Editorial mirrorBrand mentions redacted to public IDs. Hover to inspect. Everything else is theatre.How it works
THE ENABLERS REGISTRYRegistrar accountability archive
Archive LiveRead-only public record · No ads · No tracking
Case file folder with redacted documents and confidential investigation report.
CASE / ES / CLOAKING WHITEPAGES EXPLAINED

Explicación del «cloaking» y las «páginas en blanco»

The Enablers Registry·Editorial mirror·/es/cloaking-whitepages-explained

Public record copy. Brand names withheld, public accreditation numbers preserved. If the body below says “we”, that means the original publisher, not this mirror. TER only preserves, redacts, and re-contextualizes.

Por qué bloqueamos las «páginas en blanco» y redirigimos a los sitios web oficiales: Explicación del problema del «cloaking»

El cloaking, las «páginas en blanco» y las redirecciones TDS son la columna vertebral de la infraestructura moderna de possibly phishing. Cualquier sitio web que las utilice es bloqueado. A continuación explicamos por qué y qué descubrimos cuando miramos más allá de las apariencias.

29 de marzo de 2026 Investigación de THE ENABLERS REGISTRY ~12 min de lectura
El camuflaje y las «páginas en blanco» en la infraestructura de phishing: visión general técnica
Cómo la infraestructura moderna de possibly phishing utiliza el camuflaje para eludir todas las capas de detección automatizada.
50,000+
Sitios web analizados
1,565
Viñetas de [REDACTED]
0
Usos legítimos
55+
Dominios [REDACTED]
100+
Motores AV

La pregunta que nos hacen constantemente

Cada semana recibimos la misma petición: «Habéis marcado mi dominio, pero cuando lo compruebo, simplemente redirige a la página web oficial. Aquí no hay nada malicioso».

O una variante: «La página no es más que una entrada de blog sobre criptomonedas. No se trata de possibly phishing».

Entendemos que esto pueda resultar confuso. Si visitas un dominio que ha sido marcado y ves una página perfectamente normal —o una redirección correcta a un sitio legítimo—, es lógico pensar que la marca es errónea. Pero esa página correcta no es un error en nuestro sistema de detección. Es el ataque.

Este artículo explica la tecnología que hay detrás del cloaking, por qué existen las «páginas blancas», cómo los sistemas de distribución de tráfico (TDS), como [REDACTED], redirigen a las víctimas, y por qué THE ENABLERS REGISTRY considera cada uno de estos patrones como infraestructura maliciosa confirmada, sin excepción alguna.

Por qué es importante

Si estás leyendo esto porque tu dominio ha sido marcado y crees que se trata de un error, te animamos a que leas hasta el final. También mantenemos un procedimiento de recurso por falsos positivos legítimos. Pero, según nuestra experiencia, los dominios que muestran un comportamiento de «cloaking» son maliciosos en el 100 % de los casos.

Cómo los sistemas antivirus cambiaron las reglas del juego

Hace una década, el possibly phishing era sencillo. Un atacante registraba un dominio, creaba una página de inicio de sesión falsa y enviaba el enlace a las víctimas. Los proveedores de seguridad acababan rastreando esa URL, detectaban la página de possibly phishing y la añadían a las listas de bloqueo. El dominio dejaba de funcionar en cuestión de horas o días.

Entonces, el sector mejoró. Google Safe Browsing, Microsoft SmartScreen y más de 100 motores antivirus en plataformas como VirusTotal comenzaron a analizar las URL casi en tiempo real. Las advertencias a nivel del navegador redujeron drásticamente las tasas de clics. Los proveedores de alojamiento pusieron en marcha procesos automatizados de retirada de contenidos. El lapso de tiempo entre la publicación de una página de possibly phishing y su bloqueo se redujo de días a minutos.

Los autores de los ataques de possibly phishing se enfrentaban a un problema: sus páginas eran detectadas más rápido de lo que tardaban en publicarlas. Necesitaban una forma de mostrar el contenido de possibly phishing a las víctimas reales sin que ningún sistema automatizado que intentara detectarlas lo considerara sospechoso.

La respuesta fue camuflaje.

Evolución de la detección antivirus frente a la evasión del phishing — infografía técnica
La carrera armamentística: a medida que la detección de programas maliciosos mejoraba, pasando de días a minutos, los autores de ataques de possibly phishing respondieron con una infraestructura de camuflaje que muestra un contenido diferente a los escáneres y a las víctimas reales.
El problema fundamental

El possibly phishing moderno no se descubre porque la página de possibly phishing sea difícil de detectar. Se sale con la suya porque El escáner ni siquiera detecta la página de possibly phishing.. El escáner detecta una entrada de blog, una redirección o una página en blanco. La víctima —que accede desde un país concreto, a través de un dispositivo móvil y tras hacer clic en un anuncio de pago— ve el programa de recopilación de credenciales.

Qué es realmente el «cloaking»

El «cloaking» es la práctica de mostrar contenidos diferentes a distintos visitantes en función de quiénes sean. En el contexto del possibly phishing, esto significa una cosa: Los escáneres de seguridad ven una página inofensiva, mientras que las víctimas reales ven la página de possibly phishing..

El filtrado puede realizarse en varios niveles:

  • Reputación de la dirección IP — Las direcciones IP conocidas de centros de datos, los rangos de VPN y los bloques de direcciones IP de proveedores de seguridad reciben la versión limpia. Las direcciones IP residenciales reciben la página de possibly phishing.
  • Cadenas «User-Agent» — Se identifican y se filtran los navegadores sin interfaz gráfica, los rastreadores conocidos (Googlebot, Bingbot, Screaming Frog) y los escáneres de seguridad.
  • Geolocalización — La página de possibly phishing solo se muestra a los visitantes de los países seleccionados. El resto de usuarios ve una página en blanco.
  • Encabezados de referencia — Solo los visitantes que llegan desde fuentes concretas (un anuncio de Google, un enlace de un correo electrónico de possibly phishing, una publicación en redes sociales) ven el contenido real.
  • Identificación de dispositivos — JavaScript comprueba la resolución de pantalla, las fuentes instaladas, el renderizador WebGL, la API de batería y otras señales para distinguir los dispositivos reales de los emuladores.
  • Reglas basadas en el tiempo — La página de possibly phishing solo está activa durante un horario concreto (por ejemplo, el horario laboral en la zona horaria de destino) y, fuera de ese horario, se muestra por defecto la página en blanco.
  • Seguimiento mediante cookies y sesiones — En la primera visita se muestra la página en blanco. Los visitantes que vuelven y tienen una cookie específica (establecida al hacer clic en el anuncio) ven la página de possibly phishing.
Tres actores maliciosos que gestionan una infraestructura de camuflaje — ilustración conceptual
La infraestructura de camuflaje filtra a los visitantes en múltiples niveles. Para cuando una víctima real llega a la página de possibly phishing, todas las defensas automatizadas ya han recibido un señuelo inofensivo.

Un sofisticado sistema de camuflaje combina todos estos elementos. El resultado es un dominio que parece totalmente limpio para cualquier escáner de Internet, mientras que, al mismo tiempo, roba activamente las credenciales de las víctimas seleccionadas.

La brecha en la detección

Cuando VirusTotal analiza una URL enmascarada, ve la página en blanco. Resultado: 0/93 detecciones. Google Safe Browsing lo rastrea y encuentra una entrada de blog. Resultado: sin previo aviso. La víctima hace clic en la misma URL desde su móvil a través de un anuncio de Google: ven una página de inicio de sesión falsa de [REDACTED]. No se trata de un problema teórico, sino del modelo operativo habitual del possibly phishing moderno.

Las herramientas que se esconden tras el engaño

El cloaking no se improvisa. Se lleva a cabo mediante un software comercial especializado llamado Sistemas de distribución del tráfico (TDS). El más utilizado en las operaciones de possibly phishing es [REDACTED].

[REDACTED] es un producto legítimo de tecnología publicitaria diseñado para que los especialistas en marketing de afiliación dirijan el tráfico en función de las características de los visitantes. Admite de serie todos los criterios de filtrado mencionados anteriormente —rangos de IP, ubicación geográfica, dispositivo, página de referencia y agente de usuario—. Los autores de ataques de possibly phishing solo tienen que configurarlo para redirigir a los usuarios que detectan el ataque a una página en blanco y a las víctimas a la página de possibly phishing.

Nuestra investigación, publicada como [REDACTED] TDS: 1.500 paneles expuestos, identificado 1.565 viñetas activas de [REDACTED] infraestructura dedicada al possibly phishing. No son 1.565 páginas de possibly phishing, sino 1.565 paneles de control, cada uno de los cuales gestiona entre decenas y cientos de campañas de possibly phishing simultáneamente.

Infraestructura de paneles TDS de [REDACTED] utilizada para la distribución de tráfico de phishing
[REDACTED] TDS: un sistema comercial de distribución de tráfico reconvertido en la columna vertebral de un sistema de ocultación de possibly phishing. Se han identificado y documentado más de 1.565 paneles.

Otras plataformas de TDS con las que nos encontramos son:

  • Binom — Un tracker autohospedado muy utilizado en las operaciones de la región de la CEI
  • BeMob — Sistema de seguimiento basado en la nube con filtrado de direcciones IP y detección de bots
  • Enrutadores PHP personalizados — Scripts de desarrollo propio que utilizan MaxMind GeoIP y listas de bloqueo de direcciones IP
  • IANA #1910 Workers — Enrutamiento basado en el borde que evalúa los atributos de los visitantes antes incluso de que la solicitud llegue al servidor de origen

El denominador común: todas ellas existen para mostrar contenidos diferentes a distintos visitantes. En el mundo del marketing de afiliación, esto se denomina «optimización del tráfico». En el possibly phishing, se denomina evasión.

Herramienta de detección disponible

Hemos construido el Herramienta de detección de [REDACTED] para detectar rastros de [REDACTED] TDS en cualquier dominio. Comprueba las rutas de panel conocidas, los patrones de encabezados de respuesta, las cadenas de redireccionamiento y las firmas de JavaScript asociadas a las instalaciones de [REDACTED].

El escenario de la «redirección a la página web oficial»

Uno de los patrones de «cloaking» más habituales con los que nos encontramos es un dominio que simplemente redirige a una página web oficial. El mensaje siempre es el mismo: «Compruébalo tú mismo: simplemente te redirige a NASDAQ:COIN.com. No es ningún intento de suplantación de identidad».

Esto es lo que está pasando realmente:

El escáner visita la URL
TDS comprueba la IP, el UA y la ubicación geográfica
302 → NASDAQ:COIN.com
Escáner: «Limpio»
La víctima hace clic en el anuncio
TDS comprueba la IP, el UA y la ubicación geográfica
Página de inicio de sesión falsa de NASDAQ:COIN
Credenciales robadas

El redireccionamiento a la página web oficial no significa que el dominio sea inofensivo. Es el propio mecanismo de camuflaje. El TDS ha determinado que el visitante es un robot de escaneo, y la respuesta más segura —la que tiene más probabilidades de dar lugar a un escaneo sin problemas— es redirigirlo a la página web auténtica.

A continuación se muestra un ejemplo simplificado de la lógica del lado del servidor:

// Simplified cloaking router (illustrative)
const SCANNER_IPS = ['34.0.0.0/8', '35.0.0.0/8', '64.233.0.0/16']; // Google, etc.
const BOT_UA = /bot|crawl|spider|scan|check|virus|curl|wget|python/i;
const TARGET_GEO = ['US', 'GB', 'CA', 'AU'];

function routeVisitor(req) {
  const ip = req.headers['cf-connecting-ip'];
  const ua = req.headers['user-agent'];
  const geo = req.headers['cf-ipcountry'];

  // If scanner/bot detected: redirect to official site
  if (isInRange(ip, SCANNER_IPS) || BOT_UA.test(ua)) {
    return Response.redirect('https://www.NASDAQ:COIN.com', 302);
  }

  // If not in target geography: show white page
  if (!TARGET_GEO.includes(geo)) {
    return renderWhitePage(); // Innocent blog post
  }

  // Real victim from target country: show possibly phishing page
  return renderPhishingPage(); // Credential harvester
}
La idea clave

Ningún sitio web legítimo redirige a los visitantes al dominio de otra empresa. Si [REDACTED] redirige a NASDAQ:COIN.com, ese dominio no tiene razón de ser. Una página auténtica de NASDAQ:COIN estaría alojada en NASDAQ:COIN.com. La redirección es la clave.

El problema de la «página en blanco»

Una «página en blanco» es el contenido de distracción que un dominio de possibly phishing camuflado muestra a los escáneres y a los visitantes que no forman parte del público objetivo. A pesar de su nombre, rara vez se trata de una página en blanco. Las páginas en blanco modernas son páginas web totalmente funcionales diseñado para parecer legítimo:

  • Entradas de blog sobre criptomonedas, finanzas o tecnología
  • Páginas de presentación de productos para herramientas SaaS genéricas
  • Artículos de prensa extraídos de publicaciones fiables
  • Páginas de dominios aparcados con mensajes genéricos del tipo «próximamente»
  • Contenido optimizado para SEO, diseñado para posicionarse en los resultados de búsqueda

Este último punto es fundamental. Las páginas en blanco no son solo herramientas de evasión, sino que son Armas de SEO. Al alojar contenido de alta calidad en un dominio de possibly phishing, los operadores logran dos objetivos a la vez: evitan ser detectados y Con ello, consiguen una autoridad de dominio que hace que sus enlaces de possibly phishing aparezcan en posiciones más altas en los resultados de búsqueda.

El ataque de «envenenamiento SEO» en tres fases

Este es el ciclo de vida completo de una campaña de possibly phishing basada en «white page»:

Fase 1
Autoridad de construcción
Fase 2
Clasificación e índice
Fase 3
Activar possibly phishing
Fase 1: Generar autoridad (semanas 1 a 4)
Registrar el dominio. Publicar una página de inicio con contenido optimizado para SEO (entradas de blog, artículos). Crear enlaces entrantes. El dominio va adquiriendo antigüedad y autoridad. Todos los rastreadores ven un sitio web con contenido limpio. Google lo indexa sin advertencias.
Fase 2: Clasificación e indexación (semanas 4 a 8)
El dominio empieza a posicionarse para las palabras clave objetivo («conectar el monedero [REDACTED]», «iniciar sesión en NASDAQ:COIN», «airdrop de criptomonedas»). El contenido de la página en blanco sigue estando disponible. Comienza a llegar tráfico orgánico. Se consolida la reputación del dominio en todos los sistemas de valoración.
Fase 3: Activación del possibly phishing (semana 8 en adelante)
Las reglas del TDS se han invertido. Los visitantes que se ajustan al perfil de las víctimas (IP residencial, país de destino, dispositivo móvil) ven ahora la página de possibly phishing en lugar de la página en blanco. Los escáneres siguen viendo la página en blanco. La reputación acumulada del dominio hace que las advertencias del navegador tarden en activarse. Las víctimas que hacen clic en resultados de búsqueda o anuncios llegan a un dominio que parece fiable y que tiene una puntuación de autoridad elevada.
Proceso de «envenenamiento SEO» de páginas en blanco: el dominio de phishing gana autoridad antes de activarse
Las páginas en blanco no son una evasión pasiva. Son armas activas de SEO que refuerzan la autoridad del dominio, consiguen un buen posicionamiento en los resultados de búsqueda y, a continuación, aprovechan esa reputación para enviar mensajes de possibly phishing a las víctimas a través de los resultados de búsqueda orgánicos.

Por eso marcamos los dominios en la Fase 1. Para cuando se activa la Fase 3, el daño ya está hecho. Esperar a que aparezca la página de possibly phishing equivale a esperar a que las víctimas pierdan sus credenciales y su dinero.

Escenarios de tráfico activo: anuncios y campañas de correo electrónico

No todos los casos de possibly phishing encubierto se basan en la búsqueda orgánica. Dos de los métodos más agresivos para captar tráfico son: publicidad de pago y campañas de correo electrónico, las cuales utilizan técnicas de ocultación para eludir la revisión de la plataforma.

Ocultación en Google Ads

Nuestra investigación sobre el Red de drenaje [REDACTED] documentado Más de 55 dominios utilizar Google Ads para atraer tráfico hacia sitios que vacían la cartera. El mecanismo:

  1. El operador envía el dominio para su revisión por parte de Google Ads. El rastreador de Google encuentra una página en blanco (un blog sobre la tecnología blockchain). Anuncio aprobado.
  2. Se publican anuncios dirigidos a las palabras clave «connect wallet» y «crypto airdrop».
  3. Un usuario de Google hace clic en el anuncio. TDS detecta una dirección IP residencial procedente de una fuente de referencia de Google Ads. Se sirve un plato que te deja la cartera vacía.
  4. La víctima conecta su monedero. Los activos se vacían en cuestión de segundos mediante una transacción prefirmada.

El sistema de revisión de anuncios de Google —al igual que cualquier escáner automatizado— solo ve la página en blanco. El anuncio sigue publicándose y el operador sigue pagando a Google por cada víctima que le envían.

Ocultación de campañas de correo electrónico

Las pasarelas de correo electrónico (Microsoft Defender para Office 365, Proofpoint, Mimecast) analizan los enlaces de los correos electrónicos antes de su envío. Cloaking gestiona esto de la misma manera:

  1. El correo electrónico de possibly phishing contiene un enlace a un dominio enmascarado.
  2. La pasarela de correo electrónico analiza la URL. El TDS del lado del servidor reconoce el rango de direcciones IP de la pasarela. Muestra la página en blanco o redirige al sitio web oficial. El correo electrónico se ha enviado.
  3. El destinatario hace clic en el enlace desde su cliente de correo electrónico. IP residencial, referenciador correcto, ubicación geográfica del destinatario. Se ha mostrado una página de possibly phishing.
La balanza

Solo en la investigación de [REDACTED], Google Ads financiaba activamente la distribución de programas que vaciaban carteras en más de 55 dominios. Cada dominio superó la revisión automática de Google porque al rastreador de Google se le mostraba una página en blanco. Esto no es una laguna jurídica, sino un fallo estructural en la forma en que las plataformas publicitarias validan las páginas de destino cuando se utiliza el cloaking.

Por qué el principio de «inocente hasta que se demuestre lo contrario» no se aplica en este caso

A veces oímos el argumento de que marcar un dominio basándose en una infraestructura de «cloaking» es prematuro, y que deberíamos esperar a que aparezca el contenido de possibly phishing propiamente dicho antes de tomar medidas. Este argumento malinterpreta en qué consiste el «cloaking».

El camuflaje no es una tecnología neutra. Es infraestructura adversaria diseñado específicamente para eludir la detección. Un dominio que utiliza técnicas de ocultación ya ha dejado clara su intención: mostrar una cosa a los sistemas de seguridad y otra a las víctimas. Esa configuración no tiene ningún propósito legítimo.

Las 5 señales que buscamos

Cualquier dominio que presente cualquier combinación de estas señales se marca como maliciosa:

  1. Publicación de contenido condicional — Contenido diferente en función de la dirección IP, el agente de usuario, la ubicación geográfica, la página de referencia o la huella digital del dispositivo
  2. Huellas digitales de TDS[REDACTED], Binom, BeMob o firmas de enrutadores personalizadas en los encabezados de respuesta, las cadenas de redireccionamiento o JavaScript
  3. Redirigir a las páginas web oficiales — Cualquier redirección a un dominio legítimo de terceros (especialmente de entidades bancarias, de criptomonedas o de proveedores de correo electrónico)
  4. Página en blanco con contenido no relacionado — Entradas de blog, artículos de noticias o contenido genérico en un dominio registrado recientemente y sin presencia comercial consolidada
  5. JavaScript antibots — Scripts de «fingerprinting» que comprueban si se trata de navegadores sin interfaz gráfica, WebDriver, las dimensiones de la pantalla o la representación en canvas antes de decidir qué mostrar

En nuestro conjunto de datos, compuesto por más de 50 000 sitios web analizados, el número de dominios que presentaban estas señales y que resultaron ser legítimos es de cero. No es «poco frecuente», es que no ocurre nunca. Nunca nos hemos encontrado con una sola página web legítima que necesitara redirigir a los visitantes no específicos al dominio de otra empresa, o mostrar un blog sobre criptomonedas a los rastreadores mientras mostraba un formulario de inicio de sesión a los visitantes de rangos de IP concretos.

Nuestra política

El «cloaking» es una señal binaria. Si un dominio muestra contenidos diferentes a distintos visitantes utilizando los mecanismos descritos anteriormente, se marca como sospechoso. Si un operador considera que se trata de un falso positivo, nuestro procedimiento de recurso existe precisamente para este fin. Hasta la fecha, ninguna señalización relacionada con el cloaking ha sido revocada tras una apelación.

El problema del secretario

El «cloaking» genera un problema posterior a la hora de denunciar abusos. Cuando denunciamos un dominio oculto ante un registrador, el equipo de abuso de este visita la URL y ve… una página limpia. Una entrada de blog. Una redirección a NASDAQ:COIN.com. Desde su punto de vista, no hay nada sobre lo que actuar.

Este es precisamente el escenario que se produjo en nuestro Investigación sobre IANA #3765 y nuestro Investigación sobre IANA #1479. En ambos casos, los registradores comprobaron los dominios denunciados, comprobaron que el contenido era adecuado y, o bien archivaron el caso, o bien defendieron activamente al titular del dominio.

El problema es sistémico:

  • Los equipos de lucha contra los abusos de los registradores utilizan los mismos métodos de análisis que los proveedores de antivirus — Acceden a la URL desde direcciones IP de centros de datos utilizando navegadores estándar. El cloaking lo frustra siempre.
  • Ningún registrador ha invertido en la detección del cloaking — Existe la tecnología para detectar la distribución de contenidos condicionales (la hemos desarrollado nosotros), pero ningún registrador la ha implementado.
  • El marco de la ICANN sobre abusos no tiene en cuenta el cloaking — Las denuncias por abuso requieren pruebas de que existe contenido perjudicial. Si el contenido perjudicial solo lo ven las víctimas, el proceso de verificación del propio registrador nunca lo detectará.
Error en la respuesta del registrador

Hemos documentado este patrón de forma exhaustiva. Nuestro informe Cuando las denuncias de abusos no tienen ningún resultado explica cómo los registradores no toman medidas de forma sistemática ante los dominios ocultos, ya que sus métodos de verificación son precisamente lo que el cloaking pretende eludir.

Por eso THE ENABLERS REGISTRY funciona como una capa independiente. No nos limitamos a visitar la URL desde una única dirección IP y comprobar lo que muestra. Analizamos cadenas de redireccionamiento, huellas TDS, comportamiento de JavaScript, historial de DNS, registros de transparencia de certificados y patrones temporales en miles de dominios. Cuando marcamos un dominio, ya hemos tenido en cuenta el hecho de que el dominio parecerá limpio a cualquiera que lo compruebe de la forma más obvia.

Resumen: Técnicas de ocultación y detección

TécnicaLo que ven los escáneresLo que ven las víctimasMétodo de detección
Filtrado basado en direcciones IPPágina en blanco / redirecciónPágina de possibly phishingEscaneo de múltiples direcciones IP, comparación de proxies residenciales
Filtrado basado en UAPágina en blanco / 403Página de possibly phishingRotación de UA: comparación entre un navegador sin interfaz gráfica y un navegador real
Filtrado basado en la ubicaciónContenido genéricoPossibly phishing localizadoEscaneo de proxies multirregional
Filtrado de referenciasPágina en blancoPossibly phishing (a través de anuncios o correo electrónico)Falsificación de la fuente de referencia, simulación de clics en anuncios
Identificación de JavaScriptPágina en blanco (se ha detectado un bot)Possibly phishing (dispositivo real)Análisis estático de JavaScript, desofuscación
Reglas basadas en el tiempoLimpieza (fuera del horario laboral)Possibly phishing (horario comercial)Análisis temporal, comprobaciones alineadas con la zona horaria
Control de acceso mediante cookies o sesionesLimpio (primera visita)Possibly phishing (nueva visita con cookie)Análisis de sesiones con múltiples visitas, reproducción de cookies
TDS ([REDACTED]/Binom)Página en blanco o redirecciónRedirigido a una página de possibly phishingHerramienta de detección de [REDACTED], análisis de encabezados y redireccionamientos
Redirección a la página web oficial302 → sitio web legítimoPágina de possibly phishingAnálisis del destino de la redirección, validación de la finalidad del dominio
Resumen de la detección de técnicas de camuflaje y del análisis de la infraestructura de phishing
El panorama completo: cada técnica de ocultación tiene su método de detección. El reto no es la tecnología, sino conseguir que los registradores, las plataformas publicitarias y las pasarelas de correo electrónico los pongan en práctica.

Conclusión

El cloaking no es una zona gris. Es el la técnica de evasión más eficaz con creces en el possibly phishing moderno, y todos los componentes del ecosistema del possibly phishing —desde Google Ads hasta las pasarelas de correo electrónico, pasando por los equipos de lucha contra el uso indebido de los registradores— están fallando actualmente a la hora de abordarlo.

Cuando THE ENABLERS REGISTRY señala un dominio por cloaking, no estamos haciendo una suposición. Estamos documentando la presencia de una infraestructura maliciosa que existe con un único propósito: mostrar contenido diferente a distintos visitantes. En más de 50 000 análisis, la tasa de falsos positivos para esta señal es cero.

Si tu dominio ha sido marcado:

  • Si eres un operador legítimo y crees que se trata de un falso positivo, presentar un recurso. Las revisamos todas.
  • Si estás utilizando una infraestructura de cloaking, ya lo sabemos. La página en blanco que le mostraste a nuestro escáner no es lo que ven tus víctimas. Y tenemos pruebas que lo demuestran.
La página en blanco no es una defensa. Es una confesión. Si tu dominio necesita mostrar contenidos diferentes a distintos visitantes, ya has respondido a la pregunta de si es malicioso.

Todos los dominios ocultos son bloqueados. Sin excepciones. Ninguna apelación ha prosperado. Porque, en 50 000 análisis, nunca nos hemos equivocado con respecto a esta señal.

Investigaciones y recursos relacionados

Este artículo se basa en nuestra experiencia operativa al analizar más de 50 000 dominios, investigar infraestructuras de possibly phishing activas y presentar informes de abuso ante los registradores y la ICANN. Todas las técnicas descritas están documentadas con pruebas. En ningún momento de nuestra investigación se llevó a cabo ningún acceso no autorizado.

Continue browsing the ledger

This page is the editorial mirror. Brand names are redacted to public IANA / business identifiers. Use the index to navigate other case files.

Open registrar ledger → All briefings