El verdadero enemigo no es el estafador, sino el registrador que cobra sus cheques.
El estafador es un eslabón insignificante y prescindible en una economía de la desesperación. El registrador que acepta su criptomoneda con una sonrisa —y la ICANN, que no le hace rendir cuentas por ello— es el problema.

Seamos totalmente sinceros sobre algo que al sector de la lucha contra el fraude no le gusta decir en voz alta: la mayoría de los estafadores no son genios del crimen. No son sofisticados. La mayoría de ellos apenas son competentes.
Deja de perseguir a los soldados rasos
Llevamos años rastreando a los autores de amenazas. Observamos cómo van mutando de una estafa a otra: hoy son operadores de programas de robo de datos, mañana desarrolladores de programas de vaciado de cuentas y el próximo trimestre, tiendas de «carding». Observamos cómo trasladan sus identidades falsas y su infraestructura: este mes a Suiza, el siguiente a Turquía. No se ocultan bien. Dejan rastros que podría seguir hasta un analista novato. La mayoría de ellos acabaron en este «negocio» por una sencilla razón: no tenían otra salida y no eran lo bastante inteligentes para dedicarse a nada legítimo.
Entonces, ¿por qué el problema sigue agravándose? Porque el número de personas malintencionadas es enorme, y perseguirlas una por una no tiene sentido desde el punto de vista matemático.
Fíjate en nuestra propia plataforma de inteligencia de Telegram. Solo en nuestra base de datos hay casi 130 mil actores maliciosos, y eso es solo una base de datos.

Si a esto le sumamos los miles más identificados en investigaciones anteriores por otros equipos de investigación, el panorama queda claro: no se puede acabar con una población de este tamaño solo mediante detenciones. Si se detiene a un actor, a un grupo —tras meses de trámites legales, pesadillas con la jurisdicción transfronteriza y un volumen de casos que rara vez interesa a las fuerzas del orden—, esa misma semana surgen diez sustitutos. El estafador individual es un eslabón barato y sustituible.
Las cuentas solo cambian cuando se modifican los factores económicos. Mientras las estafas sigan siendo baratas —dominios baratos, registradores que no hacen preguntas, pagos en criptomonedas sin verificación alguna—, seguirá habiendo muchas. La única estrategia que funciona a gran escala es encarecer las estafas. Y eso nos lleva directamente a quienes actualmente las hacen baratas:
Las cifras indican que se trata de una crisis. El sector finge que se debe al clima.
Esta no es nuestra opinión. Esta es la situación real de Internet, tal y como está documentada:
$16B lost, +33% YoY
El IC3 del FBI recibido 859 532 reclamaciones en 2024, con pérdidas declaradas que superan los $16 billion — lo que supone un aumento del 33 % con respecto a 2023 — y el delito cibernético más frecuente por número de denuncias fue el phishing o la suplantación de identidad. Casi 150 000 denuncias se referían a activos digitales, lo que supone un total de $9.3 billion en pérdidas, lo que supone un aumento del 66 % con respecto al año anterior.
El phishing ha aumentado un 180 % desde 2021
El estudio anual de Interisle Consulting, tras analizar casi cuatro millones de denuncias de phishing entre mayo de 2024 y abril de 2025, reveló que las denuncias de phishing alcanzaron casi dos millones de ataques — lo que supone un aumento de más del 180 % desde 2021. El mismo informe destaca la facilidad con la que los delincuentes se aprovechan de políticas sectoriales y prácticas empresariales poco exigentes para adquirir nombres de dominio.
Vuelve a leer esa última línea. Los principales estudios independientes en este ámbito dicen exactamente lo mismo que nosotros: el factor determinante es la práctica permisiva del sector. No el ingenio de los estafadores. La permisividad. Y la concentración lo demuestra: Interisle descubrió que, en una campaña, una muestra de 37 000 nombres de dominio relacionados con la estafa de peajes impagados mostraba El 65 % se registró a través de un único registrador chino.
La economía de las estafas no se distribuye de forma aleatoria por Internet. Se concentra en torno a determinados registradores, ya que los estafadores buscan que se guarde silencio.
Los registradores no son neutrales. Son participantes a sueldo.
Existe la cómoda idea de que los registradores son una «infraestructura neutral»: servicios pasivos que no tienen ningún interés en lo que ocurre en los dominios que venden.
Esto es mentira. Un registrador es una entidad con ánimo de lucro que obtiene ingresos directamente de cada dominio de phishing que se niega a suspender. Cada denuncia de abuso ignorada supone ingresos asegurados. Cada respuesta del tipo «no podemos juzgar el contenido» es una decisión empresarial disfrazada de postura jurídica.
Los estafadores no eligen un registrador por su página de precios o por su diseño. Eligen al registrador que no haga preguntas, que no suspenda dominios, que acepte criptomonedas sin verificación y que haga la vista gorda ante las denuncias de abuso. Eso es un mercado. Eso es un producto. Y los propios datos del sector revelan quién lo vende. Según Conclusiones de Interisle, los cinco principales registradores de gTLD por volumen bruto de phishing fueron NameSilo, GoDaddy, GMO (Onamae), PublicDomainRegistry y NameCheap; si se normalizan por dominios gestionados, los más utilizados indebidamente fueron NiceNIC, URL Solutions, Aceville, WebNic y OwnRegistrar — NiceNIC ha constatado que el 45 % de su cartera de gTLD ha sido objeto de denuncias por phishing.
¿Quién regula a los registradores? Técnicamente, la ICANN. En la práctica, nadie.
Por encima de los registradores está la ICANN. Por encima de la ICANN no hay nadie.

Acuerdo de acreditación de registradores de la ICANN de 2013, Apartado 3.18, obliga contractualmente a todos los registradores acreditados a disponer de un punto de contacto para casos de abuso y a adoptar medidas razonables y rápidas para investigar y responder adecuadamente a las denuncias de abuso. Sobre el papel, se trata de una obligación exigible.
¿En la práctica? Por lo que vemos a diario en primera línea, calculamos que un solo registrador que facilite los abusos incumple, como mínimo, el punto 3.18. ~1.000 veces al año — Denuncias ignoradas, «investigaciones» fantasma, dominios de phishing que permanecen activos durante semanas mientras las víctimas siguen sufriendo. Si extrapolamos esto a todo el sector a lo largo de cinco años, es plausible que el recuento real de fallos de la clase 3.18 alcance el millón de denuncias ignoradas o gestionadas de forma inadecuada. Nadie conoce la cifra real, porque nadie está obligado a contabilizarlas. Esa es la cuestión.
¿Y el conjunto de herramientas de aplicación de la ICANN? En la práctica, un único «botón nuclear»: revocar la acreditación. Sin multas. Sin sanciones progresivas. Sin indemnización a las víctimas. Y ese botón se pulsa casi exclusivamente contra registradores que ya están «muertos»: sociedades fantasma que dejaron de pagar las cuotas. ¿Por qué? Porque la ICANN se financia con las cuotas de los mismos registradores a los que «regula». Eliminar a un registrador grande, rentable y con un alto índice de abusos significa privarse de sus propios ingresos. Es estructuralmente incapaz de querer hacer cumplir la normativa.
La ICANN asumió nominalmente el papel de organismo regulador, precisamente para preservar su independencia y mantener a los gobiernos al margen. El resultado: una norma que no asusta a ningún registrador. Sí, hay precedentes: notificaciones de incumplimiento y advertencias (El caso de WebNIC (entre otras cosas). Fíjate en las consecuencias. Una carta redactada en términos severos frente a un modelo de negocio que genera millones. Un régimen normativo en el que el cumplimiento es opcional no es una normativa. Es una farsa.
Caso práctico: NameSilo — «el de más rápido crecimiento», el que más rápido ignora
NameSilo es una empresa que cotiza en bolsa. Presenta informes a la bolsa en los que figura con ingresos millonarios y se promociona como uno de los registradores de dominios de más rápido crecimiento del mundo. Además, según un estudio independiente citado anteriormente, ocupa el primer puesto en las clasificaciones de volumen bruto de phishing. ¿Coincidencia? Esto es lo que presenciamos personalmente:
Veinte informes y, a continuación, «ningún informe anterior»
Hemos denunciado una página web de phishing a NameSilo. No solo una vez — al menos 20 informes documentados en ese dominio concreto, con pruebas, capturas de pantalla, escaneos y análisis. No pasó nada hasta que dimos a conocer el caso públicamente en Twitter/X. La respuesta pública de NameSilo: que «no habían recibido ninguna denuncia previa». Un registrador que cotiza en bolsa, ante pruebas documentadas de veinte denuncias de abuso ignoradas, afirmó públicamente que dichas denuncias no existían. O bien se trata de un sistema de gestión de denuncias defectuoso que se niegan a arreglar, o bien es una mentira pública. Ninguna de las dos opciones es aceptable, y ambas son rentables.
¿Cuántas solicitudes de protección de los usuarios estadounidenses ignoró NameSilo directamente para evitar perder ingresos? Lo responderemos basándonos en nuestra experiencia: no solo muchas, sino que creemos que la mayoría. Y no hay ningún tipo de rendición de cuentas al respecto.
Y aún hay más. NameSilo ha declarado públicamente que ayudó a un cliente —del que, según ellos, no habían recibido ninguna queja— a eliminar las detecciones de VirusTotal. Sigue el razonamiento:
- Solicitud de suspensión de un dominio de phishing: «No estamos capacitados para determinar qué es malicioso».
- Ayudar a un cliente que paga: de repente, con autoridad para anular los veredictos de detección de los proveedores de seguridad de la lista Fortune 500.
No puedes esgrimir la incompetencia técnica como escudo y la autoridad técnica como servicio. Elige una de las dos. Esto no es una casualidad ni un caso aislado. Es una pauta: amar el dinero, no hacer nada, no rendir cuentas a nadie.
El valor real de una acreditación de la ICANN: Trustname, en este momento
El conflicto de intereses es estructural y sencillo: Un organismo regulador nunca debería obtener sus ingresos directamente de las entidades a las que regula. La ICANN sí lo hace —y entendemos que sus aproximadamente 400 empleados están, sin duda, ocupados con asuntos más urgentes que la seguridad de los usuarios a quienes estos dominios están diseñados para vaciarles la cartera.
Esto es lo que vale esa acreditación en la práctica, tal y como está hoy en día. Piensa en lo siguiente: Nombre del fideicomiso (Fewmoretaps OÜ) — un registrador con el que documentado con detalle. Sobre el papel, es una empresa estonia; en la práctica, se gestiona desde Bielorrusia por un único propietario y gestor: su accionista al 100 %, director ejecutivo y único empleado. Ingresos declarados en 2024: 120 €. No ha empezado a vender dominios de forma seria hasta este año. Y su acreditación de la ICANN (IANA n.º 4318) es sigue en activo a pesar de que la empresa se encuentra en proceso de liquidación. De los aproximadamente 7.641 dominios que gestiona, El 86 % de los que están activos se han confirmado como maliciosos.
A esa empresa es a la que la ICANN ha otorgado un sello de confianza. Y esta no es nuestra valoración de cómo gestiona los abusos, sino la de Trustname. su propia política sobre el abuso publicada:
«Según las directrices de la ICANN, en la mayoría de los casos, para tomar medidas contra un dominio, es necesario presentar al registrador una orden judicial válida o contar con el consentimiento del titular del dominio».
«Los informes recibidos exclusivamente a través de sistemas automatizados de análisis de amenazas se tratan como pistas de investigación, no como pruebas concluyentes… Trustname también puede solicitar confirmación de que el presunto abuso sigue activo en el momento de la revisión».
«Las denuncias de abuso enviadas desde servicios de correo electrónico gratuitos o anónimos (por ejemplo, @gmail.com, @proton.me) están sujetas a una verificación adicional».
«No determinamos la legalidad del contenido de un sitio web y solo actuaremos siguiendo las instrucciones de las fuerzas del orden o en casos evidentes de incumplimiento de nuestras condiciones».
Si lo analizas como un sistema, el diseño es inconfundible: un válido resolución judicial para meterse en un ámbito; las detecciones reales se rebajan a meras «pistas»; la exigencia de que vuelvas a confirmar la estafa es sigo vivo en el momento de la revisión —después de haber dado largas al asunto el tiempo suficiente—; una «verificación» adicional para cualquiera que envíe denuncias desde Gmail o Proton; y una negativa generalizada a evaluar el contenido, redirigiéndose cortésmente a «ponte en contacto con tu proveedor de alojamiento». Si a eso le sumas los escudos de privacidad propiedad de los registradores, que aceptan criptomonedas y descartan el correo postal, ya no tienes un proceso de gestión de abusos. Lo que tienes es a prueba de balas gracias al papeleo — y figura en el membrete de un registrador acreditado por la ICANN.
Esto incrimina directamente a la ICANN. Una entidad dirigida desde Bielorrusia, compuesta por una sola persona y con unos ingresos de 120 €, que se encuentra en proceso de liquidación, cuenta con una acreditación vigente y publica abiertamente una política diseñada para no suspender nunca nada. La herramienta más contundente con la que cuenta la ICANN para responder es una carta; la respuesta que hemos visto ante este tipo de cartas es una actualización de los Términos, no una suspensión. Un organismo regulador cuya sanción máxima sea una carta —a la que se responde con una modificación de los Términos— no es un organismo regulador. Mientras tanto, cada día, hay personas de carne y hueso que pierden dinero en .com y otros dominios que pasan por operadores como este mientras se tramitan los trámites burocráticos. Tres órdenes judiciales para cerrar una página de phishing activa no constituyen un proceso debido; es una farsa, y es una farsa que la ICANN respalda al acreditar a los operadores que lo exigen.
Trustname no es un caso aislado; es lo que ocurre cuando la acreditación es barata y no está sujeta a rendición de cuentas. Varias jurisdicciones de la UE —entre ellas Estonia (donde se encuentra una larga lista de este tipo de sociedades ficticias, Keitaro (incluido), y el Reino Unido, con su proceso de constitución de sociedades ultrabarato, venden el acceso a sociedades y servicios a un precio que elimina cualquier control real. El resultado es un entorno de desconfianza inherente, incluso para las empresas legítimas, porque nadie comprueba nada y nadie rinde cuentas. También nos hemos topado con variantes de este mismo obstáculo judicial con ciertos operadores con código de país; de ellos informaremos por separado.
// The regulator that isn’t
Lo que debe tener un regulador eficaz
- Multas progresivas que se ajustan al daño causado
- Penas que no llegan a ser la pena de muerte
- Indemnización destinada a las víctimas
- Auditorías independientes — no autodeclaraciones—
- Financiación independiente de la regulada
- Capacidad para detener un daño en curso en cuestión de horas
Lo que tiene la ICANN
- Una sanción: una carta en términos muy enérgicos
- Solo para cerrar: se utiliza principalmente en shells que ya están inactivos
- Cero multas. Cero indemnizaciones.
- Cumplimiento del sistema de confianza y autodeclaración
- Financiado con las tasas que pagan las entidades de registro a las que «regula»
- Las víctimas de maltrato permanecen con vida durante semanas a pesar de las exigencias de la «orden judicial»
La ICANN no ha fracasado a la hora de regular el mercado de los dominios.
Nunca se construyó con ese fin.
La solución es obvia: multas y responsabilidad civil
No estamos pidiendo poderes de censura. Lo que pedimos es lo que ya tienen todos los demás sectores: consecuencias económicas por negligencia contractual.
Multas progresivas
- ¿Un registrador ignora tres denuncias de abuso fundamentadas —con pruebas, escaneos y análisis adjuntos— sobre el mismo dominio malicioso? Sanción automática.
Responsabilidad frente a las víctimas
- Multas que deben abonarse a las víctimas o al Estado en el que se cometió el delito.
- Si un usuario estadounidense sufre una pérdida de fondos a causa de un dominio de phishing sobre el que se había advertido al registrador y este no tomó ninguna medida, el registrador comparte la responsabilidad por haber incumplido su obligación explícita de mitigar el daño.
Transparencia pública
- Transparencia obligatoria en la información sobre denuncias de abusos —denuncias recibidas, tiempos de respuesta, medidas adoptadas— publicada trimestralmente y sujeta a auditoría.
- NameSilo nunca podría afirmar que «no hay informes previos» en relación con un registro público.
Auditorías independientes
- Auditorías independientes sobre la gestión de los casos de abuso como condición para la renovación de la acreditación, y no una autodeclaración.
Los registradores se quejarán de que «no se les puede exigir que determinen qué es el phishing». Pregunta de respuesta: ¿sois capaces de cobrar el dinero y firmar las obligaciones de acreditación, pero incapaces de cumplirlas? Si un registrador realmente no puede evaluar una denuncia de abuso acompañada de pruebas, no tiene por qué mantener una acreditación que, por contrato, exige precisamente eso.
Qué debería sustituirlo: un registro de abusos abierto y en tiempo real
No estamos proponiendo una segunda ICANN; no la necesitamos. Dos de los sistemas fundamentales de Internet ya nos dan una idea de cuál es la respuesta: Transparencia de los certificados TLS/SSL y WHOIS — registros públicos, abiertos y consultables. La gestión de los abusos debería funcionar de la misma manera: un registro público y transparente de todas las denuncias de abuso que reciba una entidad de registro y de las medidas concretas que haya adoptado al respecto — con marca de tiempo, verificables e imposibles de negar a posteriori.
Con ese marco de referencia, la mayor parte del teatro actual se desmorona:
- No existe ninguna orden judicial de un tribunal extranjero para detener una amenaza inminente. Una página de phishing que vacía carteras supone un daño inmediato; bloquearla no debería requerir una resolución judicial de algún tribunal situado en una isla de una zona extraterritorial. Las pruebas figuran en el informe, y el registro público muestra si el registrador tomó medidas al respecto.
- La clasificación de pacientes puede automatizarse. Los registradores insisten en que se ven desbordados por «ataques» e informes basura, que es precisamente el tipo de filtrado que un Capa de IA funciona bien: filtra el ruido, saca a la luz los casos fundamentados y registra cada decisión. Un sistema sencillo y honesto que se interpusiera en el proceso de tramitación de los abusos ya funcionaría mejor que el actual «no proceso» humano. Para eso no hace falta un número dos de la ICANN.
- La excusa ya no es válida. Un registrador cobra por cada dominio que vende; gestionar los abusos es la otra mitad de esa transacción, no un servicio de cortesía. La excusa habitual de NameSilo de «no estamos cualificados» es una decisión empresarial, no una limitación técnica; y una empresa que realmente no sea capaz de distinguir un kit de phishing del tráfico legítimo debería dedicarse a sus otros negocios, en lugar de financiar, por defecto, operaciones fraudulentas y de phishing.
- Se acabó eso de «nunca recibimos ningún informe». WebNic y NiceNic nos respondieron con mensajes automáticos en los que exigían una captura de pantalla que ya se había adjuntado al informe; NameSilo declaró públicamente que «nunca había habido ni una sola queja». Ninguna de esas afirmaciones resiste el contraste con un registro público con marca de tiempo.
Y el libro mayor extrae la única conclusión que importa ejecutable. Cuando una víctima pierde dinero a causa de un dominio días después de Si ya existía un informe fundamentado en el expediente —y los registros públicos demuestran que el registrador lo ocultó—, eso ya no es una lamentable zona gris. Se trata de un fallo documentado con fecha y hora, y el registrador debería asumir la responsabilidad económica por ese incidente concreto.
Ese es todo el mecanismo. En el momento en que ignorar una denuncia sale más caro que actuar al respecto, se acaba la excusa de «no estamos cualificados», los servicios de lucha contra los abusos encuentran de repente presupuesto y personal, y los estafadores que pagan por el silencio descubren que ya no queda ninguno que comprar —y abandonan discretamente los dominios con los que contaban—.
La transparencia es la solución. No puedes ignorar discretamente un informe que todo el mundo puede ver que has recibido.
En resumen
$16 billion in reported losses in a single year. Phishing up 180% since 2021. 130,000 malicious actors in one monitoring dataset alone. And the entire pipeline still starts the same way: a cheap domain, sold by a registrar that will never answer for its silence.
El estafador es el síntoma: un eslabón prescindible y, en su mayoría, de poca inteligencia en una economía marcada por la desesperación. El registrador que se queda con sus criptomonedas con una sonrisa, ignora veinte denuncias por abuso y luego miente públicamente al respecto: esa es la enfermedad. Y la «regulación» meramente decorativa de la ICANN es el sistema inmunológico que decidió no aparecer.
Las estafas seguirán siendo generalizadas mientras sigan siendo baratas. Y seguirán siendo baratas mientras los registradores guarden silencio —y no paguen nada por su silencio—.
Fuentes y referencias
- Centro de Denuncias de Delitos en Internet (IC3) del FBI — Informe sobre delitos en Internet de 2024 (859 532 reclamaciones; 16 600 millones de dólares en pérdidas declaradas; el phishing y el spoofing ocupan el primer puesto en cuanto a volumen de reclamaciones).
- Interisle Consulting Group — Panorama del phishing en 2025 (≈2 millones de ataques de phishing; un aumento del 180 % desde 2021; concentración de registradores y dominios de primer nivel; muestra de estafas relacionadas con peajes que abarca 37 000 dominios).
- ICANN — Acuerdo de acreditación de registradores de 2013, §3.18 (punto de contacto para casos de maltrato; obligación de adoptar medidas razonables y rápidas para investigar y dar respuesta a los casos de maltrato).
- Cumplimiento contractual de la ICANN — Notificación de una filtración de datos a Web Commerce Communications (WebNic), 29 de julio de 2025.
Las cifras proceden de las fuentes primarias mencionadas anteriormente; la interpretación y los comentarios son de los autores.
Identifica al facilitador. Valora el silencio.
— El equipo de PhishDestroy — Una iniciativa independiente de investigación contra el phishing