia directamente, este autor no tiene ninguna relación financiera con NameSilo, ni ninguna obligación de presentar la narrativa que esta empresa prefiera.

Todo está documentado. Todas las afirmaciones basadas en hechos están respaldadas por pruebas verificables: respuestas de servidores, capturas forenses, registros públicos, denuncias de abusos y fuentes primarias citadas en el texto. Nada es inventado. Las fuentes están enlazadas. Las pruebas se archivan en IPFS. Se anima a realizar una verificación independiente.

«Dejad de difundir mentiras sobre nosotros o nos veremos obligados a emprender acciones legales». — NameSilo, en respuesta a esta investigación

Es aterrador. Hemos sido testigos de toda la capacidad operativa de NameSilo: conseguir que se bloquee una cuenta de Twitter/X, comprar espacio publicitario en Forbes, escribir sus propias reseñas en Trustpilot, lograr que se eliminen las detecciones de VirusTotal y publicar cuatro afirmaciones demostrablemente falsas en un solo tuit.

En cuanto a las «mentiras», todo lo que aquí se dice se basa en hechos. Si una cobertura fiel de vuestro producto constituye difamación, abrid vuestro propio panel de control —ese que excluís de todos los artículos de pago—. Él mismo lo demuestra sin que tengamos que intervenir.

No has pagado a este autor. No has aportado ningún texto. No puedes reclamar la autoría de una investigación independiente. Pero sí tienes obligaciones: con la ICANN, con tus registrantes y en virtud de la legislación que regula a los registradores de dominios. Esas obligaciones no desaparecen por el hecho de que una información veraz resulte incómoda.

Sobre las acciones legales: Esta investigación está archivada en entre 5 y 7 nodos de IPFS. Dado que NameSilo ha demostrado tener experiencia en la eliminación de contenidos, te sugerimos que empieces por ahí. Ya sabes cómo funciona. Esperaremos.

Para que quede más claro, en tu idioma:

PhishDestroy es un proyecto de investigación sin ánimo de lucro. No pretendemos ser infalibles ni ofrecer una certeza absoluta. El tono de esta investigación puede resultar directo; somos conscientes de ello. No estamos imponiendo ningún punto de vista: recomendamos revisar los materiales y las fuentes primarias y sacar tus propias conclusiones. Se aplica la presunción de inocencia. Esta es nuestra investigación, nuestras observaciones y nuestra comparación subjetiva, en la que hemos dedicado mucho tiempo.

Investigación completa con todas las pruebas y los archivos IPFS: phishdestroy.eth.limo