PhishDestroy En directo
Volver a las noticias
Amenaza activa

Dentro de la máquina: cómo actúan los estafadores de criptomonedas
Secuestrar Bing y DuckDuckGo

Un informe de investigación con datos en tiempo real de SEMrush que pone al descubierto dos operaciones paralelas de ataque SEO destinadas a posicionar sitios web de phishing relacionados con las criptomonedas en los primeros puestos de los resultados de búsqueda de Bing y DuckDuckGo. 10 dominios. 2 vectores de ataque. Más de 100 000 víctimas potenciales al mes.

30 de marzo de 2026 Investigación de PhishDestroy 22 minutos de lectura Datos de la API de SEMrush
Estafadores del mundo de las criptomonedas manipulan los resultados de búsqueda de Bing y DuckDuckGo — visualización ciberpunk
Los motores de búsqueda, en el punto de mira: operaciones organizadas sitúan a las páginas de phishing por encima de las plataformas legítimas de criptomonedas
10Dominios de phishing
9Donantes de la PBN
60,500+Exposición diaria
Más de 100 000Víctimas/mes
2Vectores de ataque
Aviso legal

Todos los datos de este informe se han recopilado a través de la API de SEMrush y de phishdestroy.io con fines de investigación en materia de ciberseguridad. Los nombres de dominio se publican para advertir a los usuarios, no para promocionarlos.

Los dos vectores de ataque

Nuestra investigación reveló que dos operaciones paralelas y completamente diferentes que se ejecutan simultáneamente para situar los sitios de phishing en los primeros puestos de los resultados de Bing y DuckDuckGo.

Vector A: Inyección en la página de resultados de búsqueda de Yahoo
Aprovecha la autoridad de dominio de Yahoo (AS 24) a través de las páginas de búsqueda para móviles. Bing hereda la confianza de las URL de búsqueda de Yahoo generadas dinámicamente que contienen enlaces de phishing. Objetivos: curvefinance.co, curvefi.co, aster-dex.at
Vector B: Red PBN coordinada
9 dominios comprometidos o comprados, con enlaces a los AS 49–65, redirigen simultáneamente a múltiples sitios de phishing. Funciona con TODOS los motores de búsqueda. Objetivos: rabbys.at, dexscreener.at, monero-wallet.at, trezorsuite.at, keplr.me

Vector A: El ataque de inyección en la página de resultados de búsqueda de Yahoo

Podría decirse que este es el el más elegante desde el punto de vista técnico Ataque de SEO «black-hat» que hemos documentado en 2026. Este ataque aprovecha una falla fundamental en la forma en que Bing evalúa la autoridad de los enlaces; concretamente, su incapacidad para distinguir entre enlaces editoriales auténticos y páginas de resultados de búsqueda generadas dinámicamente a partir de dominios de confianza.

Diagrama técnico que muestra el flujo del ataque de inyección en la página de resultados de búsqueda (SERP) de Yahoo para influir en las clasificaciones de Bing
La puntuación de autoridad heredada de Yahoo (AS 24) se transmite a través de las páginas de búsqueda móvil hacia dominios de phishing; Bing acepta esta señal como legítima.

El mecanismo: paso a paso

URL de Craft YahooMás de 8 subdominios de países
Incrustar enlaceConsulta aleatoria + enlace de phishing
Arrastrar a la fuerzaServicios de ping + spam
Índices de BingHeredado de Yahoo AS 24
Puesto n.º 1Página de phishing entre los primeros resultados

Paso 1 — Generación de la URL del operador de confianza. Los atacantes crean direcciones URL en los puntos finales de búsqueda móvil de Yahoo a través de múltiples subdominios internacionales: no.search.yahoo.com (Noruega), fr.search.yahoo.com (Francia), mx.search.yahoo.com (México), pl.search.yahoo.com (Polonia), gr.search.yahoo.com (Grecia), qc.search.yahoo.com (Quebec), chfr.search.yahoo.com (francés suizo), co.search.yahoo.com (Colombia). Estas páginas incluyen la puntuación de autoridad heredada de Yahoo: 23-24.

Paso 2 — Insertar el enlace de phishing. Cada URL contiene una consulta de búsqueda totalmente aleatoria e inocente —«pele+fifa», «Jean-Paul+Sartre», «Radio+Stars», «jucheck.exe»—, pero el texto de enlace dice: curvefi.co Curve Finance. Las consultas aleatorias garantizan que los filtros antispam no detecten ningún patrón.

Paso 3 — Rastreo e indexación forzados. Los atacantes obligan a Bingbot a rastrear estas URL mediante servicios de ping masivo, inyecciones de comentarios en foros y blogs, y herramientas de activación automática del rastreo.

El fallo algorítmico de Bing

El algoritmo de Google: «Esta es una página de búsqueda dinámica. No se transfiere autoridad de enlace».
El algoritmo de Bing: «yahoo.com enlaza a curvefi.co con el texto de enlace “Curve Finance DEX”. Señal de posicionamiento aceptada. ✓»

Resultado: una página de phishing se sitúa entre las tres primeras posiciones para la búsqueda de «Curve Finance» en Bing y DuckDuckGo.

Datos sin procesar de SEMrush — curvefi.co

API de análisis de backlinks de SEMrush | 30 de marzo de 2026 | Destino: curvefi.co
ASDominio de origenTexto de enlace
24chfr.search.yahoo.comwww.curvefi.coa Curve Finance
24co.search.yahoo.comcurvefi.co Curve Finance
24fr.search.yahoo.comcurvefi.co Curve Finance
24mx.search.yahoo.comwww.curvefi.coa Curve Finance
24no.search.yahoo.comwww.curvefi.coa Curve Finance
24pl.search.yahoo.comwww.curvefi.coa Curve Finance
23gr.search.yahoo.comwww.curvefi.coa Curve Finance
23qc.search.yahoo.comcurvefi.co Curve Finance

La brutal ironía: La página web cuenta con cero palabras clave orgánicas, cero tráfico en la base de datos de SEMrush; sin embargo, aparece en los resultados de Bing/DDG para «Curve Finance» gracias a la autoridad prestada por Yahoo.

Vector B: La red coordinada PBN

Aquí es donde la investigación se vuelve realmente alarmante. Cinco sitios web de phishing distintos — rabbys.at, dexscreener.at, monero-wallet.at, trezorsuite.at y keplr.me — todos comparten un conjunto idéntico de fuentes de enlaces entrantes. No es una coincidencia. Esto es una única operación delictiva organizada llevar a cabo varias campañas de phishing desde una misma infraestructura.

Visualización de una red PBN delictiva: 9 dominios donantes que enlazan con 5 objetivos de phishing
Un operador, 9 donantes de PBN, 5 víctimas de phishing: la probabilidad de que esto sea una coincidencia es de aproximadamente el 0,00001 %.

La prueba irrefutable: infraestructura compartida

API de SEMrush | Análisis entre dominios | 30 de marzo de 2026
Dominio donante de PBNASrabbysdexscrmonerotrezor
lewievuittton.com65
lyricamed.us.com61
creatfx.com60
jba.com.jo56
jornaldevinhedo.com56
jasaaspalhotmix.com54
magna-eg.com50
markjohnsonbuilders50
nextplayflix.com49
Nota sobre lewievuittton.com

El principal sitio donante de PBN (AS 65) es, en sí mismo, un «typosquat» de Louis Vuitton. Este sitio donante de PBN es una página fraudulenta que da soporte a otras páginas fraudulentas: una infraestructura delictiva en toda regla.

Perfiles de dominios de phishing

Resumen del dominio de SEMrush | Marzo de 2026
DominioSe hace pasar porPalabras claveObjetivo principalVolumen
dexscreener.atDexScreener64«dexscreener» n.º 4260 500 al mes
rabbys.atCartera Rabby15«rabby wallet» n.º 515.400 al mes
trezorsuite.atTrezor Suite7«Trezor Suite» n.º 324.400 al mes
aster-dex.atAster DEX13«Bolsa Aster» n.º 253.600 al mes
monero-wallet.atCartera de Monero4«monedero XMR en línea» n.º 26210 al mes
keplr.meCartera Keplr0Comentarios spam ocultosN/A
bscscan.cfdBSCScan0Enlaces de spam masivosN/A
curvefinance.coCurve Finance0Solo inyección de YahooN/A
curvefi.coCurve Finance0Solo inyección de YahooN/A
app-crv.netAplicación Curve0Técnicas mixtasN/A
Importante: Descarga de Trezor Suite

Usuarios que buscan «Descargar Trezor Suite» están buscando activamente instalar un programa de monedero digital. Una página de phishing que aparece en los puestos del 3 al 5 en DuckDuckGo hace que los usuarios descarguen programas maliciosos pensando que se trata de la interfaz de un monedero físico. Esto no es algo teórico: está ocurriendo en este mismo momento.

La «granja de artículos» impulsada por IA

La variante aster-dex.at utiliza un enfoque híbrido, combinando la técnica de «injection» de Yahoo con contenido de blogs generado por IA y publicado en sitios web comprometidos o creados expresamente para este fin en Vietnam, Italia, Indonesia y Suiza.

Fábrica que produce entradas de blog idénticas generadas por IA que enlazan con sitios de phishing
Artículos generados por IA en sitios web comprometidos: títulos idénticos, dominios diferentes, todos con enlaces al mismo destino de phishing

Todos los artículos del blog tienen títulos casi idénticos: «Por qué los intercambios de tokens y los fondos de liquidez siguen planteando dificultades incluso a los operadores de DEX más experimentados», «Por qué los creadores de mercado automatizados siguen sorprendiendo a los operadores». Estos son Artículos generados por IA ubicadas en sitios web con los números AS 21–36, todas ellas enlazadas a aster-dex.at.

Infiltración de spam en los comentarios

keplr.me adopta un enfoque totalmente diferente: puro spam en los comentarios de sitios web de gran autoridad que no guardan relación alguna con el tema. Nombres de usuario falsos como «ZackaryThymn», «Fritzkah» o «Jamesboach» insertan enlaces a carteras de criptomonedas en sitios web dedicados a la enseñanza de la filosofía (filozofija.edu.rs, AS 45), plataformas de compromiso de los empleados (bavave.com, AS 63), y festivales artísticos (lea-festival.com, AS 50).

Página web legítima con enlaces de phishing ocultos en la sección de comentarios
Sitios web legítimos que, sin saberlo, alojan enlaces de phishing —ocultos entre comentarios de usuarios que parecen normales—

Lo peor de lo peor: spam de herramientas automatizadas

bscscan.cfd utiliza el método más burdo posible: paquetes de enlaces entrantes comprados al por mayor procedentes de sitios web que se llaman, literalmente, rankongoogle.agency y linksjump.click. Todas las fuentes tienen AS = 0. El TLD «.cfd» es un indicador conocido de spam. Sin embargo, en Bing, incluso esto funciona en parte: el volumen de enlaces de baja calidad puede influir en el posicionamiento de dominios totalmente nuevos que no tienen antecedentes negativos.

Mercado de enlaces de bajo coste al estilo cyberpunk
«1000 enlaces entrantes por 9,99 $»: las herramientas de SEO fraudulentas más baratas siguen funcionando, al menos en parte, en Bing

Por qué Bing y DuckDuckGo son especialmente vulnerables

La fortaleza de Google frente a la fortaleza de Bing: comparación de vulnerabilidades
La defensa contra el spam de Google, basada en múltiples capas, frente a la detección menos avanzada de Bing: la brecha que aprovechan los estafadores
Diferencias algorítmicas que los estafadores aprovechan activamente
CaracterísticaGoogleBing
Detección dinámica de páginasNo se transfiere autoridad de enlace desde las páginas de resultados de búsquedaLas páginas de búsqueda de Yahoo se consideran contenido editorial
Madurez del modelo de aprendizaje automático para el spamMás de 15 años de datos de entrenamiento de SpamBrainMenos maduro; el PBN AS 50–65 sigue funcionando
Protección de la marcaAgresivo; curvefinance.co fue señalado rápidamenteLas estafas relacionadas con los dominios de nivel superior «.at» y «.co» perduran más tiempo
Granjas de contenido generadas por IASistema de detección implantado a partir de 2023Las granjas de IA con dominios .vn y .it siguen obteniendo notas de aprobado
Bloqueo de phishingLa Navegación segura bloquea rápidamente los dominios conocidosSmartScreen no detecta los dominios fraudulentos recién registrados
Debilidad específica de DuckDuckGo

DDG utiliza el índice de Bing como fuente principal de datos, heredando todos de las vulnerabilidades de Bing. Los usuarios preocupados por la privacidad que prefieren DDG suelen tener conocimientos de criptografía, lo que los convierte en objetivos de mayor valor. DDG no cuenta con un mecanismo independiente para denunciar el spam; las denuncias se envían a Bing.

Estrategia de segmentación por palabras clave

Los perfiles de palabras clave revelan precisión quirúrgica en la selección de objetivos. Los operadores no solo se centran en los términos principales de la marca, sino también en los «typosquats» («monedero rabínico», «cartera Rubby», «dexscrenner») e incluso consultas en chino («Bolsa Aster» (puesto n.º 25).

Mapa mundial que muestra la segmentación por palabras clave multilingües utilizada por los estafadores del mundo de las criptomonedas
Orientación multilingüe: inglés, francés, chino y vietnamita; la operación abarca varios continentes
Análisis de marca y volumen de búsqueda | SEMrush EE. UU. | Marzo de 2026
Palabra clave objetivoVolumen mensualDominio fraudulentoCargo
dexscreener60,500dexscreener.at#42
cartera de conejo5,400rabbys.at#51–71
Trezor Suite4,400trezorsuite.at#32–85
aster dex3,600aster-dex.at#63
dexscrennererror tipográfico2,400dexscreener.at#45
Bolsa AsterChino1,000aster-dex.at#25
Descargar Trezor Suite260trezorsuite.at#54
monedero rabínicoerror tipográfico210rabbys.at#54
Cartera XMR en línea210monero-wallet.at#55–69

Contexto histórico: El problema de Trust Wallet y DuckDuckGo

Este problema tiene raíces profundas

Estos ataques no son nada nuevo. El problema era mucho más grave cuando carteras como Trust Wallet utilizaban DuckDuckGo como su motor de búsqueda predeterminado de la aplicación. A los usuarios que buscaban protocolos DeFi desde su monedero se les mostraban resultados de phishing como primer resultado, sin necesidad de aplicar ninguna estrategia compleja de SEO. La combinación de un motor de búsqueda centrado en la privacidad, con una detección de spam menos eficaz, y un monedero de criptomonedas con un navegador integrado creó una tormenta perfecta para el phishing.

Aunque Trust Wallet haya dejado de utilizar DDG como opción predeterminada, la vulnerabilidad subyacente sigue existiendo. Cualquier usuario que elige manualmente DuckDuckGo por motivos de privacidad — un grupo demográfico que coincide en gran medida con el de los usuarios de criptomonedas — sigue estando expuesto hoy en día a estos mismos ataques. Las operaciones fraudulentas documentadas en este informe han estado utilizando variantes de esta técnica desde varios años, adaptándose a medida que los motores de búsqueda van corrigiendo poco a poco los vectores individuales.

Cómo protegerse

Comprueba siempre el dominio exacto

REAL Curve Finance → curve.fi (NO .co, .net) • DexScreener → dexscreener.com (NO .at) • Rabby → rabby.io (NO .at, .me) • Trezor Suite → suite.trezor.io (NO trezorsuite.at) • Keplr → keplr.app (NO .me) • BSCScan → bscscan.com (NO .cfd)

Recomendaciones para Microsoft/Bing

  1. Detección dinámica de páginas: Clasificar las páginas de resultados de búsqueda (Yahoo, Baidu, Google) y eliminar la autoridad de los enlaces salientes
  2. Detección coordinada de PBN: Cuando 9 dominios enlacen a 5 sitios web diferentes con patrones idénticos, marcarlo como manipulación.
  3. Capa de suplantación de marca: Detectar ataques de sustitución de TLD (dexscreener.atdexscreener.com)
  4. Supervisión de dominios .AT: Mayor control de los dominios .at recién registrados en los resultados de búsqueda relacionados con las criptomonedas
  5. Guía rápida de DuckDuckGo: Crear una API específica para la eliminación de spam a la que DDG pueda acceder directamente

Conclusión

Esto no es spam oportunista. Se trata de un una campaña de SEO organizada de forma profesional, multimarca y con múltiples vectores diseñado específicamente para aprovechar la brecha entre las capacidades de detección de spam de Google y Bing. Cualquier usuario que busque hoy «descargar Trezor Suite» en DuckDuckGo podría encontrarse con una página de phishing que le vacíe la cartera antes de llegar a la página auténtica. La solución técnica ya existe. La cuestión es si Bing la aplicará.

Escena dramática en la sala del tribunal: juicio a estafadores de criptomonedas con las pruebas expuestas
Las pruebas son públicas. Los dominios están documentados. Las víctimas son reales. La solución está en manos de Microsoft.
Investigación de seguimiento — 17 de abril de 2026

Parte II: La estrategia de los 2 dólares — 26 sitios web de phishing, 1 registrador, 7 resultados en el primer puesto de Bing

Un seguimiento de esta investigación realizada en marzo reveló que 26 nuevos dominios de phishing — todos ellos que se hacen pasar por protocolos DeFi — ocupan actualmente #1 on Bing para sus consultas sobre marcas objetivo. Utilizando los datos de backlinks de la API de SEMrush, los registros de inscripción en el RDAP y el análisis directo del código fuente, hemos rastreado cada uno de los dominios hasta un operador, un registrador (NiceNIC) y una red PBN camuflada compuesta por 15 sitios web. Precio por dominio: 2 $. Duración: 10 minutos.

Un operador, 26 enlaces de phishing, un motor de búsqueda que no comprueba
Un operador. 26 enlaces de phishing en Bing. Precio: 2 dólares por dominio.
26Dominios de phishing
1Registrador (NiceNIC)
7Posiciones n.º 1 en Bing
15Sitios PBN ocultos
0Posicionamiento en Google

Un operador, 26 dominios, un registrador

Realizamos consultas RDAP en los 26 dominios de phishing. Todos y cada uno de ellos indicaban el mismo registrador: NiceNIC International Group Co., Limited. No la mayoría. No la mayoría. Se han consultado correctamente los 23 de 23 — El mismo registrador, con tres errores de limitación de velocidad antes de la verificación (sus patrones de infraestructura coinciden).

Tabla de investigación OSINT que muestra 23 de los 23 dominios registrados a través de NiceNIC
23 de 23 comprobados. El mismo registrador. El mismo cliente. Ninguna medida por abuso.

Datos de registro del RDAP — Justificante de registro por lotes

Resultados de la consulta RDAP | Abril de 2026 | 23 de 26 consultados con éxito
DominioSe hace pasar porCreadoPar de servidores de nombres de Cloudflare
star-gate-finance-stargate.financeStargate Finance2025-09-08Terry/Ximena
app-vesper.financeVesper Finance2025-09-08Terry/Ximena
app-vvs.financeVVS Finance2025-09-08Terry/Ximena
orbit-protocol-lending.netProtocolo Orbit2025-10-10Terry/Ximena
vvsfnance.comVVS Finance2025-07-12abril/kayden
spooky-swap.netSpookySwap2025-04-15abril/kayden
thorwsap.comTHORSwap2025-07-24abril/kayden
hyperlokc.comHyperlock Finance2025-07-12arnold/destino
shadow-ex.netShadow Exchange2025-06-24amos/tricia
v2velodrome.comVelodrome Finance2025-09-04Dayana/Marvin
layerbank-v3.comLayerBank2024-09-07Austin/Cheryl
biasterswap.xyzBiSwap2024-09-07señora/Langston
v2-olympusdao.comOlympusDAO2026-03-29nash/romina
uncx.orgRed UNCX2025-12-24Cory/Megan
amblent.ccFinanzas sostenibles2026-02-09Nicole/Salvador
juicefi.ccJuice Finance2026-02-09Nicole/Salvador
rhea-finance.comRhea Finance2025-05-30
rhea-finance.netRhea Finance2025-05-30
rhea-rhea.orgRhea Finance2025-05-30
silo-finance-silofinance.netSilo Finance2025-05-30
Registro por lotes: un operador, muchas sesiones

Los pares de servidores de nombres (NS) compartidos de Cloudflare y las fechas de creación idénticas demuestran que se trata de un registro por lotes:

  • 2025-09-08: star-gate + app-vesper + app-vvs (todos terry/ximena)
  • 2025-05-30: rhea-finance.com + .net + rhea-rhea.org + silo-finance (4 dominios, una sesión)
  • 2026-02-09: amblent.cc + juicefi.cc (nicole/salvador)
  • 2024-09-07: layerbank-v3.com + biasterswap.xyz — operación con una duración de más de 18 meses

La guía de los 2 dólares: paso a paso

Olvídate del SEO sofisticado. Olvídate de meses de creación de enlaces. Aquí tienes la secuencia de acciones completa y contrastada que te permite aparecer en el primer puesto de los resultados de Bing.

Cuatro pasos para posicionar una página de phishing en el primer puesto de Bing por 2 dólares
Cuatro pasos, 2 dólares, y Bing corona como número uno a una página de phishing
Registrar un «typosquat»$1-2 at NiceNIC
Clonar la etiqueta de títuloCopia del sitio web original
Enviar a PBNAdiós. Para tu información, 15 sitios web
Espera entre 2 y 8 semanasBing indexa y clasifica
Bing n.º 1Proyecto real anterior

Paso 1: Registro de «typosquats»

Técnicas de «typosquatting» en 8 de los 26 dominios
Proyecto realDominio realDominio de phishingTécnica
VVS Financevvs.financevvsfnance.comLetra omitida (i)
THORSwapthorswap.comthorwsap.comLetras intercambiadas (a/w)
Hyperlockhyperlock.fihyperlokc.comLetras intercambiadas (c/k)
Puente Arbitrumbridge.arbitrum.ioarbtrumbridge.ccIntercambio + dominio de nivel superior (TLD) barato
Finanzas sosteniblesambient.financeamblent.ccErrores ortográficos de origen fonético
Thruster Financethruster.financethnuster.ccLetra omitida (r→n)
Puente del Optimismoapp.optimism.iooptrnismbirdge.ccVarios errores ortográficos
Stargate Financestargate.financestar-gate-finance-stargate.financeExceso de palabras clave

Paso 2: Clonar la etiqueta de título (0 $, 5 minutos)

El operador copia exactamente el <title> etiqueta y meta descripción de la página web del proyecto real. Este es el paso más importante de todos. La página en sí es una estafa para vaciar carteras o para robar frases de semillas, pero <title> es lo que posiciona Bing.

Paso 3: Enviar a la red PBN oculta (0 $, 1 minuto)

El operador visita cualquiera de las 15 sedes de PBN (bye.fyi, atomizelink.icu, etc.), escribe el dominio en un campo titulado «Introduce tu URL» y hace clic en «Acortar». Con un solo clic se crea una página en los 15 sitios web a la vez, ya que comparten una misma base de datos.

Paso 4: Esperar (2-8 semanas, 0 $)

Prueba: 1 enlace entrante = 1.º puesto en Bing

app.thnuster.cc alcanzó el primer puesto en Bing para la búsqueda de «Thruster Finance» con exactamente 1 enlace entrante — una página de resultados de búsqueda de Yahoo almacenada en caché. Ni siquiera hacía falta la red de blogs privados (PBN).

Desglose del coste total

¿Qué?CosteHora
Dominio (.cc/.com a través de NiceNIC)$1-22 min
DNS de Cloudflare (plan gratuito)$01 min
Copiar la etiqueta de título de un sitio web real$05 min
Enviar a PBN (bye.fyi, etc.)$01 min
Esperar a la indexación$02-8 semanas
TOTAL$1-2~10 min

El funcionamiento del motor de camuflaje

Hemos obtenido y analizado el código fuente HTML real de la red PBN. Todas las páginas de todos los dominios utilizan el mismo motor de cloaking.

Lo que ven los usuarios frente a lo que ve Bingbot: el muro del cloaking
Lo que ven los usuarios frente a lo que ve Bingbot: el z-index: 1000000 La pared esconde 3.500 enlaces

Estructura de la página: 400 KB de HTML, más de 3.500 enlaces, 4 capas

Capa 1 — El muro de ocultación (lo que ven los usuarios)
<body style="overflow: hidden;">
  <div style="position:absolute; top:0; left:0;
              width:100%; height:5000px;
              background:white; z-index:1000000;
              font-size:32px; text-align:center;">
    <p>The domain report has Expired!</p>
  </div>

El div blanco cubre toda la ventana gráfica. El z-index:1000000 garantiza que no se muestre nada por encima. overflow:hidden En el cuerpo del texto se impide que el usuario se desplace más allá. El usuario ve «Caducado» y se marcha.

Capa 2 — La redirección JS (protección de respaldo)
// work.js — identical on all 15 domains:
window.location.replace("https://scrib.li/ai-article-generator");

Si el usuario supera el muro blanco, JavaScript le redirige a scrib.li (monetización de afiliados). Triple protección contra los visitantes humanos.

Capa 3 — La fachada falsa (lo que ven los bots)

Bingbot ignora la superposición de CSS: analiza el HTML sin formato. Detecta un sitio de «acortador de URL» con un formulario de búsqueda. Parece legítimo.

Capa 4 — La masa de enlaces (3.500 enlaces «nofollow»)
<p>Learn More Here <a rel="nofollow"
     href="https://PHISHING-TARGET.finance">PHISHING-TARGET.finance</a></p>
... x 3,500 links ...

El dominio de phishing está oculto entre 3.500 dominios aleatorios. Golosinas de Bing rel="nofollow" como señal de indexación — De todos modos, rastrea el sitio de destino.

Prueba: una red, una base de datos

orbit-protocol-lending.net aparece en varios dominios de la red PBN con ID secuenciales de la misma base de datos:

Una base de datos, 15 dominios front-end: todos ellos ofrecen el mismo contenido desde el mismo back-end
Una base de datos. 15 dominios front-end. Todas las pantallas muestran el mismo contenido desde el mismo back-end.
Identificadores secuenciales en «diferentes» marcas de PBN: prueba de un backend compartido
Dominio PBNPatrón de URLID
blogsphere.top/stats/4920749207
optimizeflow.top/stats/4920749207
websites.freemyip.com/share/4920749207
shortenurls.eu/share/4920749207
jake.eu/share/4920749207
dailymusings.top/stats/4920849208
screenshots.wiki/report/4920849208
atomizelink.icu/report/4920849208
byteshort.xyz/report/4920849208

Los mismos identificadores en diferentes «marcas» = un único sistema de fondo, un único operador. 15 dominios. La misma plantilla HTML. El mismo CSS (style.css). El mismo código JavaScript (work.js). Las mismas páginas de 3.500 enlaces.

La segunda PBN: Red de comprobación de dominios

Una red de enlaces independiente y más agresiva proporciona enlaces de retroceso «dofollow» a destinos seleccionados. Servidor principal: all-aged-domains.com — una instalación de WordPress 6.6.2 que proporciona archivos CSS, JS y plantillas a entre 50 y 80 dominios satélite.

PBN camuflada (Red A) frente a Domain Checker (Red B)
CaracterísticaRed A (PBN oculta)Red B (Comprobador de dominios)
Sitios~15~50-80
OcultaciónSí (redirección mediante CSS y JS)No
Tipo de enlace99,4 % «nofollow»99,99 % dofollow
Enlaces por página~3,500~10,000
Tamaño de la página400 KB4 MB
CMSPHP personalizadoWordPress 6.6.2
Servidor maestroBase de datos compartida (identificadores secuenciales)all-aged-domains.com
Google Tag ManagerNoSí (registra el tráfico)
La ironía

A pesar de tener 10 veces más enlaces entrantes, todos ellos «dofollow», la Red B se centra en NO llegó al primer puesto en Bing. biasterswap.xyz tiene 110 enlaces «dofollow». layerbank-v3.com tiene 98. Ninguno de los dos ocupa el primer puesto.

Mientras tanto, app.thnuster.cc tiene 1 enlace entrante y ocupa el primer puesto.

La combinación de PBN con enlaces «nofollow» ocultos y títulos coincidentes funciona mejor que el spam masivo con enlaces «dofollow» en Bing.

Por qué Bing cae en la trampa

El robot blindado de Google que bloquea el phishing en la entrada frente al simpático portero de Bing que mantiene la puerta abierta
El robot blindado de Google bloquea el phishing en la entrada. El simpático portero de Bing mantiene la puerta abierta.

La vulnerabilidad del combate por el título

app.thnuster.cc tiene exactamente UN enlace entrante: una página de resultados de búsqueda de Yahoo almacenada en caché. Ocupa el primer puesto en Bing para la búsqueda de «Thruster Finance». Esto demuestra que el posicionamiento de Bing para las búsquedas de marcas con baja competencia se basa principalmente en:

  1. Coincidencia exacta de la etiqueta de título a la consulta de búsqueda
  2. El dominio está indexado (cualquier señal —incluso un enlace «nofollow»— es suficiente)
  3. No hay señales de desconfianza (El dominio es nuevo y tiene un historial impecable)

Google exigiría señales de autoridad sustanciales y realizaría una comprobación cruzada con los dominios de marcas conocidas. Bing no lo hace.

Bing frente a Google: resultados de posicionamiento en 26 dominios
MétricoBingGoogle
Los dominios de phishing ocupan el primer puesto70
Dominios de phishing entre los 10 primeros70
Tiempo transcurrido desde la creación del dominio hasta la aparición en los resultados de búsqueda2-8 semanasnunca

Resultados n.º 1 de Bing (verificados a través de SerpAPI, abril de 2026)

Consulta#1 Result (Phishing)Enlaces entrantes
«Stargate Finance»star-gate-finance-stargate.finance20
«Shadow Exchange»shadow-ex.net16
«Red UNCX»www.uncx.org51
«Thruster Finance»app.thnuster.cc1
«Orbit Protocol»orbit-protocol-lending.net15
«VVS Finance»vvsfnance.com (#1) + www.app-vvs.finance (#10)36 + 37

Lista de protección actualizada (marcas de la Parte II)

Comprueba siempre el dominio exacto

Stargate Finance → stargate.finance (NO star-gate-finance-stargate.finance) • VVS Finance → vvs.finance (NO vvsfnance.com) • THORSwap → thorswap.com (NO es thorwsap.com) • Velódromo → velodrome.finance (NO v2velodrome.com) • UNCX → uncx.network (NO uncx.org) • SpookySwap → spooky.fi (NO es spooky-swap.net) • OlympusDAO → olympusdao.finance (NO v2-olympusdao.com) • Thruster → thruster.finance (NO thnuster.cc) • Ambient → ambient.finance (NO es amblent.cc)

Recomendaciones (Parte II)

A Microsoft/Bing:

  1. El mero hecho de disputar un combate por el título no confiere autoridad. Un título coincidente no debería hacer que un dominio nuevo ocupe el primer puesto en las búsquedas relacionadas con la marca. Es necesario que el dominio tenga cierta antigüedad, autoridad en los enlaces entrantes o señales de verificación de la marca.
  2. Detectar el cloaking basado en CSS. Las páginas que utilicen superposiciones con «z-index» que oculten el contenido a los usuarios pero lo muestren a los rastreadores deben señalarse.
  3. Detectar redes PBN coordinadas. Que 15 dominios compartan un mismo backend que enlaza con los mismos destinos no constituye una estrategia de creación de enlaces orgánica.
  4. Marcar los dominios registrados en NiceNIC en los resultados de búsqueda de criptomonedas para un control más exhaustivo.
  5. Crear una vía rápida para el spam en DuckDuckGo. DDG hereda todas las vulnerabilidades de Bing, pero no cuenta con un mecanismo independiente para denunciar el spam.

A NiceNIC International Group Co., Limited:

26 dominios de phishing. Un cliente. Registrados en bloque a lo largo de 18 meses. No se ha tomado ninguna medida por abuso. Esto ya está documentado públicamente. Referencia: Cuando las denuncias de abusos no tienen ningún resultado y NiceNIC: Facilitador sistémico.

A Cloudflare:

Los 26 dominios utilizan el DNS y el proxy de Cloudflare. Estos dominios alojan programas de vaciado de monederos y de recolección de frases de semillas a través de la infraestructura de Cloudflare.

Parte II: Conclusión

Esto no es spam oportunista. Se trata de un campaña de 18 meses de duración, gestionada de forma profesional por un único operador quien ha descubierto que el algoritmo de posicionamiento de Bing puede burlarse con un dominio de 2 dólares y una etiqueta de título copiada. Actualmente, siete sitios web de phishing ocupan el primer puesto en Bing — por encima de las plataformas legítimas de las que se hacen pasar.

La infraestructura de ocultación que hemos documentado —15 sitios web idénticos con bases de datos compartidas, ocultación de contenido mediante CSS y redireccionamientos de reserva mediante JavaScript— constituye una herramienta diseñada específicamente para manipular los motores de búsqueda a gran escala.

Google bloquea los 26 dominios. Bing sitúa a 7 de ellos en el primer puesto. Existe una solución técnica. Las pruebas son públicas. Los dominios están documentados. Se ha identificado al registrador. La pregunta sigue siendo: ¿se hará algo al respecto?