Veredicto de NiceNIC: se han analizado todos los dominios y no se ha encontrado ningún uso legítimo
IANA 3765 · NICENIC INTERNATIONAL GROUP CO., LIMITED · Hong Kong
9 minutos de lectura· Actualizado Marzo de 2026· PhishDestroy Intelligence
Más de 5.000
Entradas únicas ignoradas
Veinticuatro coma siete megabytes
Publicación del conjunto de datos del dominio
0
Dominios válidos encontrados
100 %
Dominios ahora marcados
Decidimos comprobarlo
Después de que nuestra primera investigación sacara a la luz que NiceNIC, un registrador acreditado por la ICANN, estaba facilitando la ciberdelincuencia a escala mundial, quedaba una pregunta en el aire: ¿es realmente TODO malo? ¿Podría haber empresas legítimas ocultas bajo esa montaña de phishing, estafas con criptomonedas y cosas peores?
Decidimos averiguarlo. Analizamos toda la cartera de dominios de NiceNIC: cada registro, cada dirección IP y cada elemento de contenido al que pudimos acceder. El resultado es un conjunto de datos de 24,7 MB publicado en GitHub para que cualquiera pueda verificarlo de forma independiente.
La conclusión fue unánime e inequívoca.
El resultado
Buscamos CUALQUIER caso de uso legítimo. Una sola empresa seria. Un blog personal. Una página web de portfolio. No encontramos ninguno.
Esta investigación se basa en nuestras conclusiones iniciales. Lee el contexto completo:
Los dominios registrados a través de NiceNIC se clasifican en categorías claras de uso indebido:
Categoría
Prevalencia
Notas
Phishing y drenadores de criptomonedas
Dominante
Estafas de vaciado de monederos, plataformas de intercambio falsas, estafas de airdrops
Apuestas y casinos falsos
Alto
Relacionado con operaciones que ya hemos investigado (OFEDREX, LuxardGambling)
Phishing (General)
Alto
Robo de credenciales, suplantación de marca
Distribución de malware
Moderado
Descargas automáticas, software falso
Contenido delictivo no revelado
Presente
Contenido que infringe la legislación penal en todas las jurisdicciones — no se describe deliberadamente
Advertencia sobre el contenido
Algunos contenidos alojados en dominios de NiceNIC son tan extremos que describirlos con detalle sería, en sí mismo, una irresponsabilidad. Existen categorías que infringen los códigos penales de todo el mundo. Lo hemos documentado todo. No daremos detalles.
La única categoría «dudosa» era la de los juegos de azar, pero incluso esa se desmoronó al someterla a un análisis minucioso. Los dominios relacionados con los juegos de azar se remontaban directamente a operaciones de casinos falsos que ya habíamos investigado: OFEDREX con sus 383 víctimas confirmadas, LuxardApuestas con sus anuncios falsos en los que aparecen famosos. No se trata de sitios web de apuestas legítimos. Son las mismas estafas con un aspecto diferente.
La conexión con el foro de hackers
La relación de NiceNIC con los ciberdelincuentes va mucho más allá de una simple negligencia pasiva. El registrador participa activamente en el ecosistema:
«NiceNIC mantiene una presencia activa en BlackHatWorld, un foro conocido por el spam de SEO, los kits de phishing y los servicios fraudulentos».
«Se ha documentado que los correos electrónicos promocionales de NiceNIC presumen de «menos denuncias por abuso», un texto publicitario diseñado específicamente para atraer a clientes con fines delictivos».
«Cuando se denuncia un abuso, NiceNIC envía la información de contacto personal del denunciante —incluidas las direcciones de correo electrónico— directamente al propietario del dominio. No se trata de un descuido, sino de una función diseñada para intimidar a los denunciantes».
Incidentes destacados
Infografía: 5000 denuncias de abuso enviadas a NiceNIC, 0 medidas tomadas: una montaña de denuncias ignoradas en la papelera
Incidente en BreachForums
NiceNIC ha reactivado un dominio TRAS una solicitud de incautación del FBI, y, según se informa, suspendió la propia cuenta del FBI para impedir que se siguiera manteniendo la correspondencia.
Telegram @NiceNIC_NET
Conversaciones documentadas en las que se aborda desactivar el WHOIS y prestar servicios a presuntos delincuentes.
RGPD / Violaciones de la privacidad
Compartir los datos de los denunciantes con los atacantes: convertir el proceso de denuncia de abusos en un arma contra los denunciantes.
5.000 multas ignoradas
La cifra no es una estimación. No incluye datos duplicados. Más de 5 000 incidencias por abuso registradas Se presentaron denuncias contra dominios de NiceNIC, cada una con nuevas pruebas y cada una relativa a un dominio malicioso distinto. Este recuento excluye las escalaciones repetidas, las denuncias de seguimiento y los informes con referencias cruzadas.
La respuesta era siempre la misma:
«Pruebas insuficientes»: la respuesta automática habitual de NiceNIC a los archivos PDF forenses que contienen informes de VirusTotal con más de 15 detecciones de distintos proveedores, capturas de pantalla a página completa de portales de phishing activos, asignaciones de DNS y metadatos técnicos.
Mecanismos del abuso
Retraso de 48 horas en la suspensión: La política interna de NiceNIC permite que los dominios denunciados permanezcan activos durante 48 horas, lo que da a los estafadores tiempo suficiente para desplumar a sus víctimas
Manipulación de WHOIS/RDAP: desactivado o inhabilitado intencionadamente para los clientes a petición de estos, lo que incumple los requisitos de transparencia del Acuerdo de Asignación de Dominios (RAA) de la ICANN
Reclamaciones cerradas automáticamente: Los tickets enviados a abuse@nicenic.net se reenvían automáticamente a los propietarios de los dominios y se cierran
La decisión empresarial
5.000 multas no suponen un incumplimiento normativo. Se trata de una decisión empresarial. Cada ticket no atendido supone una pérdida de ingresos.
Nuestro veredicto
A la luz de las pruebas —el análisis completo del dominio, los más de 5.000 tickets ignorados, la presencia en foros de hackers, el incidente con el FBI, la intimidación al denunciante y la tasa confirmada de uso legítimo igual a cero—, PhishDestroy ha tomado una decisión definitiva:
Denominación oficial
Todos los dominios registrados a través de NiceNIC (IANA 3765) aparecen ahora marcados como potencialmente peligrosos en el sistema de inteligencia sobre amenazas de PhishDestroy. Esto se aplica a nuestra API, a las listas de bloqueo, a las advertencias del navegador y a todas las integraciones con socios.
No se trata de un castigo generalizado. Es una conclusión estadística. Cuando el 100 % del contenido revisado es malicioso y el registrador lo permite de forma activa, el registrador ES la infraestructura delictiva.
Declaración final
Esto no es negligencia. Esto no es incompetencia. Se trata de un modelo de negocio basado en la capacidad de soportar el abuso. Los propietarios de NICENIC INTERNATIONAL GROUP CO., LIMITED deberían responder penalmente — no por no haber actuado, sino por haber decidido deliberadamente no hacerlo. Esperamos que se asuman responsabilidades.
El modelo de negocio es claro: cobrar a los delincuentes por los dominios, ignorar todas las denuncias de abuso, compartir los datos de los denunciantes con los atacantes y anunciarse en foros de hackers. Esto no es una zona gris. Se trata de una infraestructura organizada al servicio del crimen organizado. Un precedente legal en este caso enviaría un mensaje a todos los registradores «a prueba de balas» que operan bajo el paraguas de la ICANN.
Juega al juego: encuentra un dominio válido
Hacemos público el reto. El conjunto de datos completo ya está publicado. Todos los dominios de NiceNIC que hemos revisado están disponibles para su descarga y verificación independiente.
Las reglas son sencillas: busca un dominio válido registrado a través de NiceNIC. Una empresa real. Una página web personal. Cualquier cosa que no sea phishing, una estafa o algo peor.
Si encuentras alguno, avísanos. Nosotros no lo hemos encontrado.
Cuadrícula de dominios de NiceNIC: evidencia visual de la concentración de phishing
El modelo de negocio de NiceNIC se mantiene gracias al silencio. Cada denuncia, cada bloqueo, cada denuncia pública encarece el precio de la complicidad. Los datos son públicos. Las pruebas son abrumadoras. Hay que actuar al respecto.
Aviso sobre transparencia. PhishDestroy es un proyecto sin ánimo de lucro impulsado por voluntarios. Nuestra investigación puede reflejar un sesgo inherente contra las infraestructuras fraudulentas y los servicios que las facilitan. Animamos a los lectores a que evalúen todo el material de forma crítica e independiente. Lee nuestra declaración de transparencia completa →
