Volver a las noticias
Informe de investigación — Secretario judicial

Trustname[.]com: Dentro de un registrador «a prueba de balas», acreditado por la ICANN, que presta servicios a casinos fraudulentos

Un registrador acreditado por la ICANN (IANA n.º 4318) que se promociona como el «registrador independiente de más rápido crecimiento». Las declaraciones fiscales de Estonia indican unos ingresos de 120 €, un empleado, un patrimonio neto negativo y un Aviso de eliminación. Ambos propietarios son bielorrusos. Los dominios de casinos fraudulentos no dejan de aparecer.

14 de abril de 2026 Investigación de PhishDestroy 14 minutos de lectura
Panel de control de investigación de Trustname.com — IANA 4318, ingresos: 120 EUR, estado: en liquidación
Resumen de la investigación: un registrador acreditado por la ICANN que declara unos ingresos de 120 € a pesar de gestionar una plataforma de registro de dominios «full-stack».
120 €
Ingresos declarados en 2024
1
Empleado
-71 000 €
Capital social
6
Casinos fraudulentos / Semana
4318
Identificador de la IANA
Resumen ejecutivo

Trustname.com es gestionado por Fewmoretaps OÜ — una sociedad ficticia estonia con capital social no desembolsado, 120 € en ingresos anuales declarados, un empleado, un patrimonio neto negativo de −71 648 € y un Aviso de eliminación publicada en el Registro Mercantil de Estonia. La empresa se autodenomina, literalmente, una «registrador de dominios a toda prueba» en su propio registro TXT de DNS. Ambos propietarios son ciudadanos bielorrusos. El registrador se está utilizando activamente para registrar casinos de criptomonedas falsos de Elon Musk oculta tras sus propios servidores proxy de privacidad en el extranjero.

La filial de Shell en Estonia: Fewmoretaps OÜ

Fewmoretaps OÜ está inscrita en el Registro Mercantil de Estonia con el número de registro 16354846, IVA EE102702659, con domicilio social virtual en Roseni tn 13, Tallin. Constituida el 1 de noviembre de 2021 con un capital social de 2.500 €, que fue nunca ha pagado («Constituida sin aportar capital» — Informe Anual de 2022).

Estructura corporativa de Fewmoretaps OU: Trustname.com, harakiri.org y whoispps.com, gestionados por un único operador bielorruso
Cadena de propiedad: un operador bielorruso controla la sociedad pantalla estonia, los dos servidores proxy «independientes» dedicados a la privacidad y la empresa de marketing que actúa como fachada. fewmoretaps.com.

Cadena de titularidad

Fundador (2021-2023)
Vitali Tsyvinski
Único miembro del consejo de administración y accionista
N.º de identificación personal 39403090187
Bielorrusia («Valgevene»)
Informe anual de 2022 firmado el 13 de enero de 2023
Año sin actividad
Propietario actual (desde mayo de 2023)
Kiryl Nestsiarovich
«Kir N.» — Director general (trustname.com/about)
Fecha de nacimiento: 09/09/1993
Bielorrusia
+375 29 2964411 (móvil de MTS)
fewmoretaps@gmail.com
Accionista al 100 %Nombrado el 23 de mayo de 2023
Entidad jurídica
Fewmoretaps OÜ
Nombre comercial: Trustname.com
N.º de registro 16354846 · N.º de IVA EE102702659
Roseni, n.º 13, Tallin 10111
Constituida el 1 de noviembre de 2021
Se ha publicado un aviso de supresión
2.500 € de capital no desembolsado

Datos financieros: 120 € al año y pérdidas crecientes

Los informes anuales obligatorios de Estonia son públicos. Las cifras no dejan lugar a dudas:

Reclamaciones de Trustname frente a declaraciones fiscales estonias: millones de clientes frente a 120 EUR de ingresos
Afirmaciones publicitarias frente a datos oficiales: «Cuenta con la confianza de millones de personas» y «Clientes de la lista Fortune 500», por un lado — 120 € de ingresos, 1 empleado, liquidación por otro lado.

Cuadro financiero (EUR)

Métrico202220232024
Ingresos0 €0 €120 €
Pérdida neta0−20 711−50 937
Gastos de personal08,32424,084
Pasivos a largo plazo035,370175,310
Capital social0−20 711−71 648
Empleados (equivalentes a tiempo completo)011
Las cuentas no cuadran

La cuota de acreditación de la ICANN por sí sola asciende a ~4.000 dólares al año. AWS (3 brokers de Kafka + EKS + S3) se ejecuta $500–2,000/month. Los dominios al por mayor de OpenSRS cuestan entre 8 y 12 € por dominio .com. A esto hay que añadir las tarifas de Vercel, Freshdesk, Brevo y Stripe. Costes operativos mínimos: entre 35 000 y 50 000 € al año. Ingresos declarados: 120 €. Este déficit se financia con 175 310 € en concepto de «pasivos a largo plazo» procedentes de fuentes no reveladas.

«A prueba de balas»: sus propias palabras

No se trata de una estrategia de marketing de PhishDestroy, sino que aparece literalmente en el propio registro TXT del DNS de Trustname:

«Trustname cuenta con la acreditación de la ICANN y es el registrador de dominios independiente más fiable del mundo para particulares y empresas preocupadas por la privacidad que operan en sectores sensibles. Cuenta con nosotros para ser tu registrador de dominios a toda prueba. «Somos de confianza, somos fiables y tenemos precios asequibles».

Cualquier persona que disponga de un cliente DNS puede comprobarlo: dig TXT trustname.com. En el sector del alojamiento web y los registradores de dominios, «a prueba de balas» es un término técnico: se refiere sin ambigüedad a los servicios que se resisten a las solicitudes de retirada por abuso y prestan servicio a los operadores de contenidos ilícitos.

La red de casinos fraudulentos

En un una sola semana (Del 8 al 13 de abril de 2026), se registraron seis dominios fraudulentos de casinos de criptomonedas a través de Trustname, todos ellos ocultos tras los propios proxies de privacidad de Trustname:

Seis dominios de casinos fraudulentos que comparten el panel de administración en ruso de gambler-partners.is
Los seis casinos comparten plantillas de Next.js idénticas, hash de fragmentos de Webpack y un backend de administración común en ruso en gambler-partners.is.

Dominios confirmados como fraudulentos (todos registrados a través de IANA n.º 4318)

noawin.com

2026-04-12
Casino de criptomonedas

Representante: Perfect Privacy LLC (KN)

henofex.com

2026-04-09
Casino «Elon Musk»

Proxy: Privacidad WHOIS (FL)

jopexplay.com

2026-04-10
Bloqueado por Cloudflare

Proxy: Privacidad WHOIS (FL)

bezowin159.pro

2026-04-13
Casino de criptomonedas

Proxy: Privacidad WHOIS (FL)

noswin152.pro

2026-04-08
Casino de criptomonedas

Proxy: Privacidad WHOIS (FL)

bazowin781.pro

2026-04-08
Casino de criptomonedas

Proxy: Privacidad WHOIS (FL)

Pruebas compartidas del backend

Análisis de JavaScript de noawin.com llamadas a la API reveladas a https://gambler-partners.is/api, /api/slots, /payser, y CDN de imágenes https://pictures-cdn.is/. El gambler-partners.is La propia página web muestra un panel de administración en ruso titulado «Gambler | Inicio» (Gambler | Inicio) con descripción «Panel de gestión del tráfico» (Panel de gestión del tráfico). El mismo código fuente, el mismo backend, la misma CDN: se trata de una red organizada de casinos fraudulentos.

Proxies de privacidad en el extranjero — Propiedad del registrador

Trustname no utiliza servicios de privacidad de terceros independientes. Cuenta con los suyos propios:

Mapa mundial en el que se muestran las conexiones de la empresa ficticia de Estonia, el servidor proxy de San Cristóbal, el servidor proxy de Florida y el operador de Bielorrusia
Tallin (shell) → Charlestown, Nevis (Perfect Privacy LLC) → Orlando, Florida (WHOIS Privacy LLC) → Minsk (operadores). Todos los nodos están controlados por la misma persona.

harakiri.org

Perfect Privacy, S.L.San Cristóbal y NievesBTC / LTC / XMR / ZEC / ETHRegistrado a través de IANA 4318

whoispps.com

WHOIS Privacy Protection LLCOrlando, FL 32837«El correo postal se desecha»Registrado a través de IANA 4318
La estructura circular de gestión de errores

Cuando se recibe una denuncia por abuso relacionada con un dominio protegido por la política de privacidad, Trustname la recibe y la reenvía a… sí misma. La whoispps.com La página web afirma abiertamente que «El correo postal se desecha». Esto no es privacidad, es un blanqueo de fondos procedentes de delitos una estructura diseñada para garantizar que las quejas no lleguen a ninguna parte.

¿A dónde va a parar el dinero?

Los pagos a través de Stripe y Monero que llegan a Fewmoretaps OU, con solo 120 EUR declarados a la Agencia Tributaria de Estonia
Formas de pago: Stripe + BTC/ETH/LTC/XMR/ZEC. Pagos declarados a la Agencia Tributaria de Estonia: 120 € al año. El déficit se ha cubierto con 175 310 € en concepto de «préstamos a largo plazo» procedentes de fuentes no reveladas.

La plataforma Trustname acepta pagos con tarjeta a través de Stripe (/v2/users/billing/stripe/payment-methods) y criptomoneda a través de las siguientes direcciones de monedero incluidas en el punto final de notificación de la API autenticada:

ETH:  0xdee6582dc53fa56180311393018121c6f1e8bd7c
LTC:  MEREvHtzqAUTJ1XvEevmci8UqMnDvfe2ri
ZEC:  t1d19KevpcXpesr9XA9UUyMW9XGYVDxkK9S
XMR:  8B5N29BocrTjkRCeGCARnkhKgBeHBhg4oH7ay4RfXfnL7RqBdyiuL4k6iN4GVUVxt1EQJvZRqLg8n4qgCNWmYHQQDZmfytM

La aceptación de Monero (XMR) — una criptomoneda diseñada específicamente para ser imposible de rastrear — junto con un procesador regulado que exige el cumplimiento de los requisitos de KYC (Stripe), al tiempo que declara 120 € de ingresos anuales para las autoridades fiscales estonias, plantea una paradoja en materia de cumplimiento normativo. Un solo registro de dominio .com a precio de mayorista (unos 13 dólares) ya supera los ingresos declarados de todo el año.

Pregunta sobre la lucha contra el blanqueo de capitales en Estonia

La legislación estonia (Ley de prevención del blanqueo de capitales y la financiación del terrorismo) exige que los proveedores de servicios de activos virtuales cuenten con una licencia expedida por la Unidad de Inteligencia Financiera. ¿Es Fewmoretaps OÜ la titular de esta licencia? De lo contrario, el mero hecho de aceptar pagos en criptomonedas por los servicios prestados podría constituir en sí mismo una infracción normativa.

Declaraciones publicitarias frente a declaraciones fiscales

Lo que les dicen a los clientes

  • «El registrador de dominios independiente con mayor crecimiento en 2025»
  • «Cuenta con la confianza de millones de propietarios de dominios»
  • «Cuenta con la confianza de empresas de la lista Fortune 500»
  • «Un equipo de más de 35 personas repartidas por distintos lugares del mundo»
  • Oficinas con sede en Londres, Beverly Hills y Melbourne
  • Clientes: McDonald’s, Vodafone, Adidas, Tata, Yahoo, BCG (muro de logotipos de fewmoretaps.com)
  • «Desde 1997» (fewmoretaps.com)

Lo que presentan ante la Agencia Tributaria de Estonia

  • 0 € de ingresos en 2023, 120 € de ingresos en 2024
  • 1 empleado (ETC) en ambos años
  • Capital social −71 648 €, capital no desembolsado de 2.500 €
  • Oficina virtual en Roseni tn 13, Tallin
  • Constituida 2021, no en 1997
  • Empresa en proceso de liquidación

Testimonios falsos («Muro del amor»)

Trustname: «Wall of Love», reseñas falsas con nombres propios repetidos: Jack, Lily, Megan
30 opiniones. 11 nombres propios distintos. «Jack» aparece 5 veces y «Lily», 6. No hay fotos, ni fechas, ni perfiles verificables, ni enlaces a Trustpilot o G2. No hay apellidos.

Análisis de la trustname.com/wall-of-love página: 30 «opiniones de clientes», solo 11 nombres propios distintos. «Jack» aparece cinco veces. «Lily», seis veces. «Megan», tres veces. Todas las reseñas son elogios genéricos de una sola línea, redactados con un estilo uniforme. No hay enlaces a plataformas de reseñas independientes. Tampoco hay identidades de clientes verificables. A modo de comparación, Namecheap y Porkbun cuentan con miles de reseñas verificadas en Trustpilot y G2.

Exposición en materia de infraestructuras y seguridad

Diagrama de la infraestructura de Trustname en el que se muestran los puertos de Kafka expuestos, los paneles de administración abiertos y el FTP en el servidor de origen
Mapa de infraestructura: frontend de Vercel, Kubernetes de AWS en la región «eu-central-1» con brokers de Kafka expuestos públicamente en el puerto 7777, panel de administración de Strapi abierto y sistema WHOIS de CoreNIC sin protección en modo de desarrollo.
trustname.com (Vercel / Next.js)
  ├── api.trustname.com              Fastify API (Swagger behind Basic Auth only)
  ├── admin.trustname.com            React-Admin panel (publicly accessible)
  ├── blog.trustname.com             Strapi CMS (admin UI exposed)
  ├── support.trustname.com          Freshdesk (EU instance)
  └── whois-fewmoretaps.corenic.net  Knipp DomainSRS (JSF Development mode)

fewmoretaps.com (WordPress) origin: 37.1.219.211
     Open ports: FTP:21 (vsftpd 3.0.5), SSH:22, HTTP:80, HTTPS:443

AWS eu-central-1 (EKS Kubernetes):
  35.156.29.145 / 18.196.68.81 / 52.28.105.156
  Port 7777 — Apache Kafka (Strimzi)
  SSL cert CN: kafka-staging-kafka   SAN: staging.kafka-0.trustname.com
  Namespace: backend-staging

Upstream registrar: OpenSRS (Tucows)
Invoicing: Quaderno · Payments: Stripe + Crypto
Email: Brevo  ·  Analytics: Google, Fuago
S3: domain-registrar-strapi-media (eu-central-1, leaked via CSP header)
Errores de configuración detectados
  1. El panel de administración es de acceso público (admin.trustname.com) — Protección exclusiva mediante inicio de sesión, sin lista de direcciones IP autorizadas.
  2. Se puede acceder a la interfaz de usuario de administración de Strapi CMS en blog.trustname.com.
  3. JSF en modo de desarrollo en el sistema WHOIS de CoreNIC.
  4. Tres brokers de AWS Kafka expuestos a la red pública de Internet en el puerto 7777; el SAN de SSL revela el espacio de nombres de Kubernetes.
  5. Las direcciones IP de origen eluden Cloudflare: es posible el acceso directo.
  6. El servicio FTP (vsftpd) está activo en el servidor de origen de fewmoretaps.
  7. Swagger / OpenAPI solo con autenticación básica en api.trustname.com/api-json.

Cronología

2004-06-04
Primera matriculación de trustname.com (antiguo propietario).
2021-07-11
fewmoretaps.com registrado. Todo el sitio web de marketing fue creado en 5 días por un único usuario de WordPress llamado «riseup».
2021-11-01
Fewmoretaps OÜ, sociedad constituida en Estonia. Titular: Vitali Tsyvinski (Bielorrusia). Capital social: 2.500 € — no desembolsado.
2023-01-13
Se ha presentado el primer informe anual (sin actividad en 2022).
2023-05-23
La titularidad se transfirió a Kiryl Nestsiarovich (Bielorrusia).
2023-08-20
whoispps.com Se ha registrado un dominio de proxy de privacidad.
2023
Se ha obtenido la acreditación de la ICANN (ID de la IANA 4318).
2024-02-01
Número de identificación fiscal (EE102702659).
2024-12-31
Presentación del informe anual de 2024. Ingresos 120 €, pérdida neta −50 937 €, capital social −71 648 €.
8 de abril de 2026…13
Registro masivo de seis dominios de casinos fraudulentos en tan solo una semana.
2026-04
Anuncio de baja de la empresa publicado en el Registro Mercantil de Estonia.

¿Quién permite esto?

Insignias de responsabilidad de ICANN, AWS, Stripe, Cloudflare, Vercel, Tucows y OpenSRS
Todas las principales plataformas relacionadas con esta operación cuentan con su propia política de uso aceptable que prohíbe el fraude. Ninguna ha tomado medidas al respecto.

A la ICANN

  • ¿Cómo es posible que una empresa con 0 € de ingresos y 0 empleados ¿Se obtuvo la acreditación de la ICANN en el momento de presentar la solicitud? ¿Qué medidas de diligencia debida se llevaron a cabo?
  • Un registrador cuyo registro TXT de DNS dice textualmente: «registrador de dominios a toda prueba» y «nichos sensibles» — ¿En qué medida se ajusta esto al Acuerdo de Acreditación de Registradores?
  • El registrador se encuentra ahora bajo liquidación en Estonia. ¿Qué ocurre con las denuncias por abuso que están en trámite y que se refieren a dominios registrados a través de la resolución n.º 4318 de la IANA?
  • Ambos propietarios son ciudadanos de Bielorrusia — un país sometido a sanciones generales de la UE y EE. UU. desde 2020. ¿Se reveló este dato durante el proceso de acreditación?

A OpenSRS (Tucows)

  • OpenSRS proporciona la API de origen que utiliza Trustname para registrar dominios (confirmado por opensrsOrderId (en los datos de las transacciones). ¿Lleva a cabo Tucows revisiones de cumplimiento normativo de los revendedores que se promocionan abiertamente como «a prueba de balas»?
  • En una semana se registraron seis dominios de casinos fraudulentos —entre ellos uno ya señalado por Cloudflare— a través de OpenSRS vía Trustname. ¿Qué sistemas de detección automática de fraudes existen a nivel de los distribuidores?

A AWS, Stripe, Vercel y Cloudflare

  • AWS: el clúster de EKS, el depósito de S3 y los tres brokers de Kafka expuestos públicamente se encuentran en eu-central-1. La Política de uso aceptable (AUP) de AWS prohíbe los servicios que faciliten el fraude.
  • Rayas: los pagos con tarjeta se procesan a través de /v2/users/billing/stripe/payment-methods. La lista de actividades restringidas de Stripe prohíbe los servicios que faciliten actividades ilegales. ¿Se ha revisado la cartera de clientes?
  • Vercel: trustname.com y admin.trustname.com están alojados en Vercel. La Política de Uso Aceptable (AUP) de Vercel prohíbe «servicios que promuevan prácticas fraudulentas».
  • Cloudflare: jopexplay.com aparece marcado como «Página web presuntamente engañosa». Los otros cinco casinos que utilizan plantillas idénticas siguen activos. ¿A qué se debe esta inconsistencia?

Acerca de Bielorrusia y Monero

  • Ambos propietarios son Residentes fiscales bielorrusos. Los ingresos obtenidos en todo el mundo deben declararse en Bielorrusia con arreglo a la legislación fiscal bielorrusa. Las autoridades bielorrusas no tienen tratados de asistencia mutua en materia fiscal (MLAT) con la mayoría de las jurisdicciones occidentales, por lo que la aplicación de la ley se encuentra, en la práctica, en un callejón sin salida.
  • Trustname acepta Monero (XMR), una criptomoneda diseñada para ser imposible de rastrear. ¿Cómo se declaran los pagos en XMR a efectos del IVA, la lucha contra el blanqueo de capitales y la información financiera en Estonia? El informe anual muestra 120 €. ¿Eso incluye las criptomonedas? Si no es así, ¿dónde se incluyen?

Indicadores de compromiso

Identificadores de registradores

IANA ID:        4318
WHOIS Server:   whois.fewmoretaps.com
Abuse email:    abuse@trustname.com
Abuse phone:    +372.6884747

Infraestructura

trustname.com
fewmoretaps.com
harakiri.org
whoispps.com
gambler-partners.is
pictures-cdn.is

37.1.219.211      fewmoretaps.com origin (FTP, SSH, HTTP, HTTPS)
195.253.23.47     CoreNIC WHOIS origin
35.156.29.145     AWS Kafka broker
18.196.68.81      AWS Kafka broker
52.28.105.156     AWS Kafka broker

Dominios confirmados como estafa

noawin.com          henofex.com         jopexplay.com
bezowin159.pro      noswin152.pro       bazowin781.pro

Veredicto

Trustname.com no es un «registrador centrado en la privacidad». Se trata de una infraestructura creada expresamente para facilitar el fraude en línea:

  • Sociedad ficticia estonia con capital no desembolsado y dos propietarios bielorrusos
  • Ingresos legítimos nulos a pesar de que se están llevando a cabo operaciones de registro de dominios
  • Servidores proxy «independientes» de privacidad en el extranjero, de propiedad privada, en San Cristóbal y Florida
  • Aceptación de criptomonedas imposibles de rastrear (Monero, Zcash)
  • Decenas de dominios de casinos fraudulentos recién registrados con plantillas idénticas
  • Un registro TXT de DNS en el que, literalmente, se autodenominan a prueba de balas
  • Empresa actualmente en proceso de liquidación — una estrategia de salida que ya está en marcha

La ICANN y OpenSRS (Tucows) deberían revisar la acreditación de IANA n.º 4318. Los dominios registrados a través de los proxies de privacidad de Trustname requieren un análisis más exhaustivo de las denuncias de abuso. Hasta entonces, PhishDestroy marca todos los dominios registrados por Trustname que detecta nuestro escáner con un advertencia del registrador, tal y como hacemos con NiceNIC y NameSilo.

Investigaciones relacionadas

Fuentes y verificación

Todas las afirmaciones de este informe están respaldadas por registros de acceso público o por datos obtenidos a través de la propia cuenta autenticada del investigador. A continuación se indican las fuentes primarias, junto con las instrucciones para su verificación independiente.

Registro mercantil y registros fiscales

AfirmaciónFuenteCómo comprobarlo
Registro de la empresa, propietarios, situación jurídica, notificación de bajaRegistro Mercantil de Estonia (Äriregister)ariregister.rik.ee — buscar código de registro 16354846
Informes anuales de 2022, 2023 y 2024: ingresos, patrimonio neto y plantillaRegistro Mercantil de Estonia: obligaciones de inscripción para las sociedades OÜEn el mismo registro → pestaña «Informes anuales». Los informes son públicos.
Nombres de los propietarios, números de identificación y nacionalidad (Tsyvinski, Nestsiarovich)Páginas del informe anual destinadas a los accionistas (Osanikud)Informe de 2022, p. 6 (Tsyvinski); Informes de 2023-2024 (Nestsiarovich)
Inscripción en el IVA EE102702659Agencia de Impuestos y Aduanas de EstoniaVerificar a través de la UE VIES

ICANN e identificadores de registradores

AfirmaciónFuenteCómo comprobarlo
Identificador de la IANA 4318 — Acreditación de la ICANNLista de registradores acreditados por la ICANNicann.org/es/registradores-acreditados — busca «Fewmoretaps» o «4318»
Contacto para denunciar abusos (abuse@trustname.com, +372.6884747)Registros WHOIS de cualquier dominio registrado en Trustnamewhois trustname.com a través de cualquier cliente RDAP/WHOIS
Servidor WHOIS whois.fewmoretaps.comRegistros WHOISAparece en todos los dominios registrados a través de la IANA n.º 4318

Datos de WHOIS y DNS

AfirmaciónMétodo
Registro TXT del DNS: la cita textual «a prueba de balas»dig TXT trustname.com o DNSChecker
Servicio de protección de datos de WHOIS (Perfect Privacy LLC, WHOIS Privacy LLC)whois noawin.com, whois harakiri.org, whois whoispps.com
Registro de dominios fraudulentos a través de TrustnameConsulta WHOIS en el puerto 43 a 195.253.23.47:43 o cualquier servicio WHOIS público
Registros MX y NS para la asignación de infraestructuraConsultas DNS estándar (dig NS trustname.com, dig MX)

Afirmaciones publicitarias (en directo + archivadas)

Infraestructura técnica (no intrusiva)

Mostrar la tabla completa de fuentes de datos
DatoMétodo
Direcciones IP de origen (37.1.219.211, 195.253.23.47)Resolución de DNS + análisis de encabezados HTTP
Subdominios (api / admin / blog / support)Enumeración estándar de DNS
Tecnología del panel de administración (React-Admin)Paquetes JS públicos proporcionados por admin.trustname.com
Mapa de puntos finales de la APIAnálisis de fragmentos del frontend (disponible públicamente)
Exposición del CMS StrapiRespuesta HTTP de blog.trustname.com
Kafka en el puerto 7777 + fuga de SAN en SSLnmap -sV; openssl s_client -connect 35.156.29.145:7777
CoreNIC / Knipp DomainSRSRespuesta HTTP de whois-fewmoretaps.corenic.net
Banner de FTP en el servidor de origennmap -sV 37.1.219.211 — Mensaje de inicio de vsftpd 3.0.5
Proveedor de nivel superior (OpenSRS)Campo details.opensrsOrderId en el modelo de datos del panel de administración
Integración de pagos con StripePunto final /v2/users/billing/stripe/payment-methods
Direcciones de carteras de criptomonedasGET /users/notifications en api.trustname.com (relato del propio investigador)
depósito de S3 domain-registrar-strapi-mediaFiltrado a través del encabezado Content-Security-Policy en blog.trustname.com
Sistema de gestión del casino gambler-partners.isExtraído de app/layout-414e3e65ac0c109b.js en noawin.com

Análisis de la red de casinos

  • Contenido sobre casinos («El casino oficial de Elon Musk») — curl https://henofex.com
  • Bloqueo de phishing de Cloudflare — curl https://jopexplay.com muestra el intersticial de Cloudflare
  • Plantilla compartida (hashes de fragmentos idénticos) — comparar _next/static/chunks/ en los seis ámbitos
  • Panel de administración en ruso — curl https://gambler-partners.is devuelve el título «Gambler | Inicio»

Herramientas utilizadas

DNS / WHOIS:    dig, nslookup, whois
Port scanning:  nmap (service / version detection only)
HTTP:           curl (header + content retrieval)
SSL:            openssl s_client
JavaScript:     manual deobfuscation of publicly served bundles
PDF:            PyPDF2 (annual report text extraction)

Metodología de costes financieros

El Entre 35 000 y 50 000 € de costes operativos mínimos Esta cifra se ha calculado a partir de los precios públicos:

  • Cuota de acreditación de la ICANN: ~$4,000/year (Tarifas publicadas por la ICANN)
  • OpenSRS, venta al por mayor de dominios .com: $8–12/domain (Precios para distribuidores de Tucows)
  • AWS eu-central-1 (3× m5.large para Kafka + plano de control de EKS + S3): $500–2,000/month (Calculadora de precios de AWS)
  • Vercel Pro: 20 $ al mes; Freshdesk: 15 $ por agente al mes; Brevo: 25 $ al mes (páginas de precios públicas)
  • Gastos de personal declarados para 2024: 24 084 € (el informe anual de la propia empresa)

Ética y metodología

Qué se hizo
  • Investigación en registros públicos (Registro Mercantil de Estonia, ICANN, VIES, WHOIS, DNS).
  • Reconocimiento técnico no intrusivo: consultas DNS, lectura de encabezados HTTP, inspección de certificados SSL, análisis de JavaScript de paquetes públicos, nmap detección de servicios sin explotación.
  • Pruebas de la API con autenticación mediante la propia cuenta Trustname del investigador, registrada de forma legítima.
  • Verificación cruzada de las instantáneas de Wayback Machine para comprobar las afirmaciones de marketing.
Lo que NO se hizo
  • No se permiten ataques de fuerza bruta contra ningún inicio de sesión.
  • No se han detectado inyecciones SQL, RCE ni otros intentos de explotación.
  • Queda prohibido el acceso no autorizado a cualquier sistema, cuenta o dato.
  • No se ha producido ninguna filtración de datos desde los dispositivos finales protegidos.
  • No se ha modificado ningún dato, ni siquiera en los casos en que una configuración errónea lo hubiera permitido.
  • Se han comprobado los puntos finales de la API de administración en cuanto a BOLA (autorización por niveles de objetos rotos) — Se ha comprobado que el modelo RBAC se ha implementado correctamente; los puntos finales de administración rechazan correctamente los tokens de usuario.

Puesto de divulgación y presentación de informes

Esta investigación se ha publicado íntegramente como una forma de divulgación pública. PhishDestroy es un equipo de investigación de OSINT y no una entidad regulada obligada a informar, por lo que no existe ninguna obligación legal, en virtud del artículo 306 del Código Penal de Estonia (KarS) ni de normativas similares de la UE, de presentar una denuncia privada ante las autoridades; dicha obligación recae únicamente en los bancos, los proveedores de servicios de activos virtuales (VASP) y otras entidades reguladas similares.

Si se siguen ignorando las denuncias por abuso presentadas contra dominios registrados a través de la IANA n.º 4318, este expediente se remitirá formalmente a:

  1. Cumplimiento de las normas de la ICANNicann.org/compliance/complaint · RAA, artículo 3.7.8 (exactitud de los datos WHOIS) y artículo 3.18 (gestión de los abusos)
  2. Tucows / OpenSRS — registrador de nivel superior; abuse@tucows.com, compliance@opensrs.com
  3. CERT-EE (RIA) — cert@cert.ee
  4. MTA de Estonia (Maksu- ja Tolliamet, Agencia Tributaria y de Aduanas) — línea de denuncia de fraude fiscal vihjeliin@emta.ee
  5. UIF de Estonia (Oficina de Estadística de Rahapesu) — rab@politsei.ee por actividades relacionadas con el blanqueo de capitales y con proveedores de servicios de activos virtuales (VASP) sin licencia
  6. Servicios de gestión de abusos en las plataformas — AWS Trust & Safety, Stripe Risk, Vercel Abuse, Cloudflare Trust & Safety
  7. EU FIU.net a través de la UIF de Estonia — en lo que respecta al componente relativo a las sanciones contra Bielorrusia

Por ahora, se ha pospuesto deliberadamente cualquier escalada formal: la entidad registradora ya se encuentra en proceso de liquidación en Estonia, los operadores tienen su sede en Bielorrusia (no existe un tratado de asistencia judicial mutua [MLAT] ⇒ callejón sin salida en cuanto a la ejecución) y un informe público tiene más peso que una incidencia en cola. Volveremos a evaluar la situación si cambian las circunstancias —o si alguien que lea esto aporta un argumento que lo justifique—.

Esta investigación se llevó a cabo utilizando exclusivamente métodos OSINT y análisis técnicos no intrusivos. Todas las fuentes de datos son de acceso público o se obtuvieron a través de la propia cuenta autenticada del investigador en la plataforma. No se realizó ningún acceso no autorizado en ninguna fase. Correcciones, pruebas contrarias o datos adicionales: @PhishDestroy_bot · @Phish_Destroy · github.com/PhishDestroy.

Comparte esta investigación

X / Twitter Telegram Reddit LinkedIn

Investigaciones relacionadas

xmrwallet.com al descubierto: 10 años de claves robadas
INVESTIGACIÓN EN PROFUNDIDAD
xmrwallet.com al descubierto: 10 años de claves robadas
Investigación de NiceNIC: un registrador de la ICANN facilita la ciberdelincuencia
INVESTIGACIÓN EN PROFUNDIDAD
Investigación de NiceNIC: un registrador de la ICANN facilita la ciberdelincuencia
NameSilo, Webnic, NiceNic: registradores que facilitan las estafas
INVESTIGACIÓN
NameSilo, Webnic, NiceNic: registradores que facilitan las estafas