Anatomy of a Takedown
Volver a las noticias
CIBERDEFENSA

La anatomía de una operación de desmantelamiento: cómo PhishDestroy combate la ciberdelincuencia

Desde una iniciativa incipiente en 2019 hasta convertirse en una potencia capaz de neutralizar más de 400 000 dominios maliciosos, la trayectoria de PhishDestroy pone de manifiesto el poder de la comunidad, la tecnología y una reputación ganada a pulso.

4 minutos de lectura· Actualizado Marzo de 2026· PhishDestroy Intelligence
Takedown anatomy — detection scanner, biometric verification, registrar gavel, DNS extraction, domain tombstone
Artículo complementario en Medium: Una guerra directa contra las operaciones de phishing

En la implacable lucha contra el fraude en línea, PhishDestroy se ha convertido en una fuerza clave, pasando de ser una iniciativa específica en 2019 a una operación de gran eficacia. Nuestra misión es clara: desmantelar las infraestructuras de phishing y estafas, protegiendo a los usuarios de todo el mundo. No se trata solo de bloquear enlaces maliciosos, sino de comprender la estructura de un ciberataque y desarticularlo desde su origen.

Nuestra evolución: de semanas a minutos

How one phishing link triggers a full takedown chain
Cómo un enlace de phishing desencadena una cadena de caídas en cadena

Cuando PhishDestroy dio sus primeros pasos, eliminar un dominio malicioso podía llevar semanas. Con el paso de los años, hemos crecido, hemos forjado alianzas sólidas y nos hemos ganado la confianza de figuras clave en el ámbito de la ciberseguridad. Siempre nos hemos centrado exclusivamente en el phishing, lo que nos ha permitido desarrollar conocimientos especializados y mantener una tasa mínima de falsos positivos.

Hoy en día, lo que antes llevaba semanas ahora se puede reducir a unos pocos minutos. Esta aceleración es una prueba de nuestra innovación constante y de la sólida reputación que nos hemos labrado.

El proceso de retirada

1. Detección y verificación rápidas

La detección se lleva a cabo a través de las notificaciones de la comunidad que nos llegan por medio de nuestro Bot de Telegram, la supervisión automatizada y los canales de información sobre amenazas. Nuestros equipos verifican rápidamente las amenazas para garantizar una tasa mínima de falsos positivos.

2. Análisis en profundidad y recopilación de pruebas

Nuestros analistas examinan a fondo la amenaza, identificando sus características, objetivos y métodos. Esto implica el análisis de la carga útil, la identificación de la infraestructura y la evaluación del impacto en las víctimas. Cada prueba se documenta meticulosamente.

3. Coordinación y actuación estratégicas

Aquí es donde entra en juego nuestra reputación. Hemos establecido sólidas relaciones con cientos de proveedores de alojamiento web, registradores de dominios y organismos encargados de hacer cumplir la ley. Cuando PhishDestroy envía una denuncia, Más de 50 sistemas reconocen nuestra solicitud al instante. Si un sitio web denunciado resulta ser efectivamente una estafa de phishing, puede ser cerrado en cuestión de minutos.

4. Liquidación y supervisión

El objetivo final es la eliminación total. Una vez que se inicia el proceso de retirada, supervisamos el estado para asegurarnos de que el sitio web está fuera de línea y permanece así. Nuestros esfuerzos han dado como resultado la interrupción satisfactoria de más de 500 000 dominios maliciosos desde 2019, con una verificación continua tras la retirada para detectar en cuestión de horas las infraestructuras que vuelven a aparecer.

Metodología operativa: automatización, precisión, escala

Nuestro modelo combina informes de la comunidad con sistemas de detección automática y análisis de precisión. El proceso está diseñado para adaptarse desde un único informe hasta miles de retiradas al día sin perder calidad.

  • Analizadores sintácticos personalizados analizar continuamente los resultados de búsqueda SEO, los anuncios patrocinados y Google Ads en busca de indicios de phishing, detectando las amenazas en el momento en que aparece el primer anuncio de pago.
  • Las amenazas detectadas se envían automáticamente a Más de 50 fabricantes de antivirus y fuentes de información sobre amenazas, lo que permite maximizar la cobertura de bloqueos a nivel mundial en los primeros minutos tras la detección.
  • Mantenemos un una tasa de falsos positivos inferior al 0,5 %, con más de 100 000 informes validados — lo que demuestra que nuestros sistemas no solo son rápidos, sino también muy precisos.
  • Colaboradores verificados que envían Más de 100 informes precisos se conceden «de confianza» estatus, lo que permite realizar envíos directos sin moderación y reduce drásticamente el tiempo de retirada de contenidos para los denunciantes habituales.
  • En directo contador de daños calcula las pérdidas económicas causadas a los estafadores, basándose en el valor medio de los dominios y los costes de promoción (aproximadamente 15 dólares por dominio en el caso de las estafas típicas relacionadas con las criptomonedas).

Fuentes de detección: dónde surgen las amenazas

Las infraestructuras de phishing rara vez se ocultan: se anuncian abiertamente. Recopilamos datos de:

  • Informes del bot de Telegram de nuestra comunidad a través de @PhishDestroy_bot — Admisión pública primaria.
  • Analizadores de SEO y anuncios de pago — Google Ads, Bing, Yandex; las palabras clave patrocinadas relacionadas con monederos de criptomonedas, plataformas de intercambio y puentes se supervisan de forma continua.
  • Fuentes de inteligencia sobre amenazas que nos han facilitado nuestros socios e investigadores.
  • Redes trampa y tokens «canary» de frases de semillas que nos avisan cuando los estafadores intentan utilizar datos robados.
  • WHOIS y transparencia de certificados vigilancia de los dominios similares recién registrados que tienen como objetivo marcas protegidas.

Conservación de pruebas — Registro digital permanente

Las detenciones son solo el primer paso. La conservación de las pruebas es nuestra principal prioridad — ya que un dominio eliminado no sirve de nada a los investigadores si no queda ningún registro.

  • Cada dominio detectado es archivado mediante escáneres públicos (urlscan.io, Wayback Machine y nuestros propios procesos de captura de instantáneas) para recopilar huellas completas de los sitios web: HTML, capturas de pantalla, solicitudes de red y cargas útiles de JavaScript.
  • Cada operación deja un registro digital que es inmune a la eliminación por parte de los atacantes — publicado abiertamente en Lista de elementos a eliminar de GitHub y el Archivo de ScamIntelLogs.
  • Los archivos incluyen paneles de administración de estafadores, exportaciones de chats de Telegram, flujos de pago, registros de víctimas e indicadores de compromiso (IOC), lo que facilita la atribución de responsabilidades y el enjuiciamiento mucho tiempo después del desmantelamiento.
  • Mientras los estafadores borran sus huellas, nosotros las hacemos permanentes.

Aliados y adversarios entre los registradores

La rapidez con la que se retira el contenido depende totalmente de la capacidad de respuesta del registrador y del proveedor de alojamiento. Los datos de nuestros socios muestran una marcada diferencia:

  • Socios receptivos:NameCheapSolo el equipo de atención a casos de abuso, disponible las 24 horas del día, los 7 días de la semana, ha contribuido a eliminar Más de 30 000 dominios maliciosos. GoDaddy, Alojamientos web, Squarespace, y IONOS actuar sistemáticamente en las horas siguientes a la recepción de una denuncia contrastada.
  • Factores que favorecen la persistencia:NiceNic, Cosmotown, NameSilo, y Webnic ignoran sistemáticamente las denuncias de abusos, lo que las convierte, en la práctica, en refugios para las operaciones de los ciberdelincuentes. Consulte nuestra investigación: Cómo NameSilo, Webnic y NiceNic facilitan las estafas a nivel mundial.

Represalias penales: confirmación del impacto

Nuestra eficacia ha provocado una reacción organizada, que consideramos una prueba de nuestro impacto más que de una perturbación:

  • Ataques DDoS contra nuestra infraestructura (mitigado por Cloudflare).
  • Campañas coordinadas de difamación y desprestigio a través de publicaciones de relaciones públicas pagadas (véase cómo los medios de pago distorsionan la ciberseguridad).
  • Notificación masiva de nuestras cuentas en las redes sociales para silenciar las denuncias.
  • Nuestra cuenta de X (Twitter) con Más de 140 000 denuncias de phishing registradas fue suspendido de forma permanente tras las presiones del secretario — véase NameSilo nos ha dejado sin Twitter. El archivo sigue siendo público: Archivo de GitHub.

Los delincuentes intentan borrar sus huellas; nosotros nos aseguramos de que permanezcan para siempre.

Régimen jurídico y coordinación

Somos una colectivo sin ánimo de lucro formado por voluntarios — No somos una empresa, ni una persona jurídica, ni estamos vinculados a ningún gobierno. Todo lo que hacemos es transparente:

  • Todos los informes y las pruebas se publican abiertamente en GitHub, Telegram y Mastodon; nada se oculta ni se almacena de forma privada.
  • En investigaciones de gran envergadura relacionadas con la identificación de los responsables, el rastreo financiero o la cartografía de infraestructuras, nosotros entregar oficialmente el material probatorio completo a las fuerzas del orden o a los equipos CERT.
  • Todas estas transferencias se realizan respetando plenamente la legislación vigente y únicamente cuando se ha verificado la veracidad de la información de inteligencia procesable.
  • We No almacene ningún dato personal de los colaboradores: proteger a los denunciantes frente a represalias y eliminar el riesgo de filtración de datos.

Nuestra función consiste en documentar y desarticular las operaciones maliciosas, para luego prestar apoyo a quienes tienen la autoridad legal para actuar en base a las pruebas.

En cifras

  • Más de 500 000 Dominios de phishing y estafas bloqueados desde 2019.
  • Más de 130 000 amenazas activas seleccionadas en lista de eliminación.
  • Más de 50 Los proveedores de antivirus y las plataformas de inteligencia sobre amenazas reciben nuestros datos.
  • Más de 30 000 dominios eliminados únicamente a través de la colaboración con Namecheap.
  • <0,5 % tasa de falsos positivos en Más de 100 000 informes validados.
  • Más de 140 000 informes archivados tras la suspensión de nuestra cuenta de X.
  • Más de ochocientos ochenta y ocho mil suscriptores de la comunidad en todos los canales.

Cómo puedes ayudar

«La acción colectiva es la mejor defensa. Nuestra trayectoria pone de manifiesto lo que se puede lograr cuando la tecnología, la experiencia y la comunidad se unen contra la ciberdelincuencia».

#CyberDefense#Takedown#Phishing#Community

Comparte este artículo

Investigaciones relacionadas

$0 Takedowns: How We Disrupt Phishing Infrastructure
INVESTIGACIÓN
Desmantelamientos a coste cero: cómo desarticulamos la infraestructura de phishing
Impact Metrics: 500K+ Phishing Threats Neutralized
MÉTRICAS
Cifras de impacto: más de 500 000 amenazas de phishing neutralizadas
NameSilo, Webnic, NiceNic: Registrars Enabling Scams
INVESTIGACIÓN
NameSilo, Webnic, NiceNic: registradores que facilitan las estafas
Aviso de transparencia. PhishDestroy es un proyecto sin ánimo de lucro impulsado por voluntarios. Nuestra investigación puede reflejar un sesgo inherente contra las infraestructuras fraudulentas y los servicios que las facilitan. Animamos a los lectores a que evalúen todo el material de forma crítica e independiente. Lee nuestra declaración de transparencia completa →