Proporcionamos a los registradores expedientes completos de pruebas, realizando su labor de investigación de forma gratuita. Nuestros informes siguen los canales legales, ya que las normas internas de las plataformas no pueden prevalecer sobre la normativa internacional.
El phishing no es solo una molestia. Es una industria delictiva a escala mundial que destruye vidas y empresas cada día.
«El registrador deberá disponer de un punto de contacto para recibir denuncias de abusos... El registrador deberá publicar una dirección de correo electrónico para recibir dichas denuncias en la página de inicio de su sitio web».
Fuente: RAA de 2013, sección 3.18.1
«El registrador deberá establecer y mantener un punto de contacto específico para casos de abuso, que incluya una dirección de correo electrónico y un número de teléfono específicos, con atención las 24 horas del día, los siete días de la semana».
Fuente: RAA de la ICANN, artículo 3.18.2
«Los proveedores de servicios de alojamiento deberán establecer mecanismos que permitan a cualquier persona física o jurídica notificarles la presencia en su servicio de datos concretos que dicha persona física o jurídica considere contenido ilegal».
Fuente: Ley de Seguridad de los Datos de la UE (DSA), artículo 16
«Para facilitar la presentación de denuncias por parte de cualquier persona que alegue un abuso o una actividad ilegal, el registrador debe publicar una dirección de correo electrónico o un formulario web de fácil acceso... Los formularios web no deben requerir un inicio de sesión para enviar denuncias de abuso».
Algunos registradores utilizan CAPTCHAs imposibles de resolver, límites de frecuencia y barreras técnicas que impiden el envío de formularios. Cuando los informes no se envían, alegan «problemas técnicos» o que «los informes no han llegado».
Los formularios web no proporcionan ninguna prueba verificable de su envío. El correo electrónico genera un registro con marca de tiempo, admisible legalmente, que puede presentarse ante el departamento de Cumplimiento de la ICANN en caso de que el registrador no tome las medidas oportunas.
Algunos registradores complican deliberadamente sus formularios para disuadir a los usuarios de presentar denuncias. Esto supone una violación directa del requisito del RAA de que los puntos de contacto para casos de abuso sean «fácilmente accesibles».
Algunos registradores envían respuestas automáticas en las que califican el phishing como «plagio» o «problemas de derechos de autor», lo que demuestra una ignorancia deliberada de las definiciones de abuso del DNS establecidas por la ICANN.
La ICANN establece explícitamente: «Los formularios web no deben exigir el inicio de sesión para enviar denuncias de abusos». Exigir la creación de una cuenta supone un incumplimiento de las obligaciones contractuales.
Los campos obligatorios para introducir información irrelevante, los límites de caracteres en las descripciones de las pruebas y la clasificación obligatoria en tipos de informe incorrectos no hacen más que frustrar a quienes presentan denuncias legítimas.
Nuestros informes son expedientes completos de pruebas diseñados para facilitar al máximo el trabajo del equipo encargado de los casos de maltrato. Nosotros nos encargamos de la investigación; ellos solo tienen que actuar.
Identificador único de seguimiento y clasificación de la gravedad de la amenaza
Dominio, dirección IP, marca de tiempo de detección, enlaces forenses de URLScan
Detecciones de VirusTotal, análisis del motor de amenazas, estado en la lista negra
Captura de pantalla automática que demuestra la existencia de contenido de phishing
Infracciones concretas de la Política de uso aceptable (AUP) y las Condiciones de servicio (TOS), y la legislación aplicable
Medidas concretas para el equipo de lucha contra el abuso
Recibimos ninguna donación, pagos nulos, sin beneficios. Sin contratos, sin directivos, sin intereses comerciales. Nuestro proyecto es totalmente de código abierto y su único objetivo es luchar contra las estafas.
No estamos protegiendo a ninguna víctima ni empresa en concreto. Estamos eliminando las amenazas de Internet antes de que causen más daños. Eso es todo. No hay segundas intenciones.
En nuestro informe inicial incluimos desde el principio todas las pruebas disponibles: dominio, dirección IP, análisis de URLScan, capturas de pantalla (varias, adjuntas como archivos y en formato PDF), detecciones de VirusTotal e información sobre amenazas. Sencillamente, no hay nada más que podamos añadir.
Nuestro correo electrónico inicial ya contiene todo lo que tenemos: dominio, IP, enlaces forenses de URLScan, detecciones de VirusTotal, varias capturas de pantalla (adjuntas como archivos Y integradas en el informe en PDF), incumplimientos de políticas y referencias legales. Solicitar «capturas de pantalla adicionales» cuando ya se han adjuntado más de tres, o pedir «más pruebas» cuando se incluye un PDF completo, sugiere que el informe no se ha revisado en su totalidad.
Además, hemos sabido que los formularios de denuncia de abusos de algunos registradores redirigen las denuncias a terceros ajenos al asunto —sus socios, distribuidores o dominios totalmente distintos al denunciado—. Para garantizar una gestión adecuada, seguimos el procedimiento establecido por la ICANN: enviar las denuncias a la dirección de correo electrónico oficial para denuncias de abusos que figura en los registros WHOIS.
Nos tomamos muy en serio los falsos positivos y trabajamos activamente para evitarlos. Si crees que se ha denunciado un dominio por error, háznoslo saber a través de uno de estos canales:
Se recomienda utilizar el formulario de reclamación, ya que los estafadores suelen saturar nuestro correo electrónico con spam, lo que hace que las reclamaciones legítimas pasen fácilmente desapercibidas. El formulario proporciona un número de referencia para el seguimiento y no requiere ningún dato personal.
Cada informe incluye documentación exhaustiva: datos WHOIS del dominio, capturas de pantalla, resultados de URLScan, análisis del código fuente y archivos PDF adjuntos. Proporcionamos todo lo necesario para que el equipo de abuso del registrador pueda tomar una decisión fundamentada sin necesidad de realizar investigaciones adicionales.
Utilizamos las direcciones de correo electrónico de abuso publicadas en los registros WHOIS y en las páginas web de los registradores, tal y como establece el artículo 3.18.1 del Acuerdo de Aceptación de Registradores (RAA) de la ICANN. Esto genera un registro de auditoría legal y garantiza que nuestras notificaciones lleguen a los contactos designados para la gestión de casos de abuso.
Nuestros informes identifican de forma explícita el tipo de abuso del DNS (phishing, malware, botnets, pharming) utilizando las definiciones oficiales de la ICANN recogidas en el documento SAC115. No utilizamos términos vagos que permitan a los registradores eludir su responsabilidad.
Cuando los registradores no responden adecuadamente, elevamos el asunto al departamento de Cumplimiento Contractual de la ICANN, aportando toda la documentación de nuestros informes y el incumplimiento por parte del registrador de la sección 3.18 del RAA.
Las políticas internas de la plataforma, los formularios propios y los procedimientos personalizados no prevalecen sobre las obligaciones contractuales de la ICANN ni sobre la normativa de la UE. Un registrador no puede inventarse obstáculos para eludir su obligación legal de investigar y responder a las denuncias de abuso bien fundadas.
«El registrador deberá adoptar medidas razonables y rápidas para investigar y responder adecuadamente a cualquier denuncia de abuso». La RAA no dice «investigar solo si se presenta a través de nuestro formulario preferido» ni «responder solo si nos viene bien».
En virtud de las Enmiendas de 2024 sobre el uso indebido del DNS, los registradores deben «adoptar sin demora las medidas de mitigación adecuadas que sean razonablemente necesarias para impedir o, en su defecto, dificultar que el nombre registrado se utilice con fines de uso indebido del DNS». Los dominios de phishing requieren una actuación inmediata, sin retrasos burocráticos.
La ICANN exige expresamente a los registradores que publiquen y supervisen una dirección de correo electrónico destinada a la notificación de abusos. Aunque se permiten los formularios web como opción adicional, estos no pueden ser el único método ni pueden suponer un obstáculo para la presentación de denuncias. El correo electrónico sigue siendo la base exigida por la ley.
Los registradores que incumplan lo dispuesto en el artículo 3.18 del RAA recibirán notificaciones de incumplimiento por parte del departamento de Cumplimiento Contractual de la ICANN. El incumplimiento continuado puede dar lugar a la revocación de la acreditación. Lo documentamos todo y lo elevamos a instancias superiores cuando es necesario.
Cuando recibas nuestro informe, esto es lo que te recomendamos, además de limitarte a suspender ese dominio concreto:
Si un dominio está comprometido o es malicioso, Comprobar todos los dominios que posee este cliente. Es muy probable que sus otros dominios también contengan contenido malicioso, ya sea porque la cuenta ha sido comprometida o porque el «cliente» es, en realidad, un estafador que utiliza tu infraestructura de forma sistemática.
El mero hecho de suspender un dominio no detiene al delincuente. Si el cliente es un estafador, registrará nuevos dominios y seguirá adelante. Valora si esto justifica una cancelación total de la cuenta y la posible remisión a las fuerzas del orden de su jurisdicción.
En función de tu jurisdicción, es posible que, tras recibir nuestro informe, debas: conservar los registros y los datos de los clientes para posibles solicitudes de las fuerzas del orden. Se te ha notificado oficialmente que este recurso es probablemente malicioso; actúa en consecuencia en lo que respecta a la conservación de datos.
En muchas jurisdicciones, alojar a sabiendas una infraestructura delictiva tras haber recibido una notificación conlleva responsabilidad civil. Nuestro informe sirve como notificación formal. Consulte a su equipo jurídico sobre obligaciones de información a las autoridades y los requisitos de conservación de pruebas.
Informamos de lo que encontramos; no determinamos la intención. Es tu responsabilidad investigar si el dominio fue comprometido (cliente legítimo, cuenta pirateada) o registrado de forma malintencionada (un estafador que utiliza vuestro servicio). En cualquier caso, hay que neutralizar la amenaza, pero las medidas que toméis a continuación pueden variar.
Aportamos pruebas exhaustivas de actividades delictivas. Seguimos los canales legales de denuncia. Hacemos el trabajo de vuestro equipo de lucha contra los abusos de forma gratuita. A partir de ahí, la decisión es vuestra: proteger a los usuarios de Internet o facilitar el fraude.
No somos vuestros enemigos. Estamos prestando un servicio a vuestro departamento de lucha contra los abusos al identificar las amenazas en vuestra infraestructura antes de que den lugar a medidas reguladoras, daños a vuestra reputación o responsabilidades legales. Colaborad con nosotros, no contra nosotros.
Sí, a veces se producen falsos positivos. Y lo sentimos de verdad cuando ocurre. Somos operadores que mejoramos constantemente nuestra lógica de detección y nuestros sistemas de verificación. Cada falso positivo nos resulta vergonzoso, y hacemos todo lo posible por reducirlos al mínimo.
Desde julio de 2025, nuestra tasa de falsos positivos es de menos de 1 por cada 1.000 amenazas identificadas correctamente. Nuestro repositorio es totalmente abierto: puedes verificar cada informe, cada eliminación y cada corrección que hayamos realizado.
Consulta nuestro repositorio abierto →Nuestros errores ocasionales no justifican que se ignoren las denuncias legítimas ni que se trate cada notificación como un falso positivo. Somos operadores voluntarios sin protección jurídica y sin obligación alguna de defender a los estafadores. Simplemente esperamos que cumplan con la normativa legal y mantengan un departamento de gestión de abusos competente.
Todo lo que enviamos es transparente. Todo lo que hacemos es público. Sin secretos, sin intenciones ocultas.
Puedes reenviar nuestros informes al propietario del dominio, al presunto estafador, a terceros, a las fuerzas del orden o a cualquier otra persona. Lo autorizamos expresamente.
Nuestra dirección de correo electrónico abuse@phishdestroy.io Es público. No dudes en compartirlo con quien quieras, incluida la persona denunciada.
El contenido completo de nuestros informes, incluidos todos los anexos y archivos PDF, puede compartirse, copiarse o publicarse sin restricciones.
Puede facilitar nuestros informes y todos los datos relacionados a las fuerzas del orden, a los organismos reguladores o en el marco de procedimientos judiciales. Le animamos a hacerlo.
Nuestros informes contienen ninguna información confidencial o privada. Todo lo que proporcionamos —dominios, direcciones IP, capturas de pantalla, análisis— está disponible públicamente o lo generamos nosotros bajo licencia MIT. No exigimos privacidad, confidencialidad ni ningún tipo de gestión no transparente de nuestras comunicaciones.

A todos los registradores, proveedores de alojamiento y equipos de gestión de abusos que cumplen las normas, investigan las denuncias de forma imparcial y actúan para proteger a los usuarios de Internet:gracias. Haces que Internet sea más seguro para todos.
Todos estamos del mismo lado. Que siga siendo así.