NiceNIC al descubierto: el registrador de la ICANN que impulsa la ciberdelincuencia a nivel mundial
Investigación sobre un registrador acreditado por la ICANN con una puntuación de phishing sin precedentes de 1.141,74 —que ofrece refugio a redes de estafadores, facilitó el robo de 8,5 millones de dólares a Trust Wallet y admite abiertamente que «no estamos en contra de las estafas»—.
8 minutos de lectura· Actualizado Marzo de 2026· PhishDestroy Intelligence
Puntuación de phishing: 1.141,74Robo en Trust Wallet: 8,5 millones de dólaresIdentificador IANA: 3765
0
Puntuación de phishing
Trescientas veinte veces
Más casos de fraude de lo habitual
0
Sitios web de «Soulless Machine»
8,5 millones de dólares
Pérdida de la cartera Trust Wallet
La imposibilidad estadística
NiceNIC no es solo una empresa «de bajo rendimiento», sino que es una imposibilidad estadística en el comercio legítimo. Según los datos de 2025 del Centro de Información sobre Delitos Informáticos, su puntuación de phishing de 1,141.74 hace que sean anfitriones 320 veces más casos de fraude confirmados por cada registro que las normas del sector.
Comparación de puntuaciones de phishing (2025)
3.5
GoDaddy
3.2
Google
8.4
Reg.ru
1,141
NiceNIC
Qué significa esto
Mientras que los registradores legítimos mantienen puntuaciones por debajo de 10, NiceNIC opera con Entre 100 y 300 veces la media del sector. No se trata de negligencia, sino de una infraestructura diseñada para el fraude. Estos indicadores de compromiso (IOC) ponen de manifiesto prácticas de alojamiento que toleran el abuso de forma sistemática y que incumplen las normas de cumplimiento de la ICANN.
La táctica de la «falta de pruebas»
PhishDestroy envía paquetes forenses completos a NiceNIC que contienen:
Archivos PDF forenses con firmas de scripts maliciosos y código de drenaje
Informes de VirusTotal se muestran entre 15 y más de 20 detecciones de proveedores
Capturas de pantalla de portales de inicio de sesión fraudulentos
Historial del DNS y asignación de direcciones IP
Metadatos JSON con indicadores técnicos
Su respuesta automática afirma que esto no es suficiente:
«Gracias por enviar tu informe... Sin embargo, en este momento la información facilitada no es suficiente para que nuestro equipo pueda verificar el problema...»
— Equipo de Cumplimiento Normativo de NiceNIC (respuesta automática)
La verdad
Las pruebas lo confirman: el personal de asistencia de NiceNIC se niega deliberadamente a abrir los archivos adjuntos para mantener la «negación legal». Los dominios que registran más de 16 detecciones en VirusTotal permanecen activos durante más de 1 000 horas. Este patrón socava los esfuerzos de inteligencia sobre amenazas de dominios en todo el sector.
Recomendado por estafadores
Publicación en un foro de la dark web en la que se recomienda NiceNIC porque ignoran todas las denuncias de abuso - AL DESCUBIERTO
Investigación realizada por Brian Krebs (La investigación «Soulless») reveló que NiceNIC era el principal centro de operaciones de los rusos Panel de jugadores redes. Los operadores de paneles fraudulentos forman activamente a sus afiliados en el uso de NiceNIC.
«Utiliza NiceNIC. Son fieles a nuestra empresa. Si PhishDestroy envía un aviso, ignóralo. NiceNIC enviará automáticamente su respuesta estándar de «falta de pruebas».
— Instrucciones filtradas de Telegram de los operadores de Gambler Panel
Máquina sin alma
Brian Krebs identificó una red de más de 1 200 sitios web fraudulentos idénticos utilizando la infraestructura de NiceNIC — todas ejecutan los mismos scripts de drainer.
Información tecnológica para jugadores
En los grupos de Telegram se recomienda abiertamente NiceNIC para alojar operaciones de «crypto drainer», alegando su «fidelidad al negocio».
El robo de 8,5 millones de dólares de Trust Wallet
Diciembre de 2025 — El fallo más catastrófico de NiceNIC
8 500 000 dólares
Umbral de pérdidas confirmadas
Control integral
NiceNIC fue tanto el Registrador Y proveedor de alojamiento para la infraestructura de exfiltración. Tenían todo el poder técnico necesario para desactivar los nodos, pero los mantuvieron deliberadamente activos.
Operador en directo
El operador de NiceNIC era Conectado en Telegram durante el atraco. No contaban con la función de privacidad Premium, lo que delató su identidad. Ignoraron las alertas forenses mientras se robaban millones.
Continuidad operativa al 100 %
La infraestructura siguió en funcionamiento hasta que se agotó hasta el último céntimo. NiceNIC proporcionó a los ladrones un apoyo operativo total.
Infraestructura de exfiltración
NS3.MY-NDNS.COM
NS4.MY-NDNS.COM
La confesión pública
El 10 de enero de 2026, la cuenta de Twitter de NiceNIC publicó un manifiesto que conmocionó a la comunidad de seguridad:
«No estamos en contra de las estafas... estamos aquí para ganar dinero».
Después de que la publicación se hiciera viral, montaron un falso «ataque informático ruso» utilizando el nombre Julian para poder seguir negándolo ante la ICANN. Pero el daño ya estaba hecho: su verdadera postura había quedado al descubierto.
El patrón es evidente
Respuestas automáticas de rechazo + recomendaciones de estafadores + confesión en Twitter + robo de 8,5 millones de dólares = Esto no es un fallo de cumplimiento normativo. Es un modelo de negocio.
Pruebas y documentación
Descarga los informes forenses que, según NiceNIC, son «insuficientes»:
NiceNIC (IANA 3765) no es una empresa del sector, sino un socio de infraestructura para la ciberdelincuencia a nivel mundial. Las pruebas son contundentes. El robo es catastrófico. Se acabó el tiempo de las advertencias.
Cronología que muestra cómo los dominios de NiceNIC registrados a coste cero dieron lugar a que se ignoraran denuncias por abuso por valor de 24 millones de dólares y a que se sustrajeran 8,5 millones de dólares a las víctimas
Aviso de transparencia. PhishDestroy es un proyecto sin ánimo de lucro impulsado por voluntarios. Nuestra investigación puede reflejar un sesgo inherente contra las infraestructuras fraudulentas y los servicios que las facilitan. Animamos a los lectores a que evalúen todo el material de forma crítica e independiente. Lee nuestra declaración de transparencia completa →
