Trustname[.]com: Dentro de un registrador «a prueba de balas», acreditado por la ICANN, que presta servicios a casinos fraudulentos
Un registrador acreditado por la ICANN (IANA n.º 4318) que se promociona como el «registrador independiente de más rápido crecimiento». Las declaraciones fiscales de Estonia indican unos ingresos de 120 €, un empleado, un patrimonio neto negativo y un Aviso de eliminación. Ambos propietarios son bielorrusos. Los dominios de casinos fraudulentos no dejan de aparecer.

Trustname.com es gestionado por Fewmoretaps OÜ — una sociedad ficticia estonia con capital social no desembolsado, 120 € en ingresos anuales declarados, un empleado, un patrimonio neto negativo de −71 648 € y un Aviso de eliminación publicada en el Registro Mercantil de Estonia. La empresa se autodenomina, literalmente, una «registrador de dominios a toda prueba» en su propio registro TXT de DNS. Ambos propietarios son ciudadanos bielorrusos. El registrador se está utilizando activamente para registrar casinos de criptomonedas falsos de Elon Musk oculta tras sus propios servidores proxy de privacidad en el extranjero.
La filial de Shell en Estonia: Fewmoretaps OÜ
Fewmoretaps OÜ está inscrita en el Registro Mercantil de Estonia con el número de registro 16354846, IVA EE102702659, con domicilio social virtual en Roseni tn 13, Tallin. Constituida el 1 de noviembre de 2021 con un capital social de 2.500 €, que fue nunca ha pagado («Constituida sin aportar capital» — Informe Anual de 2022).

fewmoretaps.com.Cadena de titularidad
Datos financieros: 120 € al año y pérdidas crecientes
Los informes anuales obligatorios de Estonia son públicos. Las cifras no dejan lugar a dudas:

Cuadro financiero (EUR)
| Métrico | 2022 | 2023 | 2024 |
|---|---|---|---|
| Ingresos | 0 € | 0 € | 120 € |
| Pérdida neta | 0 | −20 711 | −50 937 |
| Gastos de personal | 0 | 8,324 | 24,084 |
| Pasivos a largo plazo | 0 | 35,370 | 175,310 |
| Capital social | 0 | −20 711 | −71 648 |
| Empleados (equivalentes a tiempo completo) | 0 | 1 | 1 |
La cuota de acreditación de la ICANN por sí sola asciende a ~4.000 dólares al año. AWS (3 brokers de Kafka + EKS + S3) se ejecuta $500–2,000/month. Los dominios al por mayor de OpenSRS cuestan entre 8 y 12 € por dominio .com. A esto hay que añadir las tarifas de Vercel, Freshdesk, Brevo y Stripe. Costes operativos mínimos: entre 35 000 y 50 000 € al año. Ingresos declarados: 120 €. Este déficit se financia con 175 310 € en concepto de «pasivos a largo plazo» procedentes de fuentes no reveladas.
«A prueba de balas»: sus propias palabras
No se trata de una estrategia de marketing de PhishDestroy, sino que aparece literalmente en el propio registro TXT del DNS de Trustname:
«Trustname cuenta con la acreditación de la ICANN y es el registrador de dominios independiente más fiable del mundo para particulares y empresas preocupadas por la privacidad que operan en sectores sensibles. Cuenta con nosotros para ser tu registrador de dominios a toda prueba. «Somos de confianza, somos fiables y tenemos precios asequibles».
Cualquier persona que disponga de un cliente DNS puede comprobarlo: dig TXT trustname.com. En el sector del alojamiento web y los registradores de dominios, «a prueba de balas» es un término técnico: se refiere sin ambigüedad a los servicios que se resisten a las solicitudes de retirada por abuso y prestan servicio a los operadores de contenidos ilícitos.
La red de casinos fraudulentos
En un una sola semana (Del 8 al 13 de abril de 2026), se registraron seis dominios fraudulentos de casinos de criptomonedas a través de Trustname, todos ellos ocultos tras los propios proxies de privacidad de Trustname:

gambler-partners.is.Dominios confirmados como fraudulentos (todos registrados a través de IANA n.º 4318)
noawin.com
Representante: Perfect Privacy LLC (KN)
henofex.com
Proxy: Privacidad WHOIS (FL)
jopexplay.com
Proxy: Privacidad WHOIS (FL)
bezowin159.pro
Proxy: Privacidad WHOIS (FL)
noswin152.pro
Proxy: Privacidad WHOIS (FL)
bazowin781.pro
Proxy: Privacidad WHOIS (FL)
Análisis de JavaScript de noawin.com llamadas a la API reveladas a https://gambler-partners.is/api, /api/slots, /payser, y CDN de imágenes https://pictures-cdn.is/. El gambler-partners.is La propia página web muestra un panel de administración en ruso titulado «Gambler | Inicio» (Gambler | Inicio) con descripción «Panel de gestión del tráfico» (Panel de gestión del tráfico). El mismo código fuente, el mismo backend, la misma CDN: se trata de una red organizada de casinos fraudulentos.
Proxies de privacidad en el extranjero — Propiedad del registrador
Trustname no utiliza servicios de privacidad de terceros independientes. Cuenta con los suyos propios:

harakiri.org
whoispps.com
Cuando se recibe una denuncia por abuso relacionada con un dominio protegido por la política de privacidad, Trustname la recibe y la reenvía a… sí misma. La whoispps.com La página web afirma abiertamente que «El correo postal se desecha». Esto no es privacidad, es un blanqueo de fondos procedentes de delitos una estructura diseñada para garantizar que las quejas no lleguen a ninguna parte.
¿A dónde va a parar el dinero?

La plataforma Trustname acepta pagos con tarjeta a través de Stripe (/v2/users/billing/stripe/payment-methods) y criptomoneda a través de las siguientes direcciones de monedero incluidas en el punto final de notificación de la API autenticada:
ETH: 0xdee6582dc53fa56180311393018121c6f1e8bd7c
LTC: MEREvHtzqAUTJ1XvEevmci8UqMnDvfe2ri
ZEC: t1d19KevpcXpesr9XA9UUyMW9XGYVDxkK9S
XMR: 8B5N29BocrTjkRCeGCARnkhKgBeHBhg4oH7ay4RfXfnL7RqBdyiuL4k6iN4GVUVxt1EQJvZRqLg8n4qgCNWmYHQQDZmfytM La aceptación de Monero (XMR) — una criptomoneda diseñada específicamente para ser imposible de rastrear — junto con un procesador regulado que exige el cumplimiento de los requisitos de KYC (Stripe), al tiempo que declara 120 € de ingresos anuales para las autoridades fiscales estonias, plantea una paradoja en materia de cumplimiento normativo. Un solo registro de dominio .com a precio de mayorista (unos 13 dólares) ya supera los ingresos declarados de todo el año.
La legislación estonia (Ley de prevención del blanqueo de capitales y la financiación del terrorismo) exige que los proveedores de servicios de activos virtuales cuenten con una licencia expedida por la Unidad de Inteligencia Financiera. ¿Es Fewmoretaps OÜ la titular de esta licencia? De lo contrario, el mero hecho de aceptar pagos en criptomonedas por los servicios prestados podría constituir en sí mismo una infracción normativa.
Declaraciones publicitarias frente a declaraciones fiscales
Lo que les dicen a los clientes
- «El registrador de dominios independiente con mayor crecimiento en 2025»
- «Cuenta con la confianza de millones de propietarios de dominios»
- «Cuenta con la confianza de empresas de la lista Fortune 500»
- «Un equipo de más de 35 personas repartidas por distintos lugares del mundo»
- Oficinas con sede en Londres, Beverly Hills y Melbourne
- Clientes: McDonald’s, Vodafone, Adidas, Tata, Yahoo, BCG (muro de logotipos de fewmoretaps.com)
- «Desde 1997» (fewmoretaps.com)
Lo que presentan ante la Agencia Tributaria de Estonia
- 0 € de ingresos en 2023, 120 € de ingresos en 2024
- 1 empleado (ETC) en ambos años
- Capital social −71 648 €, capital no desembolsado de 2.500 €
- Oficina virtual en Roseni tn 13, Tallin
- Constituida 2021, no en 1997
- Empresa en proceso de liquidación
Testimonios falsos («Muro del amor»)

Análisis de la trustname.com/wall-of-love página: 30 «opiniones de clientes», solo 11 nombres propios distintos. «Jack» aparece cinco veces. «Lily», seis veces. «Megan», tres veces. Todas las reseñas son elogios genéricos de una sola línea, redactados con un estilo uniforme. No hay enlaces a plataformas de reseñas independientes. Tampoco hay identidades de clientes verificables. A modo de comparación, Namecheap y Porkbun cuentan con miles de reseñas verificadas en Trustpilot y G2.
Exposición en materia de infraestructuras y seguridad

trustname.com (Vercel / Next.js)
├── api.trustname.com Fastify API (Swagger behind Basic Auth only)
├── admin.trustname.com React-Admin panel (publicly accessible)
├── blog.trustname.com Strapi CMS (admin UI exposed)
├── support.trustname.com Freshdesk (EU instance)
└── whois-fewmoretaps.corenic.net Knipp DomainSRS (JSF Development mode)
fewmoretaps.com (WordPress) origin: 37.1.219.211
Open ports: FTP:21 (vsftpd 3.0.5), SSH:22, HTTP:80, HTTPS:443
AWS eu-central-1 (EKS Kubernetes):
35.156.29.145 / 18.196.68.81 / 52.28.105.156
Port 7777 — Apache Kafka (Strimzi)
SSL cert CN: kafka-staging-kafka SAN: staging.kafka-0.trustname.com
Namespace: backend-staging
Upstream registrar: OpenSRS (Tucows)
Invoicing: Quaderno · Payments: Stripe + Crypto
Email: Brevo · Analytics: Google, Fuago
S3: domain-registrar-strapi-media (eu-central-1, leaked via CSP header) - El panel de administración es de acceso público (
admin.trustname.com) — Protección exclusiva mediante inicio de sesión, sin lista de direcciones IP autorizadas. - Se puede acceder a la interfaz de usuario de administración de Strapi CMS en
blog.trustname.com. - JSF en modo de desarrollo en el sistema WHOIS de CoreNIC.
- Tres brokers de AWS Kafka expuestos a la red pública de Internet en el puerto 7777; el SAN de SSL revela el espacio de nombres de Kubernetes.
- Las direcciones IP de origen eluden Cloudflare: es posible el acceso directo.
- El servicio FTP (vsftpd) está activo en el servidor de origen de fewmoretaps.
- Swagger / OpenAPI solo con autenticación básica en
api.trustname.com/api-json.
Cronología
trustname.com (antiguo propietario).fewmoretaps.com registrado. Todo el sitio web de marketing fue creado en 5 días por un único usuario de WordPress llamado «riseup».whoispps.com Se ha registrado un dominio de proxy de privacidad.¿Quién permite esto?

A la ICANN
- ¿Cómo es posible que una empresa con 0 € de ingresos y 0 empleados ¿Se obtuvo la acreditación de la ICANN en el momento de presentar la solicitud? ¿Qué medidas de diligencia debida se llevaron a cabo?
- Un registrador cuyo registro TXT de DNS dice textualmente: «registrador de dominios a toda prueba» y «nichos sensibles» — ¿En qué medida se ajusta esto al Acuerdo de Acreditación de Registradores?
- El registrador se encuentra ahora bajo liquidación en Estonia. ¿Qué ocurre con las denuncias por abuso que están en trámite y que se refieren a dominios registrados a través de la resolución n.º 4318 de la IANA?
- Ambos propietarios son ciudadanos de Bielorrusia — un país sometido a sanciones generales de la UE y EE. UU. desde 2020. ¿Se reveló este dato durante el proceso de acreditación?
A OpenSRS (Tucows)
- OpenSRS proporciona la API de origen que utiliza Trustname para registrar dominios (confirmado por
opensrsOrderId(en los datos de las transacciones). ¿Lleva a cabo Tucows revisiones de cumplimiento normativo de los revendedores que se promocionan abiertamente como «a prueba de balas»? - En una semana se registraron seis dominios de casinos fraudulentos —entre ellos uno ya señalado por Cloudflare— a través de OpenSRS vía Trustname. ¿Qué sistemas de detección automática de fraudes existen a nivel de los distribuidores?
A AWS, Stripe, Vercel y Cloudflare
- AWS: el clúster de EKS, el depósito de S3 y los tres brokers de Kafka expuestos públicamente se encuentran en
eu-central-1. La Política de uso aceptable (AUP) de AWS prohíbe los servicios que faciliten el fraude. - Rayas: los pagos con tarjeta se procesan a través de
/v2/users/billing/stripe/payment-methods. La lista de actividades restringidas de Stripe prohíbe los servicios que faciliten actividades ilegales. ¿Se ha revisado la cartera de clientes? - Vercel:
trustname.comyadmin.trustname.comestán alojados en Vercel. La Política de Uso Aceptable (AUP) de Vercel prohíbe «servicios que promuevan prácticas fraudulentas». - Cloudflare:
jopexplay.comaparece marcado como «Página web presuntamente engañosa». Los otros cinco casinos que utilizan plantillas idénticas siguen activos. ¿A qué se debe esta inconsistencia?
Acerca de Bielorrusia y Monero
- Ambos propietarios son Residentes fiscales bielorrusos. Los ingresos obtenidos en todo el mundo deben declararse en Bielorrusia con arreglo a la legislación fiscal bielorrusa. Las autoridades bielorrusas no tienen tratados de asistencia mutua en materia fiscal (MLAT) con la mayoría de las jurisdicciones occidentales, por lo que la aplicación de la ley se encuentra, en la práctica, en un callejón sin salida.
- Trustname acepta Monero (XMR), una criptomoneda diseñada para ser imposible de rastrear. ¿Cómo se declaran los pagos en XMR a efectos del IVA, la lucha contra el blanqueo de capitales y la información financiera en Estonia? El informe anual muestra 120 €. ¿Eso incluye las criptomonedas? Si no es así, ¿dónde se incluyen?
Indicadores de compromiso
Identificadores de registradores
IANA ID: 4318
WHOIS Server: whois.fewmoretaps.com
Abuse email: abuse@trustname.com
Abuse phone: +372.6884747 Infraestructura
trustname.com
fewmoretaps.com
harakiri.org
whoispps.com
gambler-partners.is
pictures-cdn.is
37.1.219.211 fewmoretaps.com origin (FTP, SSH, HTTP, HTTPS)
195.253.23.47 CoreNIC WHOIS origin
35.156.29.145 AWS Kafka broker
18.196.68.81 AWS Kafka broker
52.28.105.156 AWS Kafka broker Dominios confirmados como estafa
noawin.com henofex.com jopexplay.com
bezowin159.pro noswin152.pro bazowin781.pro Veredicto
Trustname.com no es un «registrador centrado en la privacidad». Se trata de una infraestructura creada expresamente para facilitar el fraude en línea:
- Sociedad ficticia estonia con capital no desembolsado y dos propietarios bielorrusos
- Ingresos legítimos nulos a pesar de que se están llevando a cabo operaciones de registro de dominios
- Servidores proxy «independientes» de privacidad en el extranjero, de propiedad privada, en San Cristóbal y Florida
- Aceptación de criptomonedas imposibles de rastrear (Monero, Zcash)
- Decenas de dominios de casinos fraudulentos recién registrados con plantillas idénticas
- Un registro TXT de DNS en el que, literalmente, se autodenominan a prueba de balas
- Empresa actualmente en proceso de liquidación — una estrategia de salida que ya está en marcha
La ICANN y OpenSRS (Tucows) deberían revisar la acreditación de IANA n.º 4318. Los dominios registrados a través de los proxies de privacidad de Trustname requieren un análisis más exhaustivo de las denuncias de abuso. Hasta entonces, PhishDestroy marca todos los dominios registrados por Trustname que detecta nuestro escáner con un advertencia del registrador, tal y como hacemos con NiceNIC y NameSilo.
Investigaciones relacionadas
Fuentes y verificación
Todas las afirmaciones de este informe están respaldadas por registros de acceso público o por datos obtenidos a través de la propia cuenta autenticada del investigador. A continuación se indican las fuentes primarias, junto con las instrucciones para su verificación independiente.
Registro mercantil y registros fiscales
| Afirmación | Fuente | Cómo comprobarlo |
|---|---|---|
| Registro de la empresa, propietarios, situación jurídica, notificación de baja | Registro Mercantil de Estonia (Äriregister) | ariregister.rik.ee — buscar código de registro 16354846 |
| Informes anuales de 2022, 2023 y 2024: ingresos, patrimonio neto y plantilla | Registro Mercantil de Estonia: obligaciones de inscripción para las sociedades OÜ | En el mismo registro → pestaña «Informes anuales». Los informes son públicos. |
| Nombres de los propietarios, números de identificación y nacionalidad (Tsyvinski, Nestsiarovich) | Páginas del informe anual destinadas a los accionistas (Osanikud) | Informe de 2022, p. 6 (Tsyvinski); Informes de 2023-2024 (Nestsiarovich) |
Inscripción en el IVA EE102702659 | Agencia de Impuestos y Aduanas de Estonia | Verificar a través de la UE VIES |
ICANN e identificadores de registradores
| Afirmación | Fuente | Cómo comprobarlo |
|---|---|---|
Identificador de la IANA 4318 — Acreditación de la ICANN | Lista de registradores acreditados por la ICANN | icann.org/es/registradores-acreditados — busca «Fewmoretaps» o «4318» |
Contacto para denunciar abusos (abuse@trustname.com, +372.6884747) | Registros WHOIS de cualquier dominio registrado en Trustname | whois trustname.com a través de cualquier cliente RDAP/WHOIS |
Servidor WHOIS whois.fewmoretaps.com | Registros WHOIS | Aparece en todos los dominios registrados a través de la IANA n.º 4318 |
Datos de WHOIS y DNS
| Afirmación | Método |
|---|---|
| Registro TXT del DNS: la cita textual «a prueba de balas» | dig TXT trustname.com o DNSChecker |
| Servicio de protección de datos de WHOIS (Perfect Privacy LLC, WHOIS Privacy LLC) | whois noawin.com, whois harakiri.org, whois whoispps.com |
| Registro de dominios fraudulentos a través de Trustname | Consulta WHOIS en el puerto 43 a 195.253.23.47:43 o cualquier servicio WHOIS público |
| Registros MX y NS para la asignación de infraestructura | Consultas DNS estándar (dig NS trustname.com, dig MX) |
Afirmaciones publicitarias (en directo + archivadas)
- trustname.com/acerca-de — «más de 35 personas», «Kir N., director general»
- trustname.com página de inicio — «N.º 1 en crecimiento», «cuenta con la confianza de millones de personas», «Fortune 500»
- trustname.com/muro-del-amor — las 30 reseñas / 11 nombres propios distintos
- fewmoretaps.com — «Desde 1997», «100 % de cumplimiento de proyectos», pared con los logotipos de las empresas de la lista Fortune 500
- fewmoretaps.com/consulta — Direcciones en Londres, Beverly Hills y Melbourne
- whoispps.com — «El correo postal se desecha»
- harakiri.org — Perfect Privacy LLC, San Cristóbal y Nieves
- Instantáneas históricas: Wayback Machine para trustname.com
Infraestructura técnica (no intrusiva)
Análisis de la red de casinos
- Contenido sobre casinos («El casino oficial de Elon Musk») —
curl https://henofex.com - Bloqueo de phishing de Cloudflare —
curl https://jopexplay.commuestra el intersticial de Cloudflare - Plantilla compartida (hashes de fragmentos idénticos) — comparar
_next/static/chunks/en los seis ámbitos - Panel de administración en ruso —
curl https://gambler-partners.isdevuelve el título «Gambler | Inicio»
Herramientas utilizadas
DNS / WHOIS: dig, nslookup, whois
Port scanning: nmap (service / version detection only)
HTTP: curl (header + content retrieval)
SSL: openssl s_client
JavaScript: manual deobfuscation of publicly served bundles
PDF: PyPDF2 (annual report text extraction) Metodología de costes financieros
El Entre 35 000 y 50 000 € de costes operativos mínimos Esta cifra se ha calculado a partir de los precios públicos:
- Cuota de acreditación de la ICANN: ~$4,000/year (Tarifas publicadas por la ICANN)
- OpenSRS, venta al por mayor de dominios .com: $8–12/domain (Precios para distribuidores de Tucows)
- AWS eu-central-1 (3× m5.large para Kafka + plano de control de EKS + S3): $500–2,000/month (Calculadora de precios de AWS)
- Vercel Pro: 20 $ al mes; Freshdesk: 15 $ por agente al mes; Brevo: 25 $ al mes (páginas de precios públicas)
- Gastos de personal declarados para 2024: 24 084 € (el informe anual de la propia empresa)
Ética y metodología
- Investigación en registros públicos (Registro Mercantil de Estonia, ICANN, VIES, WHOIS, DNS).
- Reconocimiento técnico no intrusivo: consultas DNS, lectura de encabezados HTTP, inspección de certificados SSL, análisis de JavaScript de paquetes públicos,
nmapdetección de servicios sin explotación. - Pruebas de la API con autenticación mediante la propia cuenta Trustname del investigador, registrada de forma legítima.
- Verificación cruzada de las instantáneas de Wayback Machine para comprobar las afirmaciones de marketing.
- No se permiten ataques de fuerza bruta contra ningún inicio de sesión.
- No se han detectado inyecciones SQL, RCE ni otros intentos de explotación.
- Queda prohibido el acceso no autorizado a cualquier sistema, cuenta o dato.
- No se ha producido ninguna filtración de datos desde los dispositivos finales protegidos.
- No se ha modificado ningún dato, ni siquiera en los casos en que una configuración errónea lo hubiera permitido.
- Se han comprobado los puntos finales de la API de administración en cuanto a BOLA (autorización por niveles de objetos rotos) — Se ha comprobado que el modelo RBAC se ha implementado correctamente; los puntos finales de administración rechazan correctamente los tokens de usuario.
Puesto de divulgación y presentación de informes
Esta investigación se ha publicado íntegramente como una forma de divulgación pública. PhishDestroy es un equipo de investigación de OSINT y no una entidad regulada obligada a informar, por lo que no existe ninguna obligación legal, en virtud del artículo 306 del Código Penal de Estonia (KarS) ni de normativas similares de la UE, de presentar una denuncia privada ante las autoridades; dicha obligación recae únicamente en los bancos, los proveedores de servicios de activos virtuales (VASP) y otras entidades reguladas similares.
Si se siguen ignorando las denuncias por abuso presentadas contra dominios registrados a través de la IANA n.º 4318, este expediente se remitirá formalmente a:
- Cumplimiento de las normas de la ICANN — icann.org/compliance/complaint · RAA, artículo 3.7.8 (exactitud de los datos WHOIS) y artículo 3.18 (gestión de los abusos)
- Tucows / OpenSRS — registrador de nivel superior;
abuse@tucows.com,compliance@opensrs.com - CERT-EE (RIA) —
cert@cert.ee - MTA de Estonia (Maksu- ja Tolliamet, Agencia Tributaria y de Aduanas) — línea de denuncia de fraude fiscal
vihjeliin@emta.ee - UIF de Estonia (Oficina de Estadística de Rahapesu) —
rab@politsei.eepor actividades relacionadas con el blanqueo de capitales y con proveedores de servicios de activos virtuales (VASP) sin licencia - Servicios de gestión de abusos en las plataformas — AWS Trust & Safety, Stripe Risk, Vercel Abuse, Cloudflare Trust & Safety
- EU FIU.net a través de la UIF de Estonia — en lo que respecta al componente relativo a las sanciones contra Bielorrusia
Por ahora, se ha pospuesto deliberadamente cualquier escalada formal: la entidad registradora ya se encuentra en proceso de liquidación en Estonia, los operadores tienen su sede en Bielorrusia (no existe un tratado de asistencia judicial mutua [MLAT] ⇒ callejón sin salida en cuanto a la ejecución) y un informe público tiene más peso que una incidencia en cola. Volveremos a evaluar la situación si cambian las circunstancias —o si alguien que lea esto aporta un argumento que lo justifique—.
Esta investigación se llevó a cabo utilizando exclusivamente métodos OSINT y análisis técnicos no intrusivos. Todas las fuentes de datos son de acceso público o se obtuvieron a través de la propia cuenta autenticada del investigador en la plataforma. No se realizó ningún acceso no autorizado en ninguna fase. Correcciones, pruebas contrarias o datos adicionales: @PhishDestroy_bot · @Phish_Destroy · github.com/PhishDestroy.



