Cuando las denuncias de abuso caen en saco roto: cómo los registradores se convierten en cómplices silenciosos de la ciberdelincuencia
Enviamos informes de abuso respaldados por pruebas —detecciones de VirusTotal, capturas de pantalla, datos de listas negras, análisis antivirus—. Los registradores los reciben y no hacen nada. Algunos dominios de phishing siguen activos. 1.788 horas y 13 informes distintos. No se trata de un fallo del sistema, sino de una decisión de diseño. Aquí están los datos.
El sistema fallido
Cada denuncia de abuso que enviamos sigue un protocolo claro: URL del dominio, categoría (phishing, software de robo de criptomonedas, casino falso), recuento de detecciones en VirusTotal, capturas de pantalla como prueba y estado en la lista negra. No se trata de quejas vagas, sino de expedientes forenses. Y, sin embargo, un dominio tras otro permanece en línea durante semanas y meses tras el primer informe.
No existe una norma universal sobre cómo deben gestionar los registradores las denuncias de abuso. No hay ningún acuerdo de nivel de servicio (SLA). No hay un plazo de respuesta obligatorio. No hay indicadores de rendición de cuentas. Cada registrador decide por su cuenta qué hacer con un dominio señalado por 16 motores antivirus merece atención — o una respuesta automática y un ticket cerrado.
¿Quién supera a 16 motores antivirus?
Esta es la pregunta que ningún registrador quiere responder. Cuando Kaspersky, ESET, Fortinet, BitDefender, Sophos, G-Data y otros diez proveedores de seguridad marcan un dominio como malicioso en VirusTotal, y el equipo de abuso del registrador decide «No es necesario hacer nada» — ¿Quién tomó exactamente esa decisión?
Piensa en lo absurdo que es: un solo analista de abusos de un registrador anula la información de inteligencia sobre amenazas combinada de 16 motores antivirus independientes, cada uno con miles de millones de puntos de datos, laboratorios de investigación especializados y décadas de experiencia. ¿En qué se basa? ¿Qué infraestructura de análisis utiliza el equipo de lucha contra los abusos de NiceNIC o GlobalDomainGroup que supere a la de Kaspersky?
La respuesta es sencilla: ninguna. No revisan. No comprueban. O bien ni siquiera miran el informe, o bien se basan en un cálculo económico: un dominio activo genera ingresos; uno suspendido, no.
Seamos claros sobre lo que esto significa: alguien del registrador examinó las pruebas aportadas por 13 proveedores de seguridad independientes y 13 informes de abuso distintos, y decidió que su propio criterio era superior. Eso no es un error. Es una política.
No respetan a ninguna autoridad
Nombra un solo proveedor de antivirus al que los registradores consideren una referencia. No puedes, porque no hay ninguno.
- Kaspersky — ¿Detecta el dominio? Se ignora.
- ESET — ¿Lo marca como phishing? Lo ignoro.
- Fortinet — ¿Lo bloquea a nivel de red? Ignorado.
- BitDefender — ¿Avisar a millones de usuarios? No le hacen caso.
- Navegación segura de Google — ¿El mayor sistema de seguridad web del mundo? Y aún así se ignora.
Hay sin umbral de detección ante lo cual el registrador está obligado a actuar. Ni 5 motores. Ni 10. Ni 16. Un dominio puede ser marcado por todos los proveedores de antivirus en VirusTotal, aparecer en múltiples listas negras y tener una docena de denuncias por abuso presentadas, y el registrador no tiene ninguna obligación legal de hacer nada.
Esto no es una falla del sistema. Este es el sistema. El sector del registro de dominios ha logrado eludir cualquier norma vinculante que le obligara a respetar las conclusiones de los investigadores de seguridad, los proveedores de antivirus o las plataformas de inteligencia sobre amenazas. Cuando 16 de 70 motores detectan un dominio, eso no es un «quizás». Es un consenso. Y el equipo de abuso del registrador, que carece de infraestructura de análisis y tiene un interés económico en mantener el dominio activo, hace caso omiso de ese consenso.
El incentivo económico
Los registradores de dominios cobran cuotas anuales por cada dominio. Cada suspensión supone una pérdida de ingresos. Cada retirada supone un riesgo de reembolso. Existe un incentivo económico directo y cuantificable para mantener los dominios activos, y no hay ninguna sanción económica por ignorar las denuncias de abuso.
No ocurre lo mismo con todos los proveedores de infraestructuras. Cloudflare, por ejemplo, gestiona las denuncias de abuso de forma eficaz y no obtiene ingresos por el registro de dominios de la misma manera. La distinción es importante: cuando la empresa que gestiona tu denuncia se beneficia de que el dominio permanezca en línea, el conflicto de intereses es estructural.
Las pruebas: datos en tiempo real de nuestros informes
A continuación se muestra un extracto de nuestro registro de escalado de incidentes de marzo de 2026. Cada entrada corresponde a un dominio de phishing real que fue todavía en activo en el momento de redactar este informe, a pesar de los informes previos y de las detecciones confirmadas.
| Dominio | Informes | Activo (horas) | VT | BL | Abuso por parte del registrador |
|---|---|---|---|---|---|
| payscrow[.]bet | 6 | las mil setecientas ochenta y ocho horas | 16 | — | Tucows |
| 6chicken9[.]top | 4 | las 17:83 horas | 4 | 1 | Resistencia |
| apphyena[.]trade | 2 | las mil setecientas ochenta y una horas | 3 | — | NiceNIC |
| airdrop[.]autos | 3 | mil trescientas sesenta y cuatro horas | 4 | 1 | Gname |
| amlstats[.]com | 7 | mil trescientas sesenta y tres horas | 14 | 1 | Tucows |
| amlscore[.]info | 7 | mil trescientas sesenta y tres horas | 9 | 1 | Tucows |
| multi-wallets.io | 4 | mil trescientas sesenta y tres horas | 10 | 1 | nic.io |
| aavleaderboard[.]assetavenue[.]capital | 2 | mil trescientas cincuenta y nueve horas | 1 | — | Identidad digital |
| airdropchime.com | 2 | mil trescientas cincuenta y nueve horas | 1 | — | NameCheap |
| farewex[.]com | 13 | 1,352 h | 13 | — | apiname.com |
| app[.]whitewhalesmeme[.]com | 4 | mil trescientos treinta | 14 | — | Verisign |
| zordex.us | 3 | las mil trescientas catorce horas | 14 | — | apiname.com |
| alhpatrademarket[.]com | 2 | mil doscientas setenta y ocho horas | 15 | — | GlobalDomainGroup |
| angelferno[.]com | 2 | mil doscientas setenta y ocho horas | 7 | 1 | NiceNIC |
| ansol[.]cc | 4 | mil doscientas setenta y ocho horas | 4 | 1 | NiceNIC |
| amltrackerbot[.]com | 2 | mil doscientas setenta y ocho horas | 6 | 1 | Tucows |
| amlstatement[.]info | 4 | mil doscientas veintiocho horas | 16 | — | Porkbun |
| a8vx.top | 2 | las 10:49 | 16 | — | Dynadot |
| amlinfo ahora | 2 | las doce y treinta y tres | 2 | — | Porkbun |
| winner.cc | 4 | mil doscientas veintiséis horas | 14 | — | GlobalDomainGroup |
| xerowex[.]com | 6 | Las 12:21 | 14 | — | apiname.com |
| menty[.]sbs | 4 | novecientas ochenta y cinco horas | 16 | — | en general |
| perowex[.]com | 5 | novecientos setenta y uno | 14 | — | apiname.com |
| amlbot[.]im | 4 | novecientas sesenta y cinco horas | 6 | — | nada.im |
| 3capitalstrading[.]com | 2 | Ochocientas setenta y nueve horas | 2 | — | GlobalDomainGroup |
| naebex[.]com | 5 | Ochocientas veintiséis horas | 11 | — | Dificultad percibida al conducir |
| casbatle[.]com | 2 | 803h | 2 | — | NiceNIC |
| amlchecknow[.]digital | 2 | Setecientas cincuenta y una horas | 6 | — | Dificultad percibida al conducir |
| sollfalare[.]top | 2 | las siete y media | 3 | — | Resistencia |
| marketcsgo[.]net | 2 | 717h | 15 | — | GlobalDomainGroup |
| dinadrop[.]com | 2 | 717h | 6 | — | GlobalDomainGroup |
| dotabuff[.]org | 2 | seiscientos setenta y cuatro | 2 | — | Muchos |
| casesbattle[.]org | 2 | seiscientas cincuenta y dos horas | 2 | — | Muchos |
| 763182819[.]top | 2 | seiscientas dieciocho horas | 15 | — | Gname |
| kahcas[.]com | 5 | quinientas treinta y nueve horas | 14 | — | No voy a |
| qizaro[.]cc | 5 | Quinientos treinta y cinco | 12 | — | GlobalDomainGroup |
| apexresolvefix[.]com | 2 | cuatrocientas noventa y seis horas | 3 | — | Cosmotown |
| amlriskscore[.]ru | 2 | 448 h | 1 | — | dominio de nivel superior con código de país |
| patricksstash[.]to | 2 | cuatrocientas veintisiete horas | 2 | — | tonic.to |
| stashhpatrick[.]cc | 2 | cuatrocientas veintisiete horas | 5 | — | NiceNIC |
| stake2win[.]me | 2 | cuatrocientos dos | 14 | — | dominio.me |
| Wazbee.me | 2 | Trescientas ochenta y ocho horas | 16 | — | dominio.me |
| dexscreener[.]at | 2 | 328 h | 16 | — | nada.at |
| 2fa[.]walletpinet[.]com | 1 | — | 16 | — | Verisign |
| appether[.]fi | 1 | — | 13 | 1 | — |
VT = Detecciones de VirusTotal en unos 70 motores. «Activo» = horas transcurridas desde la primera detección en el momento de la escalación. Datos: Registro de escalación de abusos de PhishDestroy, del 19 al 21 de marzo de 2026.
Las cifras no mienten
Tiempo medio de actividad
~39 días de media en todos los dominios con horas de actividad conocidas
Tiempo máximo de actividad
payscrow[.]bet — 75 días, 6 informes, VT:16
Total de informes enviados
Informes combinados de todos los ámbitos solo en esta muestra
Dominios con VT ≥ 10
Casi la mitad de todos los dominios —cuya naturaleza maliciosa ha sido confirmada por más de diez motores antivirus— siguen activos
Los reincidentes: desglose por registradores
No todos los registradores son iguales. Nuestros datos muestran patrones claros: algunos registradores aparecen repetidamente entre los que obtienen peores resultados.
apiname.com
- farewex[.]com — 1 352 horas, 13 denuncias, VT:13
- zordex[.]us — 1.314 h, 3 denuncias, VT:14
- xerowex[.]com — 1 021 h, 6 informes, VT:14
- perowex[.]com — 971 h, 5 denuncias, VT:14
4 dominios. En total: 4.658 horas de infraestructura delictiva. 27 denuncias ignoradas.
GlobalDomainGroup
- xwinner[.]cc — 1 026 h, visitas: 14
- marketcsgo[.]net — 717 h, visitas: 15
- dinadrop[.]com — 717 h, VT:6
- qizaro[.]cc — 535 h, VT:12
- csgomy[.]com — 356 h, VT:9
- tastdrop[.]com — 357 h, visitas: 2
- casebatle[.]com — 327 h, VT:6
- casebatltle[.]com — 327 h, VT:2
- chestix[.]net — 293 h, VT:1
- ggddrop[.]com — 365 h, VT:1
10 dominios. El grupo más grande de nuestro conjunto de datos. Un patrón, no una casualidad.
Tucows / IdentityDigital
- payscrow[.]bet — 1 788 h, 6 informes, VT:16
- amlstats[.]com — 1 363 h, 7 informes, VT:14, BL:1
- amlscore[.]info — 1 363 h, 7 denuncias, VT:9, BL:1
- amltrackerbot[.]com — 1 278 h, 2 informes, visitas: 6, bloqueos: 1
Tucows: 22 denuncias en total, 5.792 horas de fraude. amlstats recibió 7 denuncias —una por semana— y las superó todas.
NiceNIC (nicenic.net)
- apphyena[.]trade — 1.781 h, visitas: 3
- angelferno[.]com — 1 278 h, visitas: 7, comentarios: 1
- ansol[.]cc — 1 278 h, 4 denuncias, VT:4, BL:1
- casbatle[.]com — 803h, VT:2
- stashhpatrick[.]cc — 427 h, VT:5
- casebaetle[.]com — 310 h, visitas: 2
- casebattle[.]info — primer informe, VT:1
- appalmanak[.]live — primer informe, VT:2
8 ámbitos. Más de 5.877 horas en total. Investigaciones anteriores: Veredicto de NiceNIC — No se han encontrado usos legítimos.
Porkbun
- amlstatement[.]info — 1 228 h, 4 informes, VT:16
- amlinfo[.]now — 1.033 h, 2 informes, VT:2
- amlspace[.]com — 712 h, 2 denuncias, VT:1
amlstatement[.]info: 16 detecciones de antivirus, 4 denuncias y 51 días en línea. ¿Qué consideró aceptable el equipo de abuso de Porkbun?
Dynadot
- a8vx[.]top — 1.049 h, 2 informes, VT:16
- aave[.]events — primer informe, VT:2, BL:1
- aavetrading[.]net — primer informe, VT:9
a8vx[.]top: 16 detecciones de VT y 44 días de actividad delictiva. Dynadot es un registrador acreditado por la ICANN.
dominio.me
- wazbee[.]me — 388 h, visitas: 16
- stake2win[.]me — 402h, VT:14
Ambos dominios han registrado entre 14 y 16 detecciones de virus. Ambos siguen activos tras el segundo informe.
Total de horas de inactividad del secretario
Horas de actividad combinadas de todos los dominios notificados por registrador en nuestro conjunto de datos de marzo de 2026. No se trata del total de abusos por parte de los registradores, sino únicamente de lo que observamos en una muestra.
Lo que enviamos frente a lo que hacen
Cada informe de abuso de PhishDestroy incluye:
Nuestro informe incluye
- URL del dominio y datos de registro
- Puntuación de VirusTotal con los nombres de los fabricantes
- Captura de pantalla a pantalla completa del sitio de phishing
- Clasificación por categorías (phishing, estafas, casinos fraudulentos)
- Estado de la lista negra procedente de varias fuentes
- Resultados de URLscan.io o de análisis similares
- Historial de informes anteriores y cronología
Respuesta del registrador
- Ninguna respuesta (lo más habitual)
- Confirmación de recepción de la plantilla, no es necesario realizar ninguna acción
- «Lo revisaremos»... pasan las semanas y el dominio sigue ahí
- «No podemos verificar la afirmación», a pesar de las 16 detecciones de VT
- Incidencia cerrada sin resolver
- Solicitud de pruebas ya presentadas
Ante la falta de respuesta del registrador, elevamos el asunto a Cumplimiento de las normas de la ICANN ([email protected]). En todos los casos mencionados anteriormente, se incluyó a la ICANN en copia en el segundo informe o en los siguientes. ¿El resultado? La misma ausencia.
La norma de la ICANN que no existe
de la ICANN Acuerdo de Acreditación de Registradores (RAA), sección 3.18 exige a los registradores que dispongan de un contacto para casos de abuso y que «adopten medidas razonables y rápidas para investigar y responder adecuadamente» a las denuncias de abuso.
En la práctica, «razonable y rápido» significa lo que el registrador decida que significa. Existe:
- Sin tiempo máximo de respuesta — un registrador puede esperar semanas y alegar que fue «razonable»
- No existe un umbral de suspensión obligatorio — Las 16 detecciones de VT no activan automáticamente ninguna acción
- No existe la obligación de informar públicamente — Los registradores no están obligados a publicar el número de denuncias que reciben ni las medidas que adoptan al respecto
- Ninguna sanción significativa — La ICANN rara vez ha revocado una acreditación por no haber tomado medidas ante un abuso
El resultado: los registradores consideran la gestión de los abusos como un gasto que hay que reducir al mínimo, y no como una obligación de seguridad que deben cumplir.
Toman medidas contra el typosquatting, pero no contra el phishing
Esto es lo que hace que todo resulte aún más absurdo. Algunos de los mismos registradores que ignoran durante meses las denuncias de phishing son extremadamente eficaces en un tipo concreto de abuso: typosquatting — dominios que pueden prestarse a confusión con marcas ya consolidadas.
¿Por qué? Porque el typosquatting se centra en empresas con presupuesto para asuntos jurídicos. Cuando Google, Apple o Microsoft presentan una reclamación UDRP por un dominio similar, los registradores actúan en cuestión de días. La amenaza de un litigio y de sanciones de la ICANN por abuso de marcas registradas es real e inmediata.
¿Pero qué pasa cuando un dominio de phishing roba dinero a víctimas particulares? ¿Cuando un «crypto drainer» deja a alguien sin los ahorros de toda una vida? ¿Cuando un casino falso roba los datos de las tarjetas de crédito de los jugadores? Sin equipo jurídico corporativo. Sin presentación de reclamaciones UDRP. Sin urgencia. El departamento de abuso del registrador aplica un criterio diferente, según el cual la pérdida económica de la víctima no da lugar a la misma respuesta que una reclamación relacionada con la marca registrada de una empresa.
Informe sobre typosquatting
- El titular de la marca presenta una demanda UDRP
- El registrador responde en unos días
- Dominio bloqueado o suspendido rápidamente
- Consecuencias jurídicas de la inacción
Denuncia de phishing o estafa
- Las víctimas y los investigadores presentan denuncias por abusos
- El registrador lo ignora durante semanas o meses
- El dominio permanecerá activo hasta su vencimiento
- La inacción no tiene consecuencias
El mensaje es claro: Los registradores protegen las marcas, no a las personas. Responden a la autoridad legal, no a las pruebas de perjuicio. Nuestros informes contienen más pruebas objetivas que cualquier demanda presentada ante la UDRP —análisis de VirusTotal, detecciones de antivirus, confirmaciones de listas negras, capturas de pantalla— y, sin embargo, quedan sin respuesta.
Hacemos su trabajo... gratis
PhishDestroy es un proyecto sin ánimo de lucro impulsado por voluntarios. Analizamos dominios. Clasificamos las amenazas. Generamos informes de VirusTotal. Realizamos capturas de pantalla. Redactamos informes detallados sobre abusos y los enviamos a los registradores, los registros y la ICANN. Nos encargamos de las tareas de seguridad que deberían realizar los registradores.
Y esta es la cruda realidad: De hecho, algunos registradores se encargan de esta tarea. Algunos registradores cuentan con su propia infraestructura de análisis de dominios, utilizan fuentes privadas de inteligencia sobre amenazas y suspenden de forma proactiva los dominios maliciosos antes incluso de que nadie los denuncie. Existen. Demuestran que es posible.
Registradores que actúan
- Ejecutar herramientas de análisis interno (privadas, no públicas)
- Suspender de forma proactiva los dominios que presenten indicios evidentes de fraude
- Responder a las denuncias de abuso en cuestión de horas
- Colaborar con los investigadores y las fuerzas del orden
- Aceptar los datos de VirusTotal y de las listas negras como prueba
Estos registradores demuestran que una respuesta rápida ante los abusos es viable tanto desde el punto de vista técnico como económico.
Registradores que protegen a los estafadores
- No hay infraestructura de escaneo de ningún tipo
- Espera a que salgan los informes y luego ignóralos
- Respuestas automáticas, ticket cerrado, dominio activo
- Rechazar la recepción de informes (patrón NameSilo)
- Anular 16 motores antivirus sin ninguna prueba
Estos registradores han antepuesto los beneficios a la seguridad. Su inacción se ve subvencionada por la comunidad de seguridad, que realiza su trabajo de forma gratuita.
La cuestión no es si es posible responder rápidamente a los casos de abuso. Así es. La pregunta es por qué algunos registradores deciden no hacerlo. Y la respuesta, una y otra vez, se reduce al mismo incentivo estructural: Los dominios activos generan ingresos. Los dominios suspendidos no.
Normas vinculantes que deben aplicarse
El marco para exigir responsabilidades a los registradores ya existe, pero no se aplica:
ICANN RAA, artículo 3.18
El Acuerdo de acreditación de registradores exige a los registradores que mantengan una lista de contactos para casos de abuso e investiguen las denuncias con celeridad. En la práctica, el cumplimiento de esta norma es inexistente.
Grupo de Trabajo contra el Phishing
El Grupo de Trabajo contra el Phishing publica informes trimestrales sobre las tendencias del phishing que ponen de manifiesto la magnitud del problema. Los registradores forman parte del APWG, pero siguen haciendo caso omiso de los informes.
Acciones de la FTC
El Carta de advertencia de la FTC a NameSilo (diciembre de 2024) señaló expresamente la falta de medidas contra el fraude. La propia ICANN Departamento de Cumplimiento Normativo recibe nuestras notificaciones y no responde.
DNSAI
El Instituto contra el Uso Indebido del DNS (por PIR) desarrolla herramientas como DAAR y promueve las mejores prácticas. Sin embargo, el propio registro de PIR aloja dotabuff[.]org (674 h de actividad, VT:2) y casesbattle[.]org (652 h).
50 000 dominios y sumando
Los ejemplos anteriores son un muestra de una sola semana. La magnitud real es abrumadora.
Nuestra fuente de información sobre amenazas, que se actualiza constantemente, en content_active.txt contiene más de 50 000 dominios que han sido denunciados como maliciosos. Cada uno de ellos recibió al menos una denuncia por abuso. Muchos recibieron varias. Los registradores recibieron las pruebas —los análisis de VirusTotal, las capturas de pantalla, las confirmaciones de las listas negras— y antepusieron los intereses de sus clientes a la seguridad del público.
Porque eso es lo que es esto: una opción. El cliente del registrador es la persona que registró el dominio: el estafador. El cliente del registrador no es la abuela que perdió sus ahorros en una página bancaria falsa, ni el usuario de criptomonedas al que le vaciaron el monedero, ni el jugador al que le robaron la cuenta de Steam. El registrador eligió al estafador. Siempre.
De la denuncia a las víctimas: cada hora cuenta
En el momento en que enviamos una denuncia por abuso, se pone en marcha un plazo. A partir de ese momento, el registrador debe tener conocimiento oficial que un dominio bajo su gestión se está utilizando para cometer fraude. Cada hora de inacción tras esa notificación es una hora de complicidad consciente.
Muchos dominios de nuestro conjunto de datos no solo sobreviven a unos pocos informes, sino que perduran hasta que su el plazo de inscripción finaliza. Siguen todo el ciclo: se registran, estafan, son denunciados, vuelven a ser denunciados, el caso se remite a la ICANN, siguen estafando y el dominio caduca de forma natural. El registrador se embolsó la tasa de registro. El estafador se embolsó los fondos robados. Las víctimas no obtuvieron nada.
La suspensión oportuna de un dominio no es solo una medida administrativa. No se trata simplemente de «un inconveniente para el titular del dominio». Es una operación de rescate. Cada dominio bloqueado a tiempo supone un monedero que no se vacía, una credencial que no se roba y una cuenta de ahorros que no se agota. Los registradores que califican las retiradas de «censura» o «obstaculización de la actividad empresarial» están dejando claro a quiénes benefician.
¿Deberían los registradores indemnizar a las víctimas?
Esta es la pregunta que todo el sector del registro de dominios se niega a abordar:
Piénsalo. Una vez que el registrador recibe el informe, este ya no soy ignorante. Se les ha informado, con pruebas, de que un dominio bajo su control se está utilizando para robar dinero, credenciales e identidades. A partir de ese momento, la inacción continuada no es negligencia, es una decisión consciente para permitir que se cause daño.
- ¿Está dispuesto el registrador a asumir la responsabilidad? ¿por cada dólar sustraído a través de un dominio sobre el que se les había advertido?
- ¿Está dispuesto el registrador a indemnizar a las víctimas? ¿Quiénes perdieron dinero después de que se presentara la denuncia por abuso y esta fuera ignorada?
- ¿El equipo jurídico del registrador ¿Entiendes que decir «lo hemos revisado y no hemos encontrado ningún problema» —cuando 16 motores antivirus no están de acuerdo— no es una postura defendible?
Si la respuesta a las tres preguntas es «no», entonces no hay ninguna razón válida para mantener el dominio activo. Primero suspender, luego investigar. Así es como operan los proveedores de infraestructura responsables. Así es como opera Cloudflare. Así es como operan cada vez más proveedores de alojamiento como Hetzner y OVH. Solo los registradores de dominios se aferran a un modelo en el que la comodidad del estafador prima sobre la seguridad de la víctima.
¿Quién paga el precio?
Cada hora que un dominio de phishing permanece en línea se traduce directamente en víctimas:
- Dominios de «crypto drainer» (farewex, perowex, xerowex, naebex) — carteras vaciadas en cuestión de segundos. Las 4.658 horas combinadas de los dominios de apiname.com representan miles de posibles vaciamientos de carteras.
- Casinos falsos / Estafas relacionadas con CS:GO (casebattle variants, csgomy, ggddrop, tastdrop) — fraude con tarjetas de crédito, robo de identidad y resultados amañados dirigidos a los jugadores.
- Suplantación de identidad de un servicio (dexscreener[.]at, trustwallet[.]receipts[.]sh, amlbot[.]im, dotabuff[.]org) — suplantación de identidad de marcas que da lugar al robo de credenciales y a pérdidas económicas.
- Infraestructura de cardado (patricksstash, stashhpatrick) — venta de datos de pago robados a otros delincuentes.
Lo que debe cambiar
El modelo actual está fallido por su propia naturaleza. Los registradores se benefician de que los dominios permanezcan activos. La ICANN carece de capacidad para hacer cumplir la normativa. Las víctimas no tienen ningún recurso. Esto es lo que lo solucionaría:
- Acuerdo de nivel de servicio (SLA) obligatorio para la gestión de casos de abuso: Confirmación en 24 horas, respuesta inicial en 72 horas, proceso de escalado en 7 días. Cuantificable. Auditable.
- Umbral de suspensión automática: Cualquier dominio con ≥10 detecciones en VirusTotal y al menos dos informes independientes debe suspenderse en espera de revisión, y no al revés.
- Informes públicos sobre la transparencia en materia de abusos: Todos los registradores acreditados por la ICANN deben publicar trimestralmente: los informes recibidos, el tiempo medio de respuesta, las medidas adoptadas y los dominios suspendidos.
- Sanciones económicas por incumplimiento: Multas progresivas para los registradores que incumplan sistemáticamente sus obligaciones. Pérdida de la acreditación para los reincidentes.
- Defensor del pueblo independiente contra los abusos: Un organismo independiente que pueda revisar las decisiones de los registradores, anular la inacción y acelerar las suspensiones en caso de amenazas graves.
- Lista de usuarios bloqueados en todos los registradores: Cuando se confirme que un solicitante de registro es un infractor reincidente, se deberá notificar a todos los registradores acreditados. Se acabó la búsqueda de dominios.
Qué ha hecho PhishDestroy al respecto
No nos limitamos a redactar informes y esperar a que el sector se corrija por sí solo. Creamos sistemas que exigen transparencia y establecen consecuencias por la inacción.
Base de datos pública de amenazas
Hemos creado y mantenemos el lista de eliminación — una base de datos pública y actualizada constantemente con más de 50 000 dominios maliciosos. Cada denuncia de abuso que enviamos se comunica ahora al registrador: Este dominio aparecerá en una base de datos pública. Las posibles víctimas de los dominios de sus clientes podrán ver cuándo se presentó la denuncia y cuánto tiempo la ignoró el registrador. Esto resulta incómodo para los registradores, y ese es precisamente el objetivo.
Páginas de amenazas de dominios
Cada dominio que marcamos cuenta ahora con una página específica en phishdestroy.io/dominio — con un análisis completo, una descripción de la amenaza generada por IA y un Proceso de respuesta ante amenazas que muestra las etapas exactas del proceso: detección, envío del informe, escalado, notificación a la ICANN. Los estados se actualizan en tiempo real. Ahora estamos añadiendo marcas de tiempo exactas de cada informe de seguimiento para garantizar una transparencia total. Cualquiera puede ver exactamente cuándo se notificó al registrador y cuánto tiempo decidió no tomar medidas.
Sistema de escalado — No informar de inundaciones
Nosotros lo hacemos no inundar a los registradores con informes duplicados. En el 98 % de los casos, enviamos un único informe inicial y no lo repetimos, tanto por los límites diarios de correo electrónico como porque creemos que la duplicación masiva no es el enfoque adecuado. Solo enviamos un informe de seguimiento cuando un dominio es se ha vuelto a detectar como activo durante un nuevo análisis. Si enviáramos spam a todos los dominios activos a diario, eso supondría 50 000 correos electrónicos al día. Pero no lo hacemos. Nuestro sistema de escalado genera informes de seguimiento (n.º 2, n.º 3, etc.) con resúmenes de amenazas analizados por IA, puntuaciones actualizadas de VirusTotal y un recuento de las horas que el registrador ha ignorado la amenaza.
Herramienta de reenvío de informes de la comunidad
En nuestro bot de Telegram @PhishDestroy_bot, los usuarios ya pueden enviar nuevos informes para los dominios que siguen activos tras nuestro informe inicial. Dado que son demasiados los registradores que permiten a los estafadores actuar con total libertad e ignoran los daños catastróficos que causan, damos voz a la comunidad. Si un registrador no nos hace caso, quizá sí preste atención al gran número de denuncias independientes de usuarios reales.
PhishDestroy: no protegemos a las marcas. No defendemos a las víctimas. Acabamos con las infraestructuras de phishing y estafas.
Conclusión
Cuando 16 motores antivirus señalan que un dominio es malicioso y un registrador responde que «no se tomará ninguna medida», el registrador no está ejerciendo su criterio, sino protegiendo sus ingresos. Cuando 13 denuncias de abuso distintas quedan sin respuesta y un dominio permanece activo durante 1 352 horas, el registrador no está tramitando un retraso acumulado, sino facilitando la comisión de delitos.
Los datos de este artículo no son teóricos. Se trata de nuestro registro real de escaladas de casos de abuso correspondiente a una sola semana de marzo de 2026, y detrás de él se encuentran Más de 50 000 dominios registrados en nuestro canal de amenazas, que se actualiza constantemente. No se trata de un problema aislado de un solo registrador. Se trata de un fracaso generalizado del sector que el sector del registro de dominios no tiene ningún interés en solucionar, ya que el modelo actual es rentable.
No existe ningún proveedor de antivirus cuyos hallazgos estén obligados a respetar los registradores. No hay ningún umbral de detección que dé lugar a una acción obligatoria. No hay acuerdo de nivel de servicio (SLA), ni responsabilidad, ni consecuencias. El registrador cobra la tarifa, ignora los informes y las víctimas pagan las consecuencias.
Los registradores no son proveedores de infraestructura neutrales. Son los guardianes que deciden —cada día, con cada denuncia ignorada— mantener en línea la infraestructura delictiva. Saben del daño que se causa. Tienen el poder de detenerlo. Y deciden no hacerlo. Y hasta que alguien les plantee la única pregunta que importa: «¿Están dispuestos a indemnizar a las víctimas de los dominios que se negaron a suspender?» — nada va a cambiar.
El silencio del sector ante esta cuestión es la respuesta más elocuente de todas.