NameSilo Defendió a un estafador de criptomonedas que se llevó 100 millones de dólares
— Entonces Nos han bloqueado la cuenta de Twitter
Un registrador acreditado por la ICANN publicó 4 mentiras documentadas para encubrir una operación de robo de Monero que llevaba 10 años en marcha, se ofrecieron a borrar su historial en VirusTotal mientras el drainer seguía activo y, a continuación, utilizaron una marca de verificación X Gold de pago para silenciar a los investigadores que demostraron que estaban equivocados. Su ingeniero de DevOps: exjefe de TI de una pirámide financiera rusa durante una década.
Este artículo es un avance. Las pruebas completas, los archivos IPFS y todo el material original se encuentran en el enlace anterior.
Antecedentes: ¿Qué es realmente xmrwallet.com?
xmrwallet.com no es una página de phishing. Es una una cartera de Monero totalmente funcional con una puerta trasera en el servidor creado en 2018 y en funcionamiento hasta mayo de 2026 —casi una década—. El repositorio de GitHub es una fachada pública. El código del robo solo existe en el servidor de producción, nunca se ha subido al repositorio ni se ha auditado.
Cada interacción del usuario envía la clave privada de visualización a los servidores del operador mediante una solicitud POST, codificada en Base64 en una variable denominada session_key — aproximadamente 40 transmisiones por sesión. La transacción del lado del cliente se descarta explícitamente (raw_tx_and_hash.raw = 0); el servidor genera la suya propia utilizando las claves robadas.
La auditoría de NewAlchemy obtuvo 67 votos positivos en Reddit y se utilizó como indicador de confianza durante años. Su alcance explícito: «Solo JavaScript del lado del cliente». Quedan expresamente excluidos del ámbito de aplicación: «numerosos puntos finales de la API de PHP». Esos puntos finales constituyen el mecanismo real del robo. La auditoría era estructuralmente incapaz de detectar la puerta trasera.
El robo está diseñado para ser selectivo. Los depósitos pequeños permanecen intactos durante años, lo que genera confianza y reseñas legítimas. Las cantidades elevadas se roban en cuestión de minutos. Una de las víctimas documentadas depositó 590 XMR, que desaparecieron en dos días. Cifra total estimada, basada en más de 15 víctimas documentadas: Entre 5.000 y más de 50.000 XMR robados (entre 1,5 y más de 15 millones de dólares a precios históricos). El 60 % de las publicaciones de las víctimas fueron denunciadas de forma masiva y eliminadas antes de que se pudieran recopilar las pruebas.
session_key al operador en cada sesión.Hemos recreado la exfiltración de claves basada en gtag en una demostración en un entorno aislado. Abre DevTools → pestaña «Red» → interactúa con el monedero. Observa session_key Las solicitudes POST se envían en tiempo real. Esto es lo que ha estado funcionando durante 10 años. Esto es lo que la «auditoría de seguridad» nunca tuvo en cuenta. Esto es lo que NameSilo defendió públicamente.
La frase que explicaba NameSilo
El 16 de febrero de 2026, el administrador de xmrwallet.com envió un correo electrónico a PhishDestroy exigiendo la eliminación de la denuncia. Firmó como «Nathalie Roy» — cuenta de GitHub nathroy, ID 39167759. Respondimos con un informe técnico detallado y una advertencia por escrito: «Lo que suceda a continuación dependerá totalmente de cómo decidas actuar».
Al día siguiente, nos envió una frase que lo decía todo sobre su relación con NameSilo:
Tres semanas antes de que NameSilo lo considerara la víctima
Nadie utiliza un desagüe de hace una década en $550/mo bulletproof Belize hosting, desde su puesto en la empresa rusa DDoS-Guard, te invita con toda tranquilidad a citar a su registrador —a menos que ya conozca la respuesta—. Otros tres registradores (PDR, WebNic y NICENIC) suspendieron sus dominios a los pocos días de conocer las mismas pruebas. NameSilo le redactó un comunicado de prensa y se ofreció a limpiar su historial.
21 de enero de 2026 — xmrwallet pagó a PR Newswire para que difundiera un comunicado de prensa en el que se afirmaba lo siguiente: «Las claves privadas nunca llegan a los servidores centrales». El session_key Durante todo este periodo se enviaron solicitudes POST en cada sesión de usuario al servidor de producción. PR Newswire es un servicio de distribución de pago: las empresas redactan y financian sus propios textos, sin revisión editorial. Fuente: PR Newswire, 21 de enero de 2026
Las cuatro mentiras de NameSilo, según consta oficialmente
El 13 de marzo de 2026, la cuenta oficial de NameSilo publicó un comentario en nuestro hilo de investigación. 11 300 visualizaciones antes de la captura. Archivado de forma permanente en ghostarchive.org/archive/CXXZ0. Cada frase queda refutada por fuentes primarias:
-
1«El dominio fue vulnerado hace unos meses (durante los cuales se sustituyó una copia de la página web por un programa de extracción de criptomonedas).»Los hash SHA-256 demuestran que el código no se modificó. El operador nos confirmó que así fue. su propio backend en PHP, escrito en 2018. No se introdujo nada. La historia del «hackeo» se inventó a posteriori.✗ INVENTADO
-
2«Antes de eso, no habíamos recibido ninguna denuncia de abuso relacionada con este dominio».Solo PhishDestroy envió Más de 20 informes a través del portal de NameSilo (2023-2026), con los recibos de entrega. Desde 2018 hay más de 100 quejas públicas en BitcoinTalk y Reddit. Desde que se hizo esta afirmación falsa, todas las denuncias que presentamos se publican con marcas de tiempo antes de su envío.✗ CONTRADICIDO POR LOS RECIBOS
-
3«Tras un exhaustivo análisis… en el que no ha participado el titular del registro».El operador nos escribió el 17 de febrero defendiendo su código como obra propia, antes de que NameSilo publicara su tuit. Nunca alegó que se tratara de un ataque informático. Su «revisión exhaustiva» llegó a conclusiones que contradicen las declaraciones por escrito de su propio titular del dominio.✗ AUTOCONTRADICTORIO
-
4«Colaboramos con el titular del dominio para eliminar la página web de los informes de VirusTotal».No se trata de la gestión de errores — ayudar a un estafador confeso a borrar las advertencias de seguridad mientras el «drainer» seguía activo. PDR, WebNic y NICENIC suspendieron los dominios a los pocos días de conocer las mismas pruebas. NameSilo se ofreció a borrar el registro.✗ DAÑO ACTIVO A LAS VÍCTIMAS
¿Quién es NameSilo?: una empresa de externalización de servicios de seguridad informática con una dirección postal en EE. UU.
NameSilo LLC está registrada en Phoenix, Arizona. Cotiza en la Bolsa de Valores de Canadá bajo el nombre de Brisio Innovations (CSE:BZI) y declaró unos ingresos de 65,5 millones de dólares canadienses en 2025. El equipo de ingeniería propiamente dicho se encuentra repartido por Rusia, Bielorrusia, Ucrania, Serbia, Argentina y Letonia. Se han identificado al menos 13 empleados de habla rusa. La persona con acceso completo a la infraestructura de DevOps se dedicó durante una década a gestionar los sistemas informáticos de una pirámide financiera rusa antes de incorporarse a NameSilo.
Aleksey Podashevskiy (Frontend) — Bielorrusia, jurisdicción sujeta a sanciones, que trabaja para un registrador acreditado por la ICANN y registrado en EE. UU. Se han identificado más de 13 empleados de habla rusa en total repartidos por Rusia, Bielorrusia, Serbia, Argentina y Letonia. No hay ningún servidor occidental en la cadena de infraestructura de xmrwallet.
Más de 5,18 millones de dominios analizados en toda la cartera de NameSilo; cada uno de ellos se ha cotejado con VirusTotal, URLhaus, PhishTank, abuse.ch, OpenPhish y SURBL.
Backend PHP de xmrwallet reconstruido íntegramente a partir de registros de comportamiento del lado del cliente —sin acceso al servidor, sin código fuente y sin colaboración alguna—. El mecanismo de robo se determinó únicamente a partir de patrones de red observables.
13 miembros del equipo cruzados con datos de LinkedIn, GitHub, HeadHunter, Telegram, registros mercantiles y expedientes judiciales de seis países. Patrones de eliminación en Trustpilot se ha realizado un seguimiento a lo largo de varios meses para identificar la periodicidad sistemática de las eliminaciones. Informes trimestrales de CSE:BZI se cotejó con los datos de la cartera de dominios para identificar la anomalía en los ingresos. 5,18 millones de dominios analizados en relación con seis fuentes de información sobre amenazas. Todos los datos sin procesar están disponibles públicamente en github.com/phishdestroy/namesilo-evidence. Presentada ante la ICANN, las fuerzas del orden de la UE y tres unidades nacionales de lucha contra la ciberdelincuencia.
La anomalía de los dominios: un 32,2 % nunca se ha activado — Una cortina de humo estadística
Recopilamos y analizamos todos los dominios de la cartera de NameSilo — los 5,18 millones en total—. Cada uno de ellos se analizó en VirusTotal, URLhaus, PhishTank, abuse.ch, OpenPhish y SURBL. Los datos brutos, la metodología y los resultados por dominio son públicos: github.com/phishdestroy/namesilo-evidence. Resultado: El 32,2 % de los dominios nunca se han activado — frente al 14,7–22,8 % de otros registradores comparables. Entre 10 000 y 17 000 registros masivos en un solo día (máximo: 17 180 el 19 de julio de 2025). Se gastaron 12 millones de dólares en dominios que nunca se activaron; el gasto anual ascendió a 3,2 millones de dólares en dominios que no sirven para nada. En 2024, cuando ShortDot, socio de NameSilo, adquirió nuevos TLD (.sbs, .cfd a unos 0,50 dólares al por mayor, vendidos a 14,95 dólares al por menor = 22–31× de margen), los registros de dominios inactivos se dispararon 615% en un solo año.
PrivacyGuardian oculta la identidad del comprador en más de 3 millones de dominios (registrados a nombre de pw-{hex}@privacyguardian.org). Se acepta Bitcoin. Sin KYC. Cada dominio fantasma hace que la proporción entre abusos y total parezca menor.
«casi nada»
cada 43.º sitio
1 intento de phishing por cada 2,5 mensajes legítimos
NameSilo registra unos ingresos de 65,5 millones de dólares canadienses (2025). Relación precio/beneficio: 143,8× frente a los 21× del sector. Ingresos por dominio real (activo): 68 dólares canadienses frente a los 10-15 dólares del sector. 95 registradores de la ICANN venden dominios .com más baratos. Si los registros masivos de dominios fantasma sirven para blanquear ingresos —con un margen de beneficio de entre 22 y 31 veces al convertir BTC en dominios—, estos aparecen como «ingresos legítimos de los registradores» en los informes trimestrales presentados en la Bolsa de Valores de Canadá. Este patrón está documentado y se ha remitido a las fuerzas del orden.
prnewswire.com — Reach Systems / Pedido de la NASA, 23 de junio de 2026
newswire.ca — Adquisición de SewerVUE, 12 de septiembre de 2025
prnewswire.com — xmrwallet «las claves privadas nunca llegan a los servidores», 21 de enero de 2026
Qué pasó después de que lo publicáramos
Tras la publicación de nuestro reportaje, se puso en marcha una campaña coordinada de acciones legales y de supresión en las plataformas, dirigida contra todos los principales espacios en los que PhishDestroy tenía presencia. Tres mecanismos —cada uno de ellos registrado, archivado y que ahora forma parte de la reclamación n.º 1479 ante la ICANN—.
Antes de que se activara el bloqueo, publicamos un tuit en el que predijimos que NameSilo utilizaría las tácticas de supresión propias de los estafadores y lo archivamos con marca de tiempo en GhostArchive. Hicieron exactamente lo que dijimos, tal y como habíamos previsto. La predicción con marca de tiempo —que demuestra que anticipamos la táctica antes de que se utilizara— se incluye en la denuncia presentada ante la ICANN contra NameSilo (ICANN n.º 1479).
Todo está en marcha IPFS (phishdestroy.eth), Arweave, GhostArchive y Wayback Machine. 61 capturas de pantalla verificadas con SHA-256. Cero impugnaciones legales exitosas contra ninguna de las denuncias. Cero refutaciones técnicas por parte del operador o de NameSilo. Cero respuestas basadas en hechos: solo amenazas legales, ataques ad hominem y tuits eliminados. La investigación completa, con los datos sin procesar, el expediente del equipo, el análisis de blanqueo y los recursos para las víctimas, se encuentra en phishdestroy.eth.limo — replicado en IPFS, Arweave, GhostArchive y Wayback Machine. Ninguno de ellos cuenta con la marca de verificación dorada.
Red «Escape Domain»: preparada meses antes de su desmantelamiento
Inicio 4 de febrero de 2026 —la misma semana en que el operador se puso en contacto por primera vez con PhishDestroy— empezó a registrar en secreto dominios de escape a través de cuatro registradores diferentes, con renovaciones prepagadas de entre 5 y 10 años cada uno. La infraestructura estaba diseñada para sobrevivir a cualquier cierre puntual. No sobrevivió a la investigación.
Análisis técnico inicial con toda la documentación: github.com/phishdestroy/NO-UTILICES-xmrwallet-com
| Dominio | Secretario | Prepago | IP | Estado |
|---|---|---|---|---|
| xmrwallet.cc | Registro de dominio público | 8 años | 185.129.100.248 | SUSPENDIDO |
| xmrwallet.biz | WebNic.cc | 5 años | 190.115.31.40 | SUSPENDIDO |
| xmrwallet.net | NICENIC International | 10 años | 190.115.31.40 ← | DNS INACTIVO |
| xmrwallet.me | Key-Systems GmbH | 10 años | 185.129.100.248 ← | ACTIVO — se ha denunciado un caso de abuso |
Agrupación de direcciones IP: 185.129.100.248 compartido por .cc y .me — mismo servidor. 190.115.31.40 Compartidos por .biz y .net — mismo servidor. Cuatro registradores, dos grupos de direcciones IP. 33 años de registro prepagado. Todos registrados de forma secreta tras el primer contacto con los investigadores.
Reputación comprada: Wikipedia, Forbes y más de 15 artículos patrocinados
La reputación pública de NameSilo es artificial. Wikipedia: etiqueta de «contenido pagado/promocional». Forbes: declaración de afiliación «Obtenemos una comisión». SmartCustomer: 1,8/5 — sin ningún resultado negativo en Google.
NameSilo tiene un artículo en Wikipedia — señalado por los editores como artículo patrocinado o promocional, y no una cobertura editorial imparcial. Historial de ediciones (archivado): en.wikipedia.org/w/index.php?title=NameSilo&action;=history
NameSilo aparece en Forbes Advisor con una declaración explícita sobre su programa de afiliados: «Forbes Advisor se rige por estrictas normas de integridad editorial... Recibimos una comisión». Forbes Advisor obtiene ingresos cuando los usuarios se registran a través de sus enlaces, lo que genera un incentivo económico directo para ofrecer una cobertura positiva. Fuente: forbes.com/advisor/business/software/namesilo-review/
NameSilo cuenta con un Valoración de 1,8/5 en SmartCustomer — fuente: smartcustomer.com/reviews/namesilo.com. A pesar de las docenas de críticas negativas registradas, una búsqueda en Google no arroja ningún resultado negativo: se trata de una supresión activa que utiliza las mismas herramientas del RGPD y la DMCA que se han aplicado contra nuestra investigación.
NameSilo Technologies Corp. (CSE:BZI / OTC: URLOF — sociedad matriz de NameSilo LLC que cotiza en bolsa) utiliza PR Newswire para sus comunicados corporativos. PR Newswire es un servicio de distribución de pago: la empresa redacta el texto y paga por su publicación. Ejemplos de comunicados de prensa de pago de NameSilo Technologies:
- Adquisición de SewerVUE Technology Corp. — newswire.ca, 12 de septiembre de 2025
- La filial Reach Systems recibe un pedido de la NASA — prnewswire.com, 23 de junio de 2026
El mismo mecanismo: xmrwallet utilizó PR Newswire el 21 de enero de 2026 para publicar su artículo de portada («las claves privadas nunca llegan a los servidores centrales») mientras la puerta trasera estaba activa. Distribución de pago que presentaba un texto redactado por el operador como contenido de interés periodístico.
Tres puestos. Una empresa. Ninguno de ellos sobrevive al contacto con los demás.
NameSilo no mantuvo una versión coherente. Adoptaron sucesivamente tres posturas mutuamente excluyentes —el experto seguro de sí mismo, la víctima amenazada y el humilde funcionario público— en función del riesgo legal al que se enfrentaban en cada momento.
«Tus afirmaciones son falsas, calumniosas y difamatorias. NameSilo toma medidas y revisa todas las denuncias por abuso que se nos envían. Si tiene algún caso de este tipo, envíelo a abuse@namesilo.com. De lo contrario, póngase en contacto directamente con el proveedor de alojamiento web o con el titular del dominio. Y deje de difundir falsedades sobre nosotros o nos veremos obligados a emprender acciones legales».
Si tu equipo de atención a las víctimas de maltrato tuviera la capacidad para llevar a cabo una revisión exhaustiva y detallada, determinar que el dominio había sido pirateado, identificar al titular del dominio como la víctima y empezar a ayudarle a eliminar las detecciones de VirusTotal — entonces estás afirmando explícitamente que tienes más autoridad y más competencia técnica que todos los proveedores de antivirus que han señalado este dominio como malicioso.
No podrás alegar más adelante que tú simplemente procesar informes y no cuentan con los conocimientos necesarios para detectar el phishing. La denuncia presentada ante la ICANN no te pide una competencia que no tienes. Lo que te pregunta es por qué utilizaste la competencia que, como se ha demostrado, sí tienes: para ayudar al estafador, y no a las víctimas.
Trustpilot: granjas de bots que compiten entre sí
Una valoración de 5 estrellas para NameSilo (enero de 2026): «Leonid fue de gran ayuda… ¡5 estrellas!» La otra reseña: sobre Otrium, una empresa con reseñas en las que se le acusa de fraude y de apropiación indebida de dinero. Una cuenta de bot, dos empresas relacionadas con estafas. Patrón: agentes de atención al cliente con nombre propio, se elogia el tiempo de respuesta, lenguaje basado en plantillas. Los compradores reales de dominios valoran los precios y la experiencia de usuario del panel. Las reseñas de los bots elogian a «Leonid».
Análisis de datos: 2.280 opiniones sobre NameSilo frente a 2.480 sobre Namecheap
| Métrico | NameSilo | Namecheap |
|---|---|---|
| Opiniones de 5 estrellas | 88.9% | 74.0% |
| Opiniones de 1 estrella | 7.2% | 16.7% |
| Cuentas con una sola reseña | 62.4% | 59.6% |
| Sin avatar (cuentas nuevas) | 67.3% | 51.5% |
| Opiniones sobre la atención al cliente/el servicio | 70.0% | 60.2% |
| Opiniones sobre el precio/coste | 9.8% | 37.5% |
| Agente con el nombre en clave «Leonid» | 5.7% | 0.0% |
| Geolocalización en EE. UU. | 35.1% | 26.5% |
Leonid apareció el 13 de abril de 2025. Antes no se había mencionado en absoluto. Luego recibió 65 reseñas en sus dos primeros meses. Mayo de 2025: 106 reseñas (5 veces más de lo habitual), un 95 % de cinco estrellas y ninguna de una estrella. Ni un solo cliente insatisfecho en las 106 opiniones sobre un registrador que ocupa el puesto n.º 96 en precios de dominios .com.
El 43 % de las reseñas sobre Leonid tienen menos de 80 caracteres. Cuatro de ellas solo tienen el título «Leonid». Tres más: «Leonid fue de gran ayuda». Entre los revisores: «Satoshi Nakamoto», «Autor», «Виктор -», «Anna Koroleva», «Boris Martin», «Andrei Dobrescu», junto con «Brad», «LaToya» y «Patty Johnson». Un generador de nombres que recorre los continentes. El nombre Leonid es ruso.
Cero valoraciones de cuatro estrellas. Cero de tres estrellas. Cero de cualquier otro tipo. El 91 % son cuentas con una sola valoración. A lo largo de 7 años. China: el 94 % son valoraciones de cinco estrellas, el 80 % con una sola valoración. Singapur: el 95 % son valoraciones de cinco estrellas. Un total de 168 valoraciones procedentes de mercados de habla china, casi todas ellas falsas.
¿Por qué China? NameSilo lleva a cabo una campaña de marketing activa en ese país: namesilo-china.com, bcbay.com/namesilo, entradas de blog chinas pagadas, un artículo de la Wikipedia china. Cuando los investigadores se preguntan «¿quién compra 4,22 millones de dominios inactivos?», NameSilo señala a China. Los datos de Trustpilot muestran que llevan construyendo esta coartada desde 2019, una reseña falsa tras otra.
Análisis forense independiente de la API de Claude — Prueba a ciegas
Se enviaron a Claude API 2.480 opiniones de Trustpilot sobre NameSilo y 2.480 sobre Namecheap, anonimizadas como «Empresa A» (NameSilo) y «Empresa B» (Namecheap). La IA no sabía cuál era cuál.
| Indicador forense | NameSilo (A) | Namecheap (B) |
|---|---|---|
| Proporción de 5 estrellas | 89.1% | 74.0% |
| Porcentaje de valoraciones de 1 estrella | 7.1% | 16.7% |
| Cuentas desechables a las que se les dan 5 estrellas | 92% | ~65% |
| Opiniones en las que se menciona el precio | 11.2% | 39.2% |
| Mencionado como único agente en las reseñas | Leonid: 168 | ninguno |
| Diversidad de vocabulario de 5 estrellas (TTR) | 0.073 | ~0.15 |
| HK: 100 % de valoraciones de cinco estrellas | 57/57 | n/a |
| Pico en mayo-junio de 2025 (5 veces lo normal) | 215 opiniones | ninguno |
| Veredicto sobre la manipulación mediante IA | 92% | 15% |
«La empresa A presenta numerosas pruebas multidimensionales de manipulación sistemática de las revisiones mediante la generación artificial coordinada. La probabilidad de que estos patrones se produzcan de forma espontánea es prácticamente nula».
Análisis completo: phishdestroy.eth.limo/namesilo-trustpilot.html · Datos brutos: trustpilot-forensic-report-final.txt
Resultados de la investigación
Tras la investigación y la publicación de PhishDestroy, xmrwallet.com cesó sus actividades. La operadora envió un mensaje de despedida y, cabe destacar, ya no lo firmó como «Nathalie Roy». La identidad que había sido la imagen pública de xmrwallet durante años se abandonó discretamente. No se dio ninguna explicación.
xmrwallet.com acabó redirigiéndose a su repositorio de GitHub, la misma fachada pública que sirvió como coartada de «código abierto» durante una década. Se necesitaron tres intentos. El repositorio llevaba inactivo desde 5 años antes de la redirección: sin confirmaciones, sin actualizaciones, sin mantenimiento — en consonancia con un proyecto cuyo código real se alojaba exclusivamente en un servidor de producción no auditado y que nunca se destinó a la revisión pública.
xmrwallet.com se transfirió a Namecheap en mayo de 2026 y está registrado hasta 2036. Al parecer, NameSilo considera que este asunto está resuelto. No lo es.
¿Pensabas que los expertos capaces de superar a todos los fabricantes de antivirus se darían por vencidos cuando se cambiara de dominio? La investigación se está llevando a cabo en IPFS. Se está llevando a cabo en Arweave. Se encuentra en el sistema oficial de denuncias de la ICANN. Está en manos de las fuerzas del orden de la UE. Está en manos de tres unidades nacionales de lucha contra la ciberdelincuencia. La amenaza legal añadió una marca de tiempo más al expediente. La transferencia del dominio añadió una prueba más. Cada medida adoptada para obstaculizar esta investigación constituye en sí misma una prueba documentada del patrón que hemos descrito.
No erais los más listos en esta situación. Simplemente, durante un tiempo, teníais más dinero.


