html ¿Por qué las denuncias de abuso solo por correo… | PhishDestroy
⚖️ Fundamentos jurídicos y técnicos

Por qué informamos
Solo por correo electrónico

Proporcionamos a los registradores paquetes completos de pruebas, realizando su labor de investigación de forma gratuita. Nuestros informes siguen los canales legales, ya que las políticas internas de las plataformas no pueden prevalecer sobre la normativa internacional.

24 horas Plazo de respuesta exigido en virtud del artículo 3.18 del Acuerdo de Atribución de Derechos (RAA) de la ICANN
Más de 13 600 Cambios incorporados a la lista de eliminación
$0 Nuestros beneficios. 100 % sin ánimo de lucro.

Por qué es importante

El phishing no es solo una molestia. Es una industria delictiva a escala mundial que destruye vidas y negocios cada día.

16 600 millones de dólares
Pérdidas totales por delitos cibernéticos en 2024
Informe del IC3 del FBI
4,88 millones de dólares
Coste medio por incidente de phishing
Informe de IBM sobre el coste de las filtraciones de datos en 2024
2.770 millones de dólares
Pérdidas por BEC en 2024 (solo EE. UU.)
Informe del IC3 del FBI
3.400 millones
Correos electrónicos de phishing que se envían a diario
AAG Investigación en TI

La ICANN está tomando medidas

Desde abril de 2024: 400 investigaciones, 4 notificaciones formales de incumplimiento, Se han suspendido más de 20 000 dominios maliciosos, así como la rescisión de contratos con varios registradores, entre ellos Mixun Ltd, Zoo Hosting, Nerd Origins y otros.

Ver avisos de cumplimiento de la ICANN →

El marco jurídico

RAA de la ICANN

Acuerdo de acreditación de registradores, artículo 3.18.1

«El registrador deberá disponer de un punto de contacto para recibir denuncias de abusos... El registrador deberá publicar una dirección de correo electrónico para recibir dichas denuncias en la página de inicio de su sitio web».

Fuente: RAA de 2013, artículo 3.18.1

RAA de la ICANN

Requisito de vigilancia las 24 horas

«El registrador deberá establecer y mantener un punto de contacto específico para casos de abuso, que incluya una dirección de correo electrónico y un número de teléfono específicos, con atención las 24 horas del día, los siete días de la semana».

Fuente: ICANN RAA, artículo 3.18.2

EU DSA

Ley de Servicios Digitales - Artículo 16

«Los proveedores de servicios de alojamiento deberán establecer mecanismos que permitan a cualquier persona física o jurídica notificarles la presencia en su servicio de elementos de información concretos que dicha persona física o jurídica considere contenido ilegal».

Fuente: DSA de la UE, artículo 16

Abuso del DNS de la ICANN

Enmiendas de 2024 sobre el uso indebido del DNS

«Para facilitar la presentación de denuncias por parte de cualquier persona que denuncie un abuso o una actividad ilegal, el registrador debe publicar una dirección de correo electrónico o un formulario web de fácil acceso... Los formularios web no deben requerir un inicio de sesión para enviar denuncias de abuso».

Fuente: Informe consultivo de la ICANN, febrero de 2024

Por qué fracasan los formularios web

01

CAPTCHAs defectuosos y barreras técnicas

Algunos registradores utilizan CAPTCHAs imposibles de resolver, límites de frecuencia y obstáculos técnicos que impiden el envío de formularios. Cuando los informes no se envían, alegan «problemas técnicos» o que «los informes no han llegado».

02

Sin registro de auditoría

Los formularios web no proporcionan ninguna prueba verificable del envío. El correo electrónico genera un registro con marca de tiempo, admisible legalmente, que puede presentarse ante el departamento de Cumplimiento de la ICANN en caso de que el registrador no actúe.

03

Obstrucción deliberada

Algunos registradores complican deliberadamente sus formularios para disuadir a los usuarios de presentar denuncias. Esto supone una violación directa del requisito del RAA de que los contactos para casos de abuso sean «fácilmente accesibles».

04

El absurdo de las respuestas automáticas

Algunos registradores envían respuestas automáticas en las que califican el phishing de «plagio» o «problemas de derechos de autor», lo que demuestra un desconocimiento deliberado de las definiciones de abuso del DNS establecidas por la ICANN.

05

Requisitos de inicio de sesión

La ICANN establece explícitamente: «Los formularios web no deben exigir el inicio de sesión para enviar denuncias de abuso». Exigir la creación de una cuenta supone un incumplimiento de las obligaciones contractuales.

06

Requisitos arbitrarios para los campos

Los campos obligatorios para información irrelevante, los límites de caracteres en las descripciones de las pruebas y la clasificación obligatoria en tipos de informe incorrectos no hacen más que frustrar a quienes presentan denuncias legítimas.

Lo que enviamos realmente

Nuestros informes son expedientes completos de pruebas diseñados para facilitar al máximo el trabajo del equipo encargado de los casos de abuso. Nosotros nos encargamos de la investigación; ellos solo tienen que actuar.

📄 Informe de muestra Paquete de pruebas en PDF
N.º de referencia y prioridad del asunto

Identificador de seguimiento único y clasificación de la gravedad de la amenaza

Pruebas técnicas

Dominio, dirección IP, marca de tiempo de detección, enlaces forenses de URLScan

Información sobre amenazas de múltiples proveedores

Detecciones de VirusTotal, análisis del motor de amenazas, estado en la lista negra

Confirmación visual

Captura de pantalla automática que demuestra la existencia de contenido de phishing

Infracciones de las políticas y la legislación

Infracciones concretas de la Política de uso aceptable (AUP) y las Condiciones de servicio (TOS), así como la legislación aplicable

Pasos para la remediación

Medidas concretas para el equipo de lucha contra el abuso

💯

100 % sin ánimo de lucro

Recibimos ninguna donación, sin pagos, sin beneficios. Sin contratos, sin directivos, sin intereses comerciales. Nuestro proyecto es totalmente de código abierto y su único objetivo es luchar contra las estafas.

🎯

Un objetivo: eliminar las amenazas

No estamos protegiendo a ninguna víctima ni empresa en concreto. Estamos eliminando las amenazas de Internet antes de que causen más daño. Eso es todo. No hay segundas intenciones.

📋

Completo desde el principio

En nuestro informe inicial incluimos toda la información disponible: dominio, dirección IP, análisis de URLScan, capturas de pantalla (varias, adjuntas como archivos y en formato PDF), detecciones de VirusTotal e información sobre amenazas. Sencillamente, no hay nada más que podamos añadir.

📎

Por qué es posible que no respondamos a las solicitudes de seguimiento

Nuestro correo electrónico inicial ya contiene todo lo que tenemos: dominio, IP, enlaces forenses de URLScan, detecciones de VirusTotal, varias capturas de pantalla (adjuntas como archivos Y integradas en el informe en PDF), incumplimientos de políticas y referencias legales. Solicitar «capturas de pantalla adicionales» cuando ya se han adjuntado más de tres, o pedir «más pruebas» cuando se incluye un PDF completo, sugiere que el informe no se ha revisado en su totalidad.

Además, hemos sabido que los formularios de denuncia de abusos de algunos registradores redirigen las denuncias a terceros ajenos al asunto —sus socios, distribuidores o dominios totalmente distintos del denunciado—. Para garantizar una gestión adecuada, seguimos el procedimiento establecido por la ICANN: enviar las denuncias a la dirección de correo electrónico oficial para denuncias de abusos que figura en los registros WHOIS.

🛡️

¿Falso positivo? Queremos saberlo

Nos tomamos muy en serio los falsos positivos y trabajamos activamente para evitarlos. Si crees que se ha denunciado un dominio por error, háznoslo saber a través de uno de estos canales:

  • Formulario de recurso (recomendado) — anónimo, sencillo, con seguimiento de tickets para supervisar el estado
  • Incidencia de GitHub — público, transparente, visible para la comunidad
  • appeal@phishdestroy.io — puede retrasarse debido al correo basura procedente de presuntos estafadores

Se recomienda utilizar el formulario de reclamación, ya que los estafadores ofendidos suelen inundar nuestro correo electrónico con spam, lo que hace que las reclamaciones legítimas pasen fácilmente desapercibidas. El formulario proporciona un número de ticket para el seguimiento y no requiere ningún dato personal.

Nuestra metodología

Paquete completo de pruebas

Cada informe incluye una documentación exhaustiva: datos WHOIS del dominio, capturas de pantalla, resultados de URLScan, análisis del código fuente y archivos PDF adjuntos. Proporcionamos toda la información necesaria para que el equipo de abuso del registrador pueda tomar una decisión fundamentada sin necesidad de realizar investigaciones adicionales.

Comunicación directa por correo electrónico

Utilizamos las direcciones de correo electrónico de abuso publicadas en los registros WHOIS y en los sitios web de los registradores, tal y como establece el artículo 3.18.1 del RAA de la ICANN. Esto genera un registro de auditoría legal y garantiza que nuestros informes lleguen a los contactos designados para la gestión de casos de abuso.

Clasificación clara de los abusos de DNS

Nuestros informes identifican de forma explícita el tipo de abuso del DNS (phishing, malware, botnets, pharming) utilizando las definiciones oficiales de la ICANN recogidas en el documento SAC115. No utilizamos términos vagos que permitan a los registradores eludir su responsabilidad.

Procedimiento de escalamiento de la ICANN

Cuando los registradores no responden adecuadamente, elevamos el asunto al departamento de Cumplimiento Contractual de la ICANN, adjuntando toda la documentación de nuestros informes y el incumplimiento por parte del registrador de la cláusula 3.18 del RAA.

✓ Conclusión

Las políticas internas de la plataforma, los formularios propios y los procedimientos personalizados no prevalecen sobre las obligaciones contractuales de la ICANN ni sobre la normativa de la UE. Un registrador no puede inventar obstáculos para eludir su obligación legal de investigar y responder a denuncias de abuso bien fundadas.

Lo que dice realmente la ley

📋

Los registradores deben investigar

«El registrador deberá tomar medidas razonables y rápidas para investigar y responder adecuadamente a cualquier denuncia de abuso». La RAA no dice «investigar solo si se presenta a través de nuestro formulario preferido» ni «responder solo si nos conviene».

⏱️

Obligaciones con plazos límite

En virtud de las enmiendas de 2024 sobre el uso indebido del DNS, los registradores deben «adoptar sin demora las medidas correctivas adecuadas que sean razonablemente necesarias para impedir, o de otro modo evitar, que el nombre registrado se utilice con fines de uso indebido del DNS». Los dominios de phishing requieren una actuación inmediata, sin retrasos burocráticos.

📧

El correo electrónico es la norma legal

La ICANN exige expresamente a los registradores que publiquen y supervisen una dirección de correo electrónico para la denuncia de abusos. Aunque se permiten los formularios web como opción adicional, estos no pueden ser el único método, ni pueden suponer un obstáculo para la presentación de denuncias. El correo electrónico sigue siendo la base exigida por la ley.

⚠️

El incumplimiento tiene consecuencias

Los registradores que incumplan lo dispuesto en el artículo 3.18 del RAA recibirán notificaciones de incumplimiento por parte del departamento de Cumplimiento Contractual de la ICANN. El incumplimiento continuado puede dar lugar a la revocación de la acreditación. Lo documentamos todo y lo elevamos a instancias superiores cuando es necesario.

Recomendaciones para los registradores

Cuando reciba nuestro informe, esto es lo que le recomendamos, además de limitarse a suspender ese dominio concreto:

01
🔍

Realizar una auditoría del cliente

Si un dominio está comprometido o es malicioso, Comprobar todos los dominios que posee este cliente. Es muy probable que sus otros dominios también contengan contenido malicioso, ya sea porque la cuenta ha sido comprometida o porque el «cliente» es en realidad un estafador que utiliza su infraestructura de forma sistemática.

02
⚖️

Bloquear ≠ Justicia

El simple hecho de suspender un dominio no detiene al delincuente. Si el cliente es un estafador, registrará nuevos dominios y seguirá adelante. Valora si esto justifica una cancelación total de la cuenta y la posible remisión a las fuerzas del orden de su jurisdicción.

03
📁

Conservar las pruebas

Dependiendo de su jurisdicción, es posible que, tras recibir nuestro informe, se le exija conservar los registros y los datos de los clientes para posibles solicitudes de las fuerzas del orden. Se le ha notificado oficialmente que este recurso es probablemente malicioso; actúe en consecuencia en lo que respecta a la conservación de datos.

04
🏛️

Ten en cuenta las obligaciones legales

En muchos países, alojar a sabiendas una infraestructura delictiva tras haber recibido una notificación da lugar a responsabilidades legales. Nuestro informe constituye una notificación formal. Consulte a su equipo jurídico sobre obligaciones de notificación a las autoridades y los requisitos de conservación de pruebas.

⚠️

Registro comprometido frente a registro malicioso

Informamos de lo que encontramos; no juzgamos las intenciones. Es tu responsabilidad investigar si el dominio fue comprometido (cliente legítimo, cuenta pirateada) o registrado de forma maliciosa (un estafador que utiliza su servicio). En cualquier caso, hay que neutralizar la amenaza, pero las medidas que se adopten a continuación pueden variar.

Cumplimiento o complicidad.
Tú decides.

Aportamos pruebas exhaustivas de actividades delictivas. Seguimos los canales legales de denuncia. Hacemos el trabajo de su equipo de lucha contra los abusos de forma gratuita. A partir de ahí, la decisión es suya: proteger a los usuarios de Internet o facilitar el fraude.

Respeta la ley

  • Investigar las denuncias sin demora
  • Suspender los dominios de phishing confirmados
  • Cumplir con el artículo 3.18 del Acuerdo de Atribución de Derechos (RAA) de la ICANN
  • Protege tu reputación

Sé cómplice

  • Ignorar los casos de abuso documentados
  • Pedir «aclaraciones» sin fin
  • Notificaciones sobre la filtración de datos de la ICANN
  • Rescisión de la acreditación de riesgos
🤝

No somos tus enemigos. Estamos prestando un servicio a su departamento de lucha contra los abusos al detectar amenazas en su infraestructura antes de que den lugar a medidas reguladoras, daños a la reputación o responsabilidades legales. Colabore con nosotros, no contra nosotros.

🔥 Consulta nuestra lista de elementos a eliminar en GitHub

Sobre los falsos positivos

🙏

Lo sentimos cuando ocurre

Sí, a veces se producen falsos positivos. Y lo sentimos de verdad cuando ocurre. Somos un grupo de voluntarios que trabajamos constantemente para mejorar nuestra lógica de detección y nuestros sistemas de verificación. Cada falso positivo nos resulta vergonzoso, y hacemos todo lo posible por reducirlos al mínimo.

📊

Nuestra trayectoria

Desde julio de 2025, nuestra tasa de falsos positivos es menos de 1 por cada 1 000 amenazas identificadas correctamente. Nuestro repositorio es totalmente abierto: puedes verificar cada informe, cada eliminación y cada corrección que hayamos realizado.

Ver nuestro repositorio abierto →
⚠️

No utilices nuestros errores para justificar los tuyos

Nuestros errores ocasionales no justifican que se ignoren las denuncias legítimas o que se trate cada notificación como un falso positivo. Somos voluntarios no remunerados, sin protección legal y sin obligación alguna de defender a los estafadores. Simplemente esperamos que cumplan con las normas legales y mantengan un departamento de gestión de abusos competente.

Total transparencia y datos abiertos

📜 BAJO LICENCIA MIT

Todo lo que enviamos es transparente. Todo lo que hacemos es público. Sin secretos, sin segundas intenciones.

📤

Reenvía nuestros informes

Puede reenviar nuestros informes al propietario del dominio, al presunto estafador, a terceros, a las fuerzas del orden o a cualquier otra persona. Lo autorizamos expresamente.

📧

Publicar nuestro correo electrónico

Nuestra dirección de correo electrónico abuse@phishdestroy.io es pública. No dudes en compartirla con quien quieras, incluida la persona denunciada.

📋

Compartir el contenido del informe

El contenido completo de nuestros informes, incluidos todos los archivos adjuntos y los archivos PDF, puede compartirse, copiarse o publicarse sin restricciones.

🏛️

Entregar a las autoridades

Puede facilitar nuestros informes y todos los datos relacionados a las fuerzas del orden, a los organismos reguladores o en el marco de procedimientos judiciales. Le animamos a hacerlo.

No se trata de información confidencial

Nuestros informes contienen ninguna información confidencial o privada. Todo lo que proporcionamos —dominios, direcciones IP, capturas de pantalla, análisis— es de dominio público o ha sido generado por nosotros bajo licencia MIT. No exigimos confidencialidad, ni acuerdos de no divulgación, ni ningún tipo de gestión opaca de nuestras comunicaciones.

PhishDestroy: Inteligencia sobre amenazas abuse@phishdestroy.io
💚

Gracias

A todos los registradores, proveedores de alojamiento y equipos de gestión de abusos que respetan las normas, investigan las denuncias de forma imparcial y actúan para proteger a los usuarios de Internet—gracias. Haces que Internet sea más seguro para todos.

Todos estamos del mismo lado. Sigamos así.

PhishDestroy. Inteligencia sobre amenazas impulsada por voluntarios.