Ir al contenido principal
Volver a las noticias
Investigación de seguimiento

Veredicto de NiceNIC: Se han analizado todos los dominios y no se ha encontrado ningún uso legítimo

IANA 3765 · NiceNIC INTERNATIONAL GROUP CO., LIMITED · Hong Kong

Veredicto de NiceNIC
5,000+
Entradas únicas ignoradas
24,7 MB
Publicación del conjunto de datos del dominio
0
Dominios válidos encontrados
100%
Dominios ahora marcados

Decidimos comprobarlo

Después de que nuestra primera investigación sacara a la luz que NiceNIC, un registrador acreditado por la ICANN, estaba impulsando la ciberdelincuencia a nivel mundial, quedaba una pregunta por responder: ¿es realmente TODO malo? ¿Podría haber empresas legítimas ocultas bajo esa montaña de phishing, estafas con criptomonedas y cosas peores?

Decidimos averiguarlo. Analizamos toda la cartera de dominios de NiceNIC: cada registro, cada dirección IP y cada elemento de contenido al que pudimos acceder. El resultado es un conjunto de datos de 24,7 MB publicado en GitHub para que cualquiera pueda verificarlo de forma independiente.

La conclusión fue unánime e inequívoca.

El resultado

Buscamos CUALQUIER caso de uso legítimo. Un negocio sencillo. Un blog personal. Una página web de portfolio. No encontramos ninguno.

Esta investigación se basa en nuestras conclusiones iniciales. Lee el contexto completo:

Lo que hemos descubierto

Los dominios registrados a través de NiceNIC se clasifican en categorías claras de uso indebido:

CategoríaPrevalenciaNotas
Phishing y «drainers» relacionados con las criptomonedasDominanteEstafas de vaciado de monederos, plataformas de intercambio falsas, estafas de airdrops
Apuestas y casinos falsosAlto Relacionado con operaciones que ya hemos investigado (OFEDREX, LuxardGambling)
Phishing (General)AltoRobo de credenciales, suplantación de marca
Distribución de malwareModeradoDescargas automáticas, software falso
Contenido delictivo no reveladoPresente Contenido que infringe la legislación penal en todas las jurisdicciones — no se describe deliberadamente

Advertencia sobre el contenido

Algunos contenidos alojados en dominios de NiceNIC son tan extremos que describirlos con detalle sería, en sí mismo, una actitud irresponsable. Existen categorías que infringen los códigos penales de todo el mundo. Lo hemos documentado todo. No daremos detalles al respecto.

La única categoría «dudosa» era la de los juegos de azar, pero incluso esa se desmoronó al someterla a un análisis minucioso. Los dominios relacionados con los juegos de azar se remontaban directamente a operaciones de casinos falsos que ya habíamos investigado: OFEDREX con sus 383 víctimas confirmadas, LuxardGambling con sus anuncios falsos en los que aparecen famosos. No se trata de sitios web de apuestas legítimos. Son las mismas estafas con un aspecto diferente.

La conexión con el foro de hackers

La relación de NiceNIC con los ciberdelincuentes va mucho más allá de la negligencia pasiva. El registrador participa activamente en el ecosistema:

«NiceNIC mantiene una presencia activa en BlackHatWorld, un foro conocido por el spam de SEO, los kits de phishing y los servicios fraudulentos».
«Se ha documentado que los correos electrónicos promocionales de NiceNIC presumen de «menos denuncias por abuso», un texto publicitario diseñado específicamente para atraer a clientes con fines delictivos».
«Cuando se denuncia un abuso, NiceNIC remite la información de contacto personal del denunciante —incluidas las direcciones de correo electrónico— directamente al titular del dominio. No se trata de un descuido, sino de una función diseñada para intimidar a los denunciantes».

Incidentes destacados

Infografía: 5.000 denuncias de abuso enviadas a NiceNIC, 0 medidas tomadas: una montaña de denuncias ignoradas en la papelera
Infografía: 5.000 denuncias de abuso enviadas a NiceNIC, 0 medidas tomadas — una montaña de denuncias ignoradas en la papelera

Incidente en BreachForums

NiceNIC ha reactivado un dominio TRAS una solicitud de retirada por parte del FBI, y, según se informa, suspendió la propia cuenta del FBI para impedir que se siguiera manteniendo la correspondencia.

Telegram @NiceNIC_NET

Conversaciones documentadas en las que se aborda desactivar el servicio WHOIS y prestar servicios a prueba de balas a presuntos delincuentes.

GDPR / Violaciones de la privacidad

Compartir los datos de los denunciantes con los atacantes: convertir el proceso de denuncia de abusos en un arma contra los denunciantes.

5.000 multas ignoradas

La cifra no es una estimación. No incluye duplicados. Más de 5.000 incidencias únicas relacionadas con abusos Se presentaron denuncias contra dominios de NiceNIC, cada una de ellas con nuevas pruebas y cada una correspondiente a un dominio malicioso distinto. Este recuento excluye las denuncias repetidas, las presentaciones de seguimiento y los informes con referencias cruzadas.

La respuesta era siempre la misma:

«Pruebas insuficientes»: la respuesta automática habitual de NiceNIC a los archivos PDF forenses que contienen informes de VirusTotal con más de 15 detecciones de distintos proveedores, capturas de pantalla a página completa de portales de phishing activos, asignaciones de DNS y metadatos técnicos.

Mecanismos de abuso

  • Retraso de 48 horas en la suspensión: La política interna de NiceNIC permite que los dominios denunciados permanezcan activos durante 48 horas, lo que da a los estafadores tiempo más que suficiente para vaciar las cuentas de las víctimas
  • Manipulación de WHOIS/RDAP: desactivado o inhabilitado intencionadamente para los clientes a petición de estos, lo que incumple los requisitos de transparencia del RAA de la ICANN
  • Reclamaciones cerradas automáticamente: Las incidencias enviadas a abuse@nicenic.net se reenvían automáticamente a los propietarios de los dominios y se cierran.

La decisión empresarial

5.000 entradas no suponen un incumplimiento normativo. Se trata de una decisión empresarial. Cada ticket no atendido tiene sus ingresos garantizados.

Nuestro veredicto

A la luz de las pruebas —la revisión completa del dominio, los más de 5.000 tickets ignorados, la presencia en foros de hackers, el incidente con el FBI, la intimidación al denunciante y la tasa confirmada de uso legítimo igual a cero—, PhishDestroy ha tomado una decisión definitiva:

Denominación oficial

Todos los dominios registrados a través de NiceNIC (IANA 3765) aparecen ahora marcados como potencialmente peligrosos en el sistema de inteligencia sobre amenazas de PhishDestroy. Esto se aplica a nuestra API, a las listas de bloqueo, a las advertencias del navegador y a todas las integraciones con socios.

No se trata de un castigo generalizado. Es una conclusión estadística. Cuando el 100 % del contenido revisado es malicioso y el registrador lo permite de forma activa, el registrador ES la infraestructura delictiva.

Declaración final

Esto no es negligencia. Esto no es incompetencia. Se trata de un modelo de negocio basado en la resistencia al abuso. Los propietarios de NiceNIC INTERNATIONAL GROUP CO., LIMITED deberían responder penalmente — no por no haber actuado, sino por haber decidido deliberadamente no hacerlo. Esperamos que se asuman responsabilidades.

El modelo de negocio es claro: cobrar a los delincuentes por los dominios, ignorar todas las denuncias de abuso, compartir los datos de los denunciantes con los atacantes y anunciarse en foros de hackers. Esto no es una zona gris. Se trata de una infraestructura organizada al servicio del crimen organizado. Un precedente legal en este caso enviaría un mensaje a todos los registradores «a prueba de balas» que operan bajo el paraguas de la ICANN.

Juega al juego: encuentra un dominio válido

Hacemos público el reto. Se ha publicado el conjunto de datos completo. Todos los dominios de NiceNIC que hemos revisado están disponibles para su descarga y verificación independiente.

Las reglas son sencillas: busca un único dominio válido registrado a través de NiceNIC. Una empresa real. Una página web personal. Cualquier cosa que no sea phishing, una estafa o algo peor.

Si encuentras alguno, avísanos. Nosotros no lo hemos encontrado.

Denunciar. Bloquear. Revelar.

Cuadrícula de dominios de NiceNIC: evidencia visual de la concentración de casos de phishing
Cuadrícula de dominios de NiceNIC: evidencia visual de la concentración de casos de phishing

El modelo de negocio de NiceNIC se mantiene gracias al silencio. Cada denuncia, cada bloqueo, cada denuncia pública encarece el coste de la complicidad. Los datos son públicos. Las pruebas son abrumadoras. Hay que actuar al respecto.

#NiceNIC#ICANN#RegistrarVerdict#Investigation#CyberCrime
Aviso sobre transparencia. PhishDestroy es un proyecto independiente y sin ánimo de lucro. Nuestra investigación puede reflejar un sesgo inherente contra las infraestructuras de estafa y los servicios que las facilitan. Animamos a los lectores a evaluar todo el material de forma crítica e independiente. Lee nuestra declaración de transparencia completa →