Inundación de semillas: ¿Por qué PhishDestroy actúa abiertamente?
Sitios web de «ataques» de phishing
No lo ocultamos. Cuando PhishDestroy detecta un sitio web de phishing activo que recopila frases semilla de carteras de criptomonedas, lo inundamos con entradas de frases semilla en formato válido. A continuación explicamos exactamente qué hacemos, por qué lo hacemos y por qué no nos avergonzamos de ello.

El problema: hay una página de phishing activa en este mismo momento
Imagina que detectas una página de phishing de un monedero de criptomonedas que se anuncia mediante anuncios pagados de Google. Parece legítima. Tiene tráfico. Cada pocos minutos, usuarios reales acceden a ella, introducen sus frases de recuperación y lo pierden todo.
Lo denuncias a Google. Lo denuncias al registrador. Envías una denuncia por abuso al proveedor de alojamiento web. Y entonces esperas.
Mientras tanto, el estafador suma a su lista a la víctima número 47. Luego, a la 48. Y después, a la 49.
El proceso estándar de notificación de abusos tiene una duración de entre 5 y 10 días laborables. Los sitios web de phishing activos causan daños económicos irreversibles en cuestión de horas. Esta diferencia no es un fallo del sistema, sino una vulnerabilidad estructural que los estafadores aprovechan deliberadamente.

¿Qué es la inundación de semillas?
La inundación de semillas es una técnica contra el phishing en la que formato válido, pero vacío o sin valor Las frases de semilla de los monederos de criptomonedas se introducen automáticamente en un formulario de phishing a un ritmo controlado.

Por qué funciona: la anatomía de un kit de phishing barato
La gran mayoría de los sitios web activos dedicados al phishing de criptomonedas son kits de «copiar y pegar» creados a partir de servicios de terceros con plan gratuito. Esta es su mayor vulnerabilidad. Para un análisis más detallado, véase nuestra investigación completa.

| Módulo | Límite del plan gratuito | Efectos de las inundaciones |
|---|---|---|
| EmailJS | ~200 propuestas al mes | Agotado en unas horas, interrumpe el envío de correos electrónicos |
| Formspree | 50 envíos al mes | Se desactivó casi de inmediato |
| Web3Forms | 250 envíos al mes | Neutralizado rápidamente |
| API del bot de Telegram | Limitado a una tasa por segundo | Inundado en bucles de tiempo de espera |
| Nivel gratuito de Firebase | Cuotas de lectura y escritura | Aumento repentino de los costes de las bases de datos o exclusión del acceso |
Hemos observado directamente cómo la infraestructura de phishing dejaba de funcionar después de que la inundación de «seeds» agotara su canal de notificaciones. El estafador no sabe por qué ha dejado de funcionar. Simplemente deja de recibir datos.
Nuestro enfoque técnico: Cloudflare Workers, en lugar de botnets

Utilizamos Cloudflare Workers. Las solicitudes proceden de la propia red periférica de Cloudflare. No se hace un uso indebido de direcciones IP residenciales. No hay botnets. No se sobrecarga a servidores de terceros. Solo se ve afectado el sistema de recopilación de datos del estafador.
El flujo de inundación
Limitación de la tasa: Un estricto 2 submissions per 10 seconds. No se trata de un ataque DDoS. Es una contaminación lenta, deliberada y selectiva, a una escala tal que hace que incluso las tasas modestas por sitio web cobren relevancia al aplicarse a docenas de objetivos simultáneos.
No pretendemos dejar fuera de servicio los servidores. Lo que hacemos es amargarles el día a los estafadores y dejar su base de datos inservible, sin que ello tenga ningún impacto colateral en la infraestructura legítima.
Casos prácticos reales: la contaminación controlada en la práctica
Las operaciones que se indican a continuación se han extraído textualmente de nuestros registros de producción. Los dominios y los identificadores de los proveedores se han ocultado únicamente en los casos en que su publicación pudiera facilitar la evasión; las capturas de tráfico HTTP no han sido modificadas. Ambos objetivos estaban activos en el momento de la intervención, presentaban tráfico entrante confirmado procedente de publicidad de pago y habían sido clasificados de forma independiente como phishing por ≥ 2 proveedores externos en VirusTotal antes de que tomemos ninguna medida.
Doctrina operativa
Todas las operaciones de inundación de semillas se llevan a cabo dentro del mismo marco de cinco principios. No hay excepciones; una operación que no cumpla los cinco principios no se lleva a cabo.
Caso 1 — Formspark Exfil Endpoint, cuota mensual agotada
checkblochn.pages.dev NeutralizadoPatrón de amenazas: Se trata de un señuelo para la recuperación de carteras («Dapp Node Sync») que extrae frases semilla BIP-39 de 12 palabras y las envía a un punto de conexión de Formspark controlado por el atacante en el plan gratuito. Se ha confirmado la presencia de tráfico publicitario de pago procedente de dos plataformas publicitarias al inicio de la interacción.
messageCronología operativa (UTC, anonimizada hasta el momento T-cero de la intervención)
submit-form.com/32BrdUqfX Extraído de la página JS; forma de la carga útil reconstruida mediante ingeniería inversa. análisis2 req / 10 s, un único Cloudflare Worker, cadena de UA identificada, origen firmado.200 OK con formspark-quota: 64. Se ha registrado el valor de referencia.formspark-quota si se alcanza el valor cero → el punto final deja de reenviar sin avisar. persiana con desagüeformspark-quota: −18. Despido de un trabajador de socorro por inundaciones.Envío por la red (la semilla es un señuelo expresivo: 12 palabras aleatorias según el estándar BIP-39 que no guardan relación con ningún monedero real)
Respuesta — T+01:02 (valor de referencia, cuota restante)
Respuesta — T+06:12 (cuota agotada; el punto final sigue devolviendo un 200, pero no reenviará la solicitud)
Impacto perceptible. Desde T+06:08 hasta la retirada definitiva en T+19:30 — un Un intervalo de 13 horas y 22 minutos — cada víctima real que llegó a checkblochn.pages.dev y, tras completar el proceso de recuperación, enviaron su frase de recuperación a un punto final que devolvió 200 OK pero ya no reenviaba la carga útil a la bandeja de entrada del operador. La página de phishing apareció que se ejecute con éxito en el navegador de la víctima (sin errores ni señales de alerta), lo cual es deseable: una reacción instintiva del tipo «no ha funcionado» suele llevar a los usuarios a volver a introducir las mismas credenciales en la siguiente página falsa que encuentren. En este caso, la interacción terminó con el operador a ciegas.
Un margen de protección de 13 horas para cada visitante posterior a un sitio web en el que la publicidad de pago seguía promocionándose activamente. Ese margen se cerró cuando Cloudflare Pages respondió a nuestro informe de abuso tramitado por vía paralela, tal y como estaba previsto. La avalancha de tráfico no sustituyó a la retirada legal, sino que cubrió ese intervalo. hasta que La entrada legal dio en el blanco.
Caso 2 — EmailJS Relay, identificadores publicados por el operador
allsyncapp.pages.dev Operación activaPatrón de amenazas: trampa de «sincronización» de monedero que envía por correo electrónico la frase de recuperación introducida por la víctima al buzón del operador a través de EmailJS — un servicio SaaS legítimo de correo electrónico transaccional. La página de phishing incluye el service_id, template_id y user_id en JavaScript del lado del cliente, ya que sin esos identificadores el navegador de la víctima no puede completar la solicitud POST que activa el envío del correo electrónico. Por lo tanto, esos identificadores forman parte de la superficie de ataque pública que el operador ha expuesto voluntariamente.
Datos capturados: forma de la carga útil tal y como aparece en la propia solicitud POST de la página de phishing
Extracción de identificadores (expresión regular de una sola línea en el código fuente de la página de phishing)
Punto doctrinal clave. Este caso resulta instructivo precisamente porque No hemos detectado ningún punto final. El operador publica los tres identificadores necesarios para que EmailJS envíe la semilla a su buzón de correo. Cualquier navegador que muestre la página de phishing los posee. Nuestro Worker hace lo mismo que el navegador de la víctima: envía un formulario con el formato y los identificadores exactos que indica la propia página. La diferencia está en la carga útil: palabras aleatorias del BIP-39 en lugar de las credenciales reales de la cartera.
Patrón de resultados. Una vez alcanzado el límite mensual, EmailJS devuelve 402 Payment Required o 429 Too Many Requests y la plantilla no se envía. El buzón del estafador queda en silencio. Al mismo tiempo, el departamento de Confianza y Seguridad de EmailJS recibe una denuncia formal con los identificadores del servicio, la plantilla y el usuario, así como un enlace a nuestro paquete de pruebas publicado, lo que, según los precedentes, da lugar a que la cuenta de EmailJS del operador sea rescindido, sin limitación de frecuencia. El operador debe crear una nueva cuenta de EmailJS, volver a generar los identificadores, editar la página de phishing ya publicada e invalidar todos los enlaces de distribución existentes, lo que supone un proceso de varias horas para cada rotación.
Comparación de perfiles de ataque: qué no es el «seed flooding»
Una acusación que se repite con frecuencia es que llevamos a cabo «ataques» contra sitios de phishing. Esa interpretación se desmorona en cuanto se compara el perfil real del tráfico con el perfil de las actividades con las que se está confundiendo.
| Dimensión | Inundación de semillas (la nuestra) | DDoS / Inundación de L7 | Uso indebido para el envío de spam | Operación encubierta de la LE |
|---|---|---|---|---|
| Objetivo | Protección de las víctimas: cumplir con la cuota de exfiltración del estafador antes de que aparezca la próxima víctima | Ataque de denegación de servicio a la infraestructura | Beneficio comercial / difusión del mensaje | Recopilación de pruebas, engaño controlado |
| Rendimiento | 0,1 – 0,3 solicitudes/s — a continuación Condiciones de uso del proveedor | 103 – 108 req/s — orientado a la saturación | Por ráfagas / automatizado de gran volumen | Una interacción suela suele |
| Objetivo | Un atacante que se ha infiltrado en un único terminal ha publicado | Servidor web / capa de red de una organización afectada | Formularios de contacto de sitios web legítimos | Infraestructura o perfil sospechoso |
| Repercusiones en las infraestructuras | Ninguno: los contadores de los proveedores funcionan según lo previsto en los Términos de Servicio. | Interrupción del servicio, congestión en el enlace de origen | Sobrecarga del buzón de entrada, desviación de los CAPTCHA, carga de moderación | Depende de la operación |
| Usuarios legítimos afectados | Cero: los formularios de phishing no tienen usuarios legítimos | Todos ellos | Empleados y moderadores responsables de los formularios | Prevención integrada en el diseño |
| Identidad de origen | Denominado «PhishDestroy Cloudflare Workers» — auditable | Botnets, fuentes falsificadas, reflexión | Proxies desechables | Infraestructura clasificada |
| Modelo de autorización | El punto final es invitado: el formulario solicita explícitamente este dato; los identificadores se difunden públicamente en la página | Ninguno: el propio volumen de solicitudes es el problema | Elude el uso previsto e ignora las señales contra el uso indebido | Base jurídica |
| Acción judicial paralela | Denuncias por abusos presentadas antes comienzo de la inundación, con los números de referencia de los casos | N/A | N/A | Integrado en la operación |
Una solicitud de «seed-flood» consiste en una única petición POST HTTPS de unos 140 bytes, procedente de un Cloudflare Worker que lleva nuestro origen firmado, a una fracción de la tasa que el propio proveedor considera aceptable, dirigida a un punto final cuyos identificadores el operador ha decidido incluir en una página web pública. Esa es la el artefacto observable en su totalidad. No se da ninguno de los elementos estructurales que convierten una solicitud en un «ataque»: acceso no autorizado, intención de agotar los recursos, saturación volumétrica, terceros afectados u origen oculto. El análisis jurídico que sigue no es una defensa creativa; es el natural interpretación de la ley una vez que se ha expuesto claramente el perfil fáctico.
Análisis jurídico: ¿Es legal? ¿Es ético?

Introducir datos en un formulario web de acceso público —incluso datos falsos— no es, en sí mismo, ilegal en la mayoría de los marcos normativos. No estamos accediendo a sistemas privados, ni aprovechando vulnerabilidades sin autorización, ni interceptando comunicaciones. El estafador ha tendido una trampa. Nosotros la estamos llenando de piedras.
PhishDestroy no ofrece asesoramiento jurídico. Se trata de una auténtica zona gris que varía según la jurisdicción. Operamos siendo plenamente conscientes de esta complejidad.
¿Qué ocurre con la base de datos del estafador?
Deja de servir para nada — miles de entradas requieren una verificación manual, la relación señal-ruido se desploma. O bien se rompe — Firebase Spark y las instancias compartidas de MongoDB tienen límites estrictos. Alcanzarlos tiene consecuencias.
Ambos resultados son buenos
Independientemente de si la base de datos se convierte en inútil o se rompe por completo — Las frases de semilla de las víctimas reales nunca llegan al atacante en un formato que le resulte útil. Cada frase de semilla sin procesar es un monedero que no se vacía.
¿Cuándo activamos el riego de semilla?
| Criterio | Comprobar | Por qué es importante |
|---|---|---|
| Se ha confirmado que hay tráfico activo | Obligatorio | Las plataformas publicitarias o las herramientas de tráfico confirman que hay usuarios reales que acceden al sitio web |
| Análisis de la anatomía del phishing | Obligatorio | Módulos de exfiltración del nivel gratuito identificados antes de que se produzca la saturación |
| Denuncias por abusos presentadas | Obligatorio | Siempre seguimos la vía legítima de forma simultánea |
| No se ha producido ninguna interrupción del servicio dentro del SLA | Desencadenante típico | No se ha recibido respuesta del registrador o del proveedor de alojamiento en un plazo razonable |
| Sitio web de anuncios de gran volumen / de pago | Desencadenante inmediato | La publicidad de pago nos permite actuar sin tener que esperar a que se sigan los trámites burocráticos |
Una visión más amplia
El ecosistema de las criptomonedas pierde miles de millones de dólares al año al phishing. La defensa siempre ha adoptado un enfoque reactivo. PhishDestroy se ha creado para introducir interferencia proactiva en este ciclo.
No trabajamos a escondidas. Publicamos nuestra metodología. Explicamos nuestras técnicas. Documentamos los kits de phishing que analizamos. La comunidad de seguridad merece poder evaluar los métodos contra el phishing, y no limitarse a utilizar un servicio de «caja negra».

Qué puedes hacer
- Informar a Navegación segura de Google, PhishTank, y el registrador de dominios
- Envíanoslo — damos prioridad a las amenazas activas con un alto volumen de tráfico
- Comprobar nuestra base de datos de anatomía para entender lo que estás viendo
- Difundir la concienciación — La mayoría de las víctimas no saben cómo es una página de phishing que les pide la frase de semillas hasta que ya es demasiado tarde
Si crees que llenar los bolsillos de los delincuentes es poco ético, esa es tu postura, y tienes todo el derecho a mantenerla. Nosotros hemos dejado clara nuestra postura.


