Dentro de la máquina: cómo actúan los estafadores de criptomonedas
Secuestrar Bing y DuckDuckGo
Un informe de investigación con datos en tiempo real de SEMrush que pone al descubierto dos operaciones paralelas de ataque SEO destinadas a posicionar sitios web de phishing relacionados con las criptomonedas en los primeros puestos de los resultados de búsqueda de Bing y DuckDuckGo. 10 dominios. 2 vectores de ataque. Más de 100 000 víctimas potenciales al mes.

Todos los datos de este informe se han recopilado a través de la API de SEMrush y de phishdestroy.io con fines de investigación en materia de ciberseguridad. Los nombres de dominio se publican para advertir a los usuarios, no para promocionarlos.
Los dos vectores de ataque
Nuestra investigación reveló que dos operaciones paralelas y completamente diferentes que se ejecutan simultáneamente para situar los sitios de phishing en los primeros puestos de los resultados de Bing y DuckDuckGo.
Vector A: El ataque de inyección en la página de resultados de búsqueda de Yahoo
Podría decirse que este es el el más elegante desde el punto de vista técnico Ataque de SEO «black-hat» que hemos documentado en 2026. Este ataque aprovecha una falla fundamental en la forma en que Bing evalúa la autoridad de los enlaces; concretamente, su incapacidad para distinguir entre enlaces editoriales auténticos y páginas de resultados de búsqueda generadas dinámicamente a partir de dominios de confianza.

El mecanismo: paso a paso
Paso 1 — Generación de la URL del operador de confianza. Los atacantes crean direcciones URL en los puntos finales de búsqueda móvil de Yahoo a través de múltiples subdominios internacionales: no.search.yahoo.com (Noruega), fr.search.yahoo.com (Francia), mx.search.yahoo.com (México), pl.search.yahoo.com (Polonia), gr.search.yahoo.com (Grecia), qc.search.yahoo.com (Quebec), chfr.search.yahoo.com (francés suizo), co.search.yahoo.com (Colombia). Estas páginas incluyen la puntuación de autoridad heredada de Yahoo: 23-24.
Paso 2 — Insertar el enlace de phishing. Cada URL contiene una consulta de búsqueda totalmente aleatoria e inocente —«pele+fifa», «Jean-Paul+Sartre», «Radio+Stars», «jucheck.exe»—, pero el texto de enlace dice: curvefi.co Curve Finance. Las consultas aleatorias garantizan que los filtros antispam no detecten ningún patrón.
Paso 3 — Rastreo e indexación forzados. Los atacantes obligan a Bingbot a rastrear estas URL mediante servicios de ping masivo, inyecciones de comentarios en foros y blogs, y herramientas de activación automática del rastreo.
El algoritmo de Google: «Esta es una página de búsqueda dinámica. No se transfiere autoridad de enlace».
El algoritmo de Bing: «yahoo.com enlaza a curvefi.co con el texto de enlace “Curve Finance DEX”. Señal de posicionamiento aceptada. ✓»
Resultado: una página de phishing se sitúa entre las tres primeras posiciones para la búsqueda de «Curve Finance» en Bing y DuckDuckGo.
Datos sin procesar de SEMrush — curvefi.co
| AS | Dominio de origen | Texto de enlace |
|---|---|---|
| 24 | chfr.search.yahoo.com | www.curvefi.coa Curve Finance |
| 24 | co.search.yahoo.com | curvefi.co Curve Finance |
| 24 | fr.search.yahoo.com | curvefi.co Curve Finance |
| 24 | mx.search.yahoo.com | www.curvefi.coa Curve Finance |
| 24 | no.search.yahoo.com | www.curvefi.coa Curve Finance |
| 24 | pl.search.yahoo.com | www.curvefi.coa Curve Finance |
| 23 | gr.search.yahoo.com | www.curvefi.coa Curve Finance |
| 23 | qc.search.yahoo.com | curvefi.co Curve Finance |
La brutal ironía: La página web cuenta con cero palabras clave orgánicas, cero tráfico en la base de datos de SEMrush; sin embargo, aparece en los resultados de Bing/DDG para «Curve Finance» gracias a la autoridad prestada por Yahoo.
Vector B: La red coordinada PBN
Aquí es donde la investigación se vuelve realmente alarmante. Cinco sitios web de phishing distintos — rabbys.at, dexscreener.at, monero-wallet.at, trezorsuite.at y keplr.me — todos comparten un conjunto idéntico de fuentes de enlaces entrantes. No es una coincidencia. Esto es una única operación delictiva organizada llevar a cabo varias campañas de phishing desde una misma infraestructura.

La prueba irrefutable: infraestructura compartida
| Dominio donante de PBN | AS | rabbys | dexscr | monero | trezor |
|---|---|---|---|---|---|
lewievuittton.com | 65 | ✓ | ✓ | ✓ | ✓ |
lyricamed.us.com | 61 | ✓ | ✓ | ✓ | ✓ |
creatfx.com | 60 | ✓ | ✓ | ✓ | ✓ |
jba.com.jo | 56 | ✓ | ✓ | ✓ | ✓ |
jornaldevinhedo.com | 56 | ✓ | ✓ | ✓ | ✓ |
jasaaspalhotmix.com | 54 | ✓ | ✓ | ✓ | ✓ |
magna-eg.com | 50 | ✓ | ✓ | ✓ | ✓ |
markjohnsonbuilders | 50 | ✓ | ✓ | ✓ | ✓ |
nextplayflix.com | 49 | ✓ | ✓ | ✓ | ✓ |
El principal sitio donante de PBN (AS 65) es, en sí mismo, un «typosquat» de Louis Vuitton. Este sitio donante de PBN es una página fraudulenta que da soporte a otras páginas fraudulentas: una infraestructura delictiva en toda regla.
Perfiles de dominios de phishing
| Dominio | Se hace pasar por | Palabras clave | Objetivo principal | Volumen |
|---|---|---|---|---|
dexscreener.at | DexScreener | 64 | «dexscreener» n.º 42 | 60 500 al mes |
rabbys.at | Cartera Rabby | 15 | «rabby wallet» n.º 51 | 5.400 al mes |
trezorsuite.at | Trezor Suite | 7 | «Trezor Suite» n.º 32 | 4.400 al mes |
aster-dex.at | Aster DEX | 13 | «Bolsa Aster» n.º 25 | 3.600 al mes |
monero-wallet.at | Cartera de Monero | 4 | «monedero XMR en línea» n.º 26 | 210 al mes |
keplr.me | Cartera Keplr | 0 | Comentarios spam ocultos | N/A |
bscscan.cfd | BSCScan | 0 | Enlaces de spam masivos | N/A |
curvefinance.co | Curve Finance | 0 | Solo inyección de Yahoo | N/A |
curvefi.co | Curve Finance | 0 | Solo inyección de Yahoo | N/A |
app-crv.net | Aplicación Curve | 0 | Técnicas mixtas | N/A |
Usuarios que buscan «Descargar Trezor Suite» están buscando activamente instalar un programa de monedero digital. Una página de phishing que aparece en los puestos del 3 al 5 en DuckDuckGo hace que los usuarios descarguen programas maliciosos pensando que se trata de la interfaz de un monedero físico. Esto no es algo teórico: está ocurriendo en este mismo momento.
La «granja de artículos» impulsada por IA
La variante aster-dex.at utiliza un enfoque híbrido, combinando la técnica de «injection» de Yahoo con contenido de blogs generado por IA y publicado en sitios web comprometidos o creados expresamente para este fin en Vietnam, Italia, Indonesia y Suiza.

Todos los artículos del blog tienen títulos casi idénticos: «Por qué los intercambios de tokens y los fondos de liquidez siguen planteando dificultades incluso a los operadores de DEX más experimentados», «Por qué los creadores de mercado automatizados siguen sorprendiendo a los operadores». Estos son Artículos generados por IA ubicadas en sitios web con los números AS 21–36, todas ellas enlazadas a aster-dex.at.
Infiltración de spam en los comentarios
keplr.me adopta un enfoque totalmente diferente: puro spam en los comentarios de sitios web de gran autoridad que no guardan relación alguna con el tema. Nombres de usuario falsos como «ZackaryThymn», «Fritzkah» o «Jamesboach» insertan enlaces a carteras de criptomonedas en sitios web dedicados a la enseñanza de la filosofía (filozofija.edu.rs, AS 45), plataformas de compromiso de los empleados (bavave.com, AS 63), y festivales artísticos (lea-festival.com, AS 50).

Lo peor de lo peor: spam de herramientas automatizadas
bscscan.cfd utiliza el método más burdo posible: paquetes de enlaces entrantes comprados al por mayor procedentes de sitios web que se llaman, literalmente, rankongoogle.agency y linksjump.click. Todas las fuentes tienen AS = 0. El TLD «.cfd» es un indicador conocido de spam. Sin embargo, en Bing, incluso esto funciona en parte: el volumen de enlaces de baja calidad puede influir en el posicionamiento de dominios totalmente nuevos que no tienen antecedentes negativos.

Por qué Bing y DuckDuckGo son especialmente vulnerables

| Característica | Bing | |
|---|---|---|
| Detección dinámica de páginas | No se transfiere autoridad de enlace desde las páginas de resultados de búsqueda | Las páginas de búsqueda de Yahoo se consideran contenido editorial |
| Madurez del modelo de aprendizaje automático para el spam | Más de 15 años de datos de entrenamiento de SpamBrain | Menos maduro; el PBN AS 50–65 sigue funcionando |
| Protección de la marca | Agresivo; curvefinance.co fue señalado rápidamente | Las estafas relacionadas con los dominios de nivel superior «.at» y «.co» perduran más tiempo |
| Granjas de contenido generadas por IA | Sistema de detección implantado a partir de 2023 | Las granjas de IA con dominios .vn y .it siguen obteniendo notas de aprobado |
| Bloqueo de phishing | La Navegación segura bloquea rápidamente los dominios conocidos | SmartScreen no detecta los dominios fraudulentos recién registrados |
DDG utiliza el índice de Bing como fuente principal de datos, heredando todos de las vulnerabilidades de Bing. Los usuarios preocupados por la privacidad que prefieren DDG suelen tener conocimientos de criptografía, lo que los convierte en objetivos de mayor valor. DDG no cuenta con un mecanismo independiente para denunciar el spam; las denuncias se envían a Bing.
Estrategia de segmentación por palabras clave
Los perfiles de palabras clave revelan precisión quirúrgica en la selección de objetivos. Los operadores no solo se centran en los términos principales de la marca, sino también en los «typosquats» («monedero rabínico», «cartera Rubby», «dexscrenner») e incluso consultas en chino («Bolsa Aster» (puesto n.º 25).

| Palabra clave objetivo | Volumen mensual | Dominio fraudulento | Cargo |
|---|---|---|---|
| dexscreener | 60,500 | dexscreener.at | #42 |
| cartera de conejo | 5,400 | rabbys.at | #51–71 |
| Trezor Suite | 4,400 | trezorsuite.at | #32–85 |
| aster dex | 3,600 | aster-dex.at | #63 |
| dexscrennererror tipográfico | 2,400 | dexscreener.at | #45 |
| Bolsa AsterChino | 1,000 | aster-dex.at | #25 |
| Descargar Trezor Suite | 260 | trezorsuite.at | #54 |
| monedero rabínicoerror tipográfico | 210 | rabbys.at | #54 |
| Cartera XMR en línea | 210 | monero-wallet.at | #55–69 |
Contexto histórico: El problema de Trust Wallet y DuckDuckGo
Estos ataques no son nada nuevo. El problema era mucho más grave cuando carteras como Trust Wallet utilizaban DuckDuckGo como su motor de búsqueda predeterminado de la aplicación. A los usuarios que buscaban protocolos DeFi desde su monedero se les mostraban resultados de phishing como primer resultado, sin necesidad de aplicar ninguna estrategia compleja de SEO. La combinación de un motor de búsqueda centrado en la privacidad, con una detección de spam menos eficaz, y un monedero de criptomonedas con un navegador integrado creó una tormenta perfecta para el phishing.
Aunque Trust Wallet haya dejado de utilizar DDG como opción predeterminada, la vulnerabilidad subyacente sigue existiendo. Cualquier usuario que elige manualmente DuckDuckGo por motivos de privacidad — un grupo demográfico que coincide en gran medida con el de los usuarios de criptomonedas — sigue estando expuesto hoy en día a estos mismos ataques. Las operaciones fraudulentas documentadas en este informe han estado utilizando variantes de esta técnica desde varios años, adaptándose a medida que los motores de búsqueda van corrigiendo poco a poco los vectores individuales.
Cómo protegerse
REAL Curve Finance → curve.fi (NO .co, .net) • DexScreener → dexscreener.com (NO .at) • Rabby → rabby.io (NO .at, .me) • Trezor Suite → suite.trezor.io (NO trezorsuite.at) • Keplr → keplr.app (NO .me) • BSCScan → bscscan.com (NO .cfd)
- NUNCA Conecta tu monedero desde un resultado de búsqueda
- Añadir a favoritos sitios web legítimos directamente
- Utiliza DDG’s
!bangatajo:!g curve financeactiva la búsqueda en Google - Instala la extensión de MetaMask para la detección de phishing
- Comprueba cualquier dominio en PhishDestroy antes de conectarse
Recomendaciones para Microsoft/Bing
- Detección dinámica de páginas: Clasificar las páginas de resultados de búsqueda (Yahoo, Baidu, Google) y eliminar la autoridad de los enlaces salientes
- Detección coordinada de PBN: Cuando 9 dominios enlacen a 5 sitios web diferentes con patrones idénticos, marcarlo como manipulación.
- Capa de suplantación de marca: Detectar ataques de sustitución de TLD (
dexscreener.at≈dexscreener.com) - Supervisión de dominios .AT: Mayor control de los dominios .at recién registrados en los resultados de búsqueda relacionados con las criptomonedas
- Guía rápida de DuckDuckGo: Crear una API específica para la eliminación de spam a la que DDG pueda acceder directamente
Conclusión
Esto no es spam oportunista. Se trata de un una campaña de SEO organizada de forma profesional, multimarca y con múltiples vectores diseñado específicamente para aprovechar la brecha entre las capacidades de detección de spam de Google y Bing. Cualquier usuario que busque hoy «descargar Trezor Suite» en DuckDuckGo podría encontrarse con una página de phishing que le vacíe la cartera antes de llegar a la página auténtica. La solución técnica ya existe. La cuestión es si Bing la aplicará.


Un operador, 26 dominios, un registrador
Realizamos consultas RDAP en los 26 dominios de phishing. Todos y cada uno de ellos indicaban el mismo registrador: NiceNIC International Group Co., Limited. No la mayoría. No la mayoría. Se han consultado correctamente los 23 de 23 — El mismo registrador, con tres errores de limitación de velocidad antes de la verificación (sus patrones de infraestructura coinciden).

Datos de registro del RDAP — Justificante de registro por lotes
| Dominio | Se hace pasar por | Creado | Par de servidores de nombres de Cloudflare |
|---|---|---|---|
star-gate-finance-stargate.finance | Stargate Finance | 2025-09-08 | Terry/Ximena |
app-vesper.finance | Vesper Finance | 2025-09-08 | Terry/Ximena |
app-vvs.finance | VVS Finance | 2025-09-08 | Terry/Ximena |
orbit-protocol-lending.net | Protocolo Orbit | 2025-10-10 | Terry/Ximena |
vvsfnance.com | VVS Finance | 2025-07-12 | abril/kayden |
spooky-swap.net | SpookySwap | 2025-04-15 | abril/kayden |
thorwsap.com | THORSwap | 2025-07-24 | abril/kayden |
hyperlokc.com | Hyperlock Finance | 2025-07-12 | arnold/destino |
shadow-ex.net | Shadow Exchange | 2025-06-24 | amos/tricia |
v2velodrome.com | Velodrome Finance | 2025-09-04 | Dayana/Marvin |
layerbank-v3.com | LayerBank | 2024-09-07 | Austin/Cheryl |
biasterswap.xyz | BiSwap | 2024-09-07 | señora/Langston |
v2-olympusdao.com | OlympusDAO | 2026-03-29 | nash/romina |
uncx.org | Red UNCX | 2025-12-24 | Cory/Megan |
amblent.cc | Finanzas sostenibles | 2026-02-09 | Nicole/Salvador |
juicefi.cc | Juice Finance | 2026-02-09 | Nicole/Salvador |
rhea-finance.com | Rhea Finance | 2025-05-30 | — |
rhea-finance.net | Rhea Finance | 2025-05-30 | — |
rhea-rhea.org | Rhea Finance | 2025-05-30 | — |
silo-finance-silofinance.net | Silo Finance | 2025-05-30 | — |
Los pares de servidores de nombres (NS) compartidos de Cloudflare y las fechas de creación idénticas demuestran que se trata de un registro por lotes:
- 2025-09-08: star-gate + app-vesper + app-vvs (todos
terry/ximena) - 2025-05-30: rhea-finance.com + .net + rhea-rhea.org + silo-finance (4 dominios, una sesión)
- 2026-02-09: amblent.cc + juicefi.cc (
nicole/salvador) - 2024-09-07: layerbank-v3.com + biasterswap.xyz — operación con una duración de más de 18 meses
La guía de los 2 dólares: paso a paso
Olvídate del SEO sofisticado. Olvídate de meses de creación de enlaces. Aquí tienes la secuencia de acciones completa y contrastada que te permite aparecer en el primer puesto de los resultados de Bing.

Paso 1: Registro de «typosquats»
| Proyecto real | Dominio real | Dominio de phishing | Técnica |
|---|---|---|---|
| VVS Finance | vvs.finance | vvsfnance.com | Letra omitida (i) |
| THORSwap | thorswap.com | thorwsap.com | Letras intercambiadas (a/w) |
| Hyperlock | hyperlock.fi | hyperlokc.com | Letras intercambiadas (c/k) |
| Puente Arbitrum | bridge.arbitrum.io | arbtrumbridge.cc | Intercambio + dominio de nivel superior (TLD) barato |
| Finanzas sostenibles | ambient.finance | amblent.cc | Errores ortográficos de origen fonético |
| Thruster Finance | thruster.finance | thnuster.cc | Letra omitida (r→n) |
| Puente del Optimismo | app.optimism.io | optrnismbirdge.cc | Varios errores ortográficos |
| Stargate Finance | stargate.finance | star-gate-finance-stargate.finance | Exceso de palabras clave |
Paso 2: Clonar la etiqueta de título (0 $, 5 minutos)
El operador copia exactamente el <title> etiqueta y meta descripción de la página web del proyecto real. Este es el paso más importante de todos. La página en sí es una estafa para vaciar carteras o para robar frases de semillas, pero <title> es lo que posiciona Bing.
Paso 3: Enviar a la red PBN oculta (0 $, 1 minuto)
El operador visita cualquiera de las 15 sedes de PBN (bye.fyi, atomizelink.icu, etc.), escribe el dominio en un campo titulado «Introduce tu URL» y hace clic en «Acortar». Con un solo clic se crea una página en los 15 sitios web a la vez, ya que comparten una misma base de datos.
Paso 4: Esperar (2-8 semanas, 0 $)
app.thnuster.cc alcanzó el primer puesto en Bing para la búsqueda de «Thruster Finance» con exactamente 1 enlace entrante — una página de resultados de búsqueda de Yahoo almacenada en caché. Ni siquiera hacía falta la red de blogs privados (PBN).
Desglose del coste total
| ¿Qué? | Coste | Hora |
|---|---|---|
| Dominio (.cc/.com a través de NiceNIC) | $1-2 | 2 min |
| DNS de Cloudflare (plan gratuito) | $0 | 1 min |
| Copiar la etiqueta de título de un sitio web real | $0 | 5 min |
| Enviar a PBN (bye.fyi, etc.) | $0 | 1 min |
| Esperar a la indexación | $0 | 2-8 semanas |
| TOTAL | $1-2 | ~10 min |
El funcionamiento del motor de camuflaje
Hemos obtenido y analizado el código fuente HTML real de la red PBN. Todas las páginas de todos los dominios utilizan el mismo motor de cloaking.

z-index: 1000000 La pared esconde 3.500 enlacesEstructura de la página: 400 KB de HTML, más de 3.500 enlaces, 4 capas
<body style="overflow: hidden;">
<div style="position:absolute; top:0; left:0;
width:100%; height:5000px;
background:white; z-index:1000000;
font-size:32px; text-align:center;">
<p>The domain report has Expired!</p>
</div> El div blanco cubre toda la ventana gráfica. El z-index:1000000 garantiza que no se muestre nada por encima. overflow:hidden En el cuerpo del texto se impide que el usuario se desplace más allá. El usuario ve «Caducado» y se marcha.
// work.js — identical on all 15 domains:
window.location.replace("https://scrib.li/ai-article-generator"); Si el usuario supera el muro blanco, JavaScript le redirige a scrib.li (monetización de afiliados). Triple protección contra los visitantes humanos.
Bingbot ignora la superposición de CSS: analiza el HTML sin formato. Detecta un sitio de «acortador de URL» con un formulario de búsqueda. Parece legítimo.
<p>Learn More Here <a rel="nofollow"
href="https://PHISHING-TARGET.finance">PHISHING-TARGET.finance</a></p>
... x 3,500 links ... El dominio de phishing está oculto entre 3.500 dominios aleatorios. Golosinas de Bing rel="nofollow" como señal de indexación — De todos modos, rastrea el sitio de destino.
Prueba: una red, una base de datos
orbit-protocol-lending.net aparece en varios dominios de la red PBN con ID secuenciales de la misma base de datos:

| Dominio PBN | Patrón de URL | ID |
|---|---|---|
blogsphere.top | /stats/49207 | 49207 |
optimizeflow.top | /stats/49207 | 49207 |
websites.freemyip.com | /share/49207 | 49207 |
shortenurls.eu | /share/49207 | 49207 |
jake.eu | /share/49207 | 49207 |
dailymusings.top | /stats/49208 | 49208 |
screenshots.wiki | /report/49208 | 49208 |
atomizelink.icu | /report/49208 | 49208 |
byteshort.xyz | /report/49208 | 49208 |
Los mismos identificadores en diferentes «marcas» = un único sistema de fondo, un único operador. 15 dominios. La misma plantilla HTML. El mismo CSS (style.css). El mismo código JavaScript (work.js). Las mismas páginas de 3.500 enlaces.
La segunda PBN: Red de comprobación de dominios
Una red de enlaces independiente y más agresiva proporciona enlaces de retroceso «dofollow» a destinos seleccionados. Servidor principal: all-aged-domains.com — una instalación de WordPress 6.6.2 que proporciona archivos CSS, JS y plantillas a entre 50 y 80 dominios satélite.
| Característica | Red A (PBN oculta) | Red B (Comprobador de dominios) |
|---|---|---|
| Sitios | ~15 | ~50-80 |
| Ocultación | Sí (redirección mediante CSS y JS) | No |
| Tipo de enlace | 99,4 % «nofollow» | 99,99 % dofollow |
| Enlaces por página | ~3,500 | ~10,000 |
| Tamaño de la página | 400 KB | 4 MB |
| CMS | PHP personalizado | WordPress 6.6.2 |
| Servidor maestro | Base de datos compartida (identificadores secuenciales) | all-aged-domains.com |
| Google Tag Manager | No | Sí (registra el tráfico) |
A pesar de tener 10 veces más enlaces entrantes, todos ellos «dofollow», la Red B se centra en NO llegó al primer puesto en Bing. biasterswap.xyz tiene 110 enlaces «dofollow». layerbank-v3.com tiene 98. Ninguno de los dos ocupa el primer puesto.
Mientras tanto, app.thnuster.cc tiene 1 enlace entrante y ocupa el primer puesto.
La combinación de PBN con enlaces «nofollow» ocultos y títulos coincidentes funciona mejor que el spam masivo con enlaces «dofollow» en Bing.
Por qué Bing cae en la trampa

La vulnerabilidad del combate por el título
app.thnuster.cc tiene exactamente UN enlace entrante: una página de resultados de búsqueda de Yahoo almacenada en caché. Ocupa el primer puesto en Bing para la búsqueda de «Thruster Finance». Esto demuestra que el posicionamiento de Bing para las búsquedas de marcas con baja competencia se basa principalmente en:
- Coincidencia exacta de la etiqueta de título a la consulta de búsqueda
- El dominio está indexado (cualquier señal —incluso un enlace «nofollow»— es suficiente)
- No hay señales de desconfianza (El dominio es nuevo y tiene un historial impecable)
Google exigiría señales de autoridad sustanciales y realizaría una comprobación cruzada con los dominios de marcas conocidas. Bing no lo hace.
| Métrico | Bing | |
|---|---|---|
| Los dominios de phishing ocupan el primer puesto | 7 | 0 |
| Dominios de phishing entre los 10 primeros | 7 | 0 |
| Tiempo transcurrido desde la creación del dominio hasta la aparición en los resultados de búsqueda | 2-8 semanas | nunca |
Resultados n.º 1 de Bing (verificados a través de SerpAPI, abril de 2026)
| Consulta | #1 Result (Phishing) | Enlaces entrantes |
|---|---|---|
| «Stargate Finance» | star-gate-finance-stargate.finance | 20 |
| «Shadow Exchange» | shadow-ex.net | 16 |
| «Red UNCX» | www.uncx.org | 51 |
| «Thruster Finance» | app.thnuster.cc | 1 |
| «Orbit Protocol» | orbit-protocol-lending.net | 15 |
| «VVS Finance» | vvsfnance.com (#1) + www.app-vvs.finance (#10) | 36 + 37 |
Lista de protección actualizada (marcas de la Parte II)
Stargate Finance → stargate.finance (NO star-gate-finance-stargate.finance) • VVS Finance → vvs.finance (NO vvsfnance.com) • THORSwap → thorswap.com (NO es thorwsap.com) • Velódromo → velodrome.finance (NO v2velodrome.com) • UNCX → uncx.network (NO uncx.org) • SpookySwap → spooky.fi (NO es spooky-swap.net) • OlympusDAO → olympusdao.finance (NO v2-olympusdao.com) • Thruster → thruster.finance (NO thnuster.cc) • Ambient → ambient.finance (NO es amblent.cc)
Recomendaciones (Parte II)
A Microsoft/Bing:
- El mero hecho de disputar un combate por el título no confiere autoridad. Un título coincidente no debería hacer que un dominio nuevo ocupe el primer puesto en las búsquedas relacionadas con la marca. Es necesario que el dominio tenga cierta antigüedad, autoridad en los enlaces entrantes o señales de verificación de la marca.
- Detectar el cloaking basado en CSS. Las páginas que utilicen superposiciones con «z-index» que oculten el contenido a los usuarios pero lo muestren a los rastreadores deben señalarse.
- Detectar redes PBN coordinadas. Que 15 dominios compartan un mismo backend que enlaza con los mismos destinos no constituye una estrategia de creación de enlaces orgánica.
- Marcar los dominios registrados en NiceNIC en los resultados de búsqueda de criptomonedas para un control más exhaustivo.
- Crear una vía rápida para el spam en DuckDuckGo. DDG hereda todas las vulnerabilidades de Bing, pero no cuenta con un mecanismo independiente para denunciar el spam.
A NiceNIC International Group Co., Limited:
26 dominios de phishing. Un cliente. Registrados en bloque a lo largo de 18 meses. No se ha tomado ninguna medida por abuso. Esto ya está documentado públicamente. Referencia: Cuando las denuncias de abusos no tienen ningún resultado y NiceNIC: Facilitador sistémico.
A Cloudflare:
Los 26 dominios utilizan el DNS y el proxy de Cloudflare. Estos dominios alojan programas de vaciado de monederos y de recolección de frases de semillas a través de la infraestructura de Cloudflare.
Parte II: Conclusión
Esto no es spam oportunista. Se trata de un campaña de 18 meses de duración, gestionada de forma profesional por un único operador quien ha descubierto que el algoritmo de posicionamiento de Bing puede burlarse con un dominio de 2 dólares y una etiqueta de título copiada. Actualmente, siete sitios web de phishing ocupan el primer puesto en Bing — por encima de las plataformas legítimas de las que se hacen pasar.
La infraestructura de ocultación que hemos documentado —15 sitios web idénticos con bases de datos compartidas, ocultación de contenido mediante CSS y redireccionamientos de reserva mediante JavaScript— constituye una herramienta diseñada específicamente para manipular los motores de búsqueda a gran escala.
Google bloquea los 26 dominios. Bing sitúa a 7 de ellos en el primer puesto. Existe una solución técnica. Las pruebas son públicas. Los dominios están documentados. Se ha identificado al registrador. La pregunta sigue siendo: ¿se hará algo al respecto?


