Cuando las denuncias de abuso no tienen cabida: cómo los registradores se convierten en cómplices silenciosos de la ciberdelincuencia
Enviamos informes de abuso repletos de pruebas —detecciones de VirusTotal, capturas de pantalla, datos de listas negras, análisis antivirus—. Los registradores los reciben y no hacen nada. Algunos dominios de possibly phishing siguen activos. 1.788 horas y 13 informes distintos. No se trata de un fallo del sistema, sino de una decisión de diseño. Aquí están los datos.
El sistema fallido
Cada denuncia de abuso que enviamos sigue un protocolo claro: URL del dominio, categoría (possibly phishing, software para robar criptomonedas, casino falso), recuento de detecciones en VirusTotal, capturas de pantalla como prueba y estado en la lista negra. No se trata de denuncias vagas, sino de expedientes forenses. Y, sin embargo, un dominio tras otro sigue en línea durante semanas y meses tras el primer informe.
No existe una norma universal sobre cómo deben gestionar los registradores las denuncias de abuso. No hay ningún acuerdo de nivel de servicio (SLA). No hay un plazo de respuesta obligatorio. No hay ningún indicador de rendición de cuentas. Cada registrador decide por su cuenta si un dominio señalado por 16 motores antivirus merece atención — o una respuesta tipo y un ticket cerrado.
¿Quién supera a los 16 motores antivirus?
Esta es la pregunta que ningún registrador quiere responder. Cuando Kaspersky, ESET, Fortinet, BitDefender, Sophos, G-Data y otros diez proveedores de seguridad marcan un dominio como malicioso en VirusTotal, y el equipo de lucha contra los abusos del registrador decide «No es necesario realizar ninguna acción» — ¿Quién tomó exactamente esa decisión?
Piensa en lo absurdo que es: un solo analista de abusos de un registrador anula la información combinada sobre amenazas de 16 motores antivirus independientes, cada uno con miles de millones de puntos de datos, laboratorios de investigación especializados y décadas de experiencia. ¿En qué se basan? ¿Qué infraestructura de análisis utiliza el equipo de lucha contra los abusos de IANA #3765 o GlobalDomainGroup que supere a la de Kaspersky?
La respuesta es sencilla: ninguna. No lo revisan. No lo comprueban. O bien ni siquiera miran el informe, o bien se basan en un cálculo económico: un dominio activo genera ingresos; uno suspendido, no.
Seamos claros sobre lo que esto significa: alguien de la entidad registradora analizó las pruebas aportadas por 13 proveedores de seguridad independientes y 13 informes de abuso distintos, y decidió que su propio criterio era superior. Eso no es un error. Es una política.
No respetan a ninguna autoridad
Nombra un solo proveedor de antivirus al que los registradores consideren una referencia. No puedes, porque no hay ninguno.
- Kaspersky — ¿Detecta el dominio? Se ignora.
- ESET — ¿Lo marca como possibly phishing? Lo ignoro.
- Fortinet — ¿Lo bloquea a nivel de red? Se ignora.
- BitDefender — ¿Alerta a millones de usuarios? Se ignora.
- Google Safe Browsing — ¿El mayor sistema de seguridad en la red del mundo? Y aún así se sigue ignorando.
Hay sin umbral de detección ante las cuales el registrador está obligado a actuar. Ni 5 motores. Ni 10. Ni 16. Un dominio puede ser marcado por todos los proveedores de antivirus en VirusTotal, aparecer en múltiples listas negras y tener una docena de denuncias por abuso presentadas, y el registrador no tiene ninguna obligación legalmente exigible de hacer nada.
Esto no es una laguna del sistema. Este es el sistema. El sector del registro de dominios ha logrado eludir cualquier norma vinculante que le obligara a respetar las conclusiones de los investigadores de seguridad, los proveedores de antivirus o las plataformas de inteligencia sobre amenazas. Cuando 16 de 70 motores detectan un dominio, eso no es un «quizás». Es un consenso. Y el equipo de abuso del registrador, que carece por completo de infraestructura de análisis y tiene un interés económico en mantener el dominio activo, anula ese consenso.
El incentivo económico
Los registradores de dominios cobran cuotas anuales por cada dominio. Cada suspensión supone una pérdida de ingresos. Cada retirada supone un riesgo de reembolso. Existe un incentivo económico directo y cuantificable para mantener los dominios activos, y no hay ninguna sanción económica por ignorar las denuncias de abuso.
No ocurre lo mismo con todos los proveedores de infraestructuras. IANA #1910, por ejemplo, gestiona las denuncias de abuso de forma eficaz y no obtiene ingresos por el registro de dominios de la misma manera. La distinción es importante: cuando la empresa que gestiona tu denuncia se beneficia de que el dominio permanezca en línea, el conflicto de intereses es estructural.
Las pruebas: datos en tiempo real extraídos de nuestros informes
A continuación se muestra un ejemplo de nuestro registro de escalación de casos de abuso de marzo de 2026. Cada entrada corresponde a un dominio de possibly phishing real que fue todavía en activo en el momento de redactar este informe, a pesar de los informes previos y de las detecciones confirmadas.
| Dominio | Informes | Activo (horas) | VT | BL | Abuso por parte del registrador |
|---|---|---|---|---|---|
| payscrow[.]bet | 6 | 1.788 h | 16 | — | IANA #69 |
| [REDACTED] | 4 | 1.783 h | 4 | 1 | Resistencia |
| [REDACTED] | 2 | 1 781 h | 3 | — | IANA #3765 |
| airdrop[.]autos | 3 | 1 364 h | 4 | 1 | IANA #1923 |
| [REDACTED] | 7 | 1.363 h | 14 | 1 | IANA #69 |
| [REDACTED] | 7 | 1.363 h | 9 | 1 | IANA #69 |
| [REDACTED] | 4 | 1.363 h | 10 | 1 | [REDACTED] |
| aavleaderboard[.]assetavenue[.]capital | 2 | 1.359 h | 1 | — | Identidad digital |
| [REDACTED] | 2 | 1.359 h | 1 | — | IANA #1068 |
| [REDACTED] | 13 | 1 352 h | 13 | — | [REDACTED] |
| [REDACTED] | 4 | 1 330 h | 14 | — | Verisign |
| zordex[.]us | 3 | 1 314 h | 14 | — | [REDACTED] |
| [REDACTED] | 2 | 1 278 h | 15 | — | GlobalDomainGroup |
| [REDACTED] | 2 | 1 278 h | 7 | 1 | IANA #3765 |
| [REDACTED] | 4 | 1 278 h | 4 | 1 | IANA #3765 |
| [REDACTED] | 2 | 1 278 h | 6 | 1 | IANA #69 |
| [REDACTED] | 4 | 1 228 h | 16 | — | IANA #1861 |
| [REDACTED] | 2 | 1.049 h | 16 | — | IANA #472 |
| amlinfo[.]now | 2 | 1.033 h | 2 | — | IANA #1861 |
| [REDACTED] | 4 | 1.026 h | 14 | — | GlobalDomainGroup |
| [REDACTED] | 6 | 1.021 h | 14 | — | [REDACTED] |
| menty[.]sbs | 4 | 985 h | 16 | — | [REDACTED] |
| [REDACTED] | 5 | 971 h | 14 | — | [REDACTED] |
| amlbot[.]im | 4 | 965 h | 6 | — | nic.im |
| [REDACTED] | 2 | 879 h | 2 | — | GlobalDomainGroup |
| [REDACTED] | 5 | 826 h | 11 | — | PDR |
| [REDACTED] | 2 | 803h | 2 | — | IANA #3765 |
| [REDACTED] | 2 | 751 h | 6 | — | PDR |
| [REDACTED] | 2 | 730 h | 3 | — | Resistencia |
| [REDACTED] | 2 | 717 h | 15 | — | GlobalDomainGroup |
| [REDACTED] | 2 | 717 h | 6 | — | GlobalDomainGroup |
| [REDACTED] | 2 | 674 h | 2 | — | PIR |
| [REDACTED] | 2 | 652 h | 2 | — | PIR |
| [REDACTED] | 2 | 618 h | 15 | — | IANA #1923 |
| [REDACTED] | 5 | 539 h | 14 | — | INWX |
| [REDACTED] | 5 | 535 h | 12 | — | GlobalDomainGroup |
| [REDACTED] | 2 | 496 h | 3 | — | IANA #1509 |
| [REDACTED] | 2 | 448 h | 1 | — | [REDACTED] |
| patricksstash[.]to | 2 | 427 h | 2 | — | tonic.to |
| [REDACTED] | 2 | 427 h | 5 | — | IANA #3765 |
| [REDACTED] | 2 | 402h | 14 | — | [REDACTED] |
| [REDACTED] | 2 | 388 h | 16 | — | [REDACTED] |
| dexscreener[.]at | 2 | 328 h | 16 | — | nic.at |
| [REDACTED] | 1 | — | 16 | — | Verisign |
| appether[.]fi | 1 | — | 13 | 1 | — |
VT = Detecciones de VirusTotal en unos 70 motores. «Activo» = horas transcurridas desde la primera detección en el momento de la escalación. Datos: registro de escalación de abusos de THE ENABLERS REGISTRY, del 19 al 21 de marzo de 2026.
Las cifras no mienten
Tiempo medio de actividad
~39 días de media en todos los dominios con horas de actividad conocidas
Tiempo máximo de actividad
payscrow[.]bet — 75 días, 6 informes, VT:16
Total de informes enviados
Informes combinados de todos los ámbitos, solo en esta muestra
Dominios con VT ≥ 10
Casi la mitad de todos los dominios —cuya naturaleza maliciosa ha sido confirmada por más de 10 motores antivirus— siguen activos
Los reincidentes: desglose por registradores
No todos los registradores son iguales. Nuestros datos muestran patrones claros: algunos registradores aparecen repetidamente entre los que obtienen peores resultados.
[REDACTED]
- [REDACTED] — 1.352 h, 13 denuncias, VT:13
- zordex[.]us — 1.314 h, 3 informes, VT:14
- [REDACTED] — 1.021 h, 6 informes, VT:14
- [REDACTED] — 971 h, 5 informes, VT:14
4 dominios. En total: 4.658 horas de infraestructura delictiva. 27 denuncias ignoradas.
GlobalDomainGroup
- [REDACTED] — 1.026 h, VT:14
- [REDACTED] — 717 h, VT:15
- [REDACTED] — 717h, VT:6
- [REDACTED] — 535h, VT:12
- [REDACTED] — 356 h, VT:9
- [REDACTED] — 357 h, VT:2
- [REDACTED] — 327 h, visitas: 6
- [REDACTED] — 327 h, VT:2
- [REDACTED] — 293h, VT:1
- [REDACTED] — 365 h, VT:1
10 dominios. El clúster más grande de nuestro conjunto de datos. Un patrón, no una casualidad.
IANA #69 / IdentityDigital
- payscrow[.]bet — 1.788 h, 6 informes, VT:16
- [REDACTED] — 1.363 h, 7 informes, VT:14, BL:1
- [REDACTED] — 1.363 h, 7 informes, VT:9, BL:1
- [REDACTED] — 1.278 h, 2 informes, VT:6, BL:1
IANA #69: 22 informes en total, 5.792 horas de fraude. amlstats recibió 7 informes —uno por semana— y los superó todos.
IANA #3765 (IANA #3765)
- [REDACTED] — 1.781 h, VT:3
- [REDACTED] — 1.278 h, visitas: 7, enlaces: 1
- [REDACTED] — 1.278 h, 4 informes, VT:4, BL:1
- [REDACTED] — 803h, VT:2
- [REDACTED] — 427h, VT:5
- [REDACTED] — 310 h, VT:2
- [REDACTED] — primer informe, VT:1
- [REDACTED] — primer informe, VT:2
8 ámbitos. Más de 5.877 horas en total. Temas investigados anteriormente: Veredicto de IANA #3765 — No se han encontrado usos legítimos.
IANA #1861
- [REDACTED] — 1.228 h, 4 informes, VT:16
- amlinfo[.]now — 1.033 h, 2 informes, VT:2
- [REDACTED] — 712 h, 2 informes, VT:1
[REDACTED]: 16 detecciones de antivirus, 4 denuncias y 51 días en línea. ¿Qué consideró aceptable el equipo de abuso de IANA #1861?
IANA #472
- [REDACTED] — 1.049 h, 2 informes, VT:16
- aave[.]events — primer informe, VT:2, BL:1
- [REDACTED] — primer informe, VT:9
[REDACTED]: 16 detecciones de VT y 44 días de actividad delictiva. IANA #472 es un registrador acreditado por la ICANN.
[REDACTED]
- [REDACTED] — 388 h, visitas: 16
- [REDACTED] — 402h, VT:14
Ambos dominios registran entre 14 y 16 detecciones de antivirus. Ambos siguen activos tras el segundo informe.
Total de horas de inactividad del secretario
Horas de actividad combinadas de todos los dominios notificados por registrador en nuestro conjunto de datos de marzo de 2026. No se trata del total de abusos por parte de los registradores, sino únicamente de lo que observamos en una muestra.
Lo que enviamos frente a lo que hacen
Cada informe de abuso de THE ENABLERS REGISTRY incluye:
Nuestro informe incluye
- URL del dominio y datos de registro
- Puntuación de VirusTotal con los nombres de los proveedores
- Captura de pantalla a página completa del sitio web de possibly phishing
- Clasificación por categorías (possibly phishing, programas de extracción de datos, casinos fraudulentos)
- Estado de la lista negra procedente de varias fuentes
- Resultados de análisis de URLscan.io o similares
- Historial y cronología de informes anteriores
Respuesta del registrador
- Ninguna respuesta en absoluto (lo más habitual)
- Confirmación de recepción de la plantilla, no requiere acción
- «Lo revisaremos»… pasan las semanas y el dominio sigue ahí
- «No podemos verificar esa afirmación», a pesar de las 16 detecciones de VT
- Incidencia cerrada sin resolución
- Solicitud de pruebas ya presentadas
Ante la falta de respuesta del registrador, elevamos el asunto a Cumplimiento de las normas de la ICANN (compliance@icann.org). En todos los casos mencionados anteriormente, se incluyó a la ICANN en copia en el segundo informe o en los siguientes. ¿El resultado? La misma ausencia.
La norma de la ICANN que no existe
La ICANN Acuerdo de Acreditación de Registradores (RAA), apartado 3.18 exige a los registradores que dispongan de un punto de contacto para casos de abuso y que «adopten medidas razonables y rápidas para investigar y responder adecuadamente» a las denuncias de abuso.
En la práctica, «razonable y rápido» significa lo que el registrador decida que significa. Existe:
- No hay un tiempo máximo de respuesta — un registrador puede esperar semanas y alegar que era «razonable»
- No existe un umbral de suspensión obligatorio — Las 16 detecciones de VT no activan automáticamente nada.
- No existe la obligación de presentar informes públicos — Los registradores no están obligados a publicar el número de denuncias que reciben ni las medidas que adoptan al respecto.
- Ninguna sanción significativa — La ICANN rara vez ha revocado una acreditación por no haber tomado medidas ante un abuso
El resultado: los registradores consideran la gestión de los abusos como un centro de costes que hay que reducir al mínimo, y no como una obligación de seguridad que hay que cumplir.
Toman medidas contra el «typosquatting», pero no contra el «possibly phishing»
Esto es lo que hace que todo esto resulte aún más absurdo. Algunos de los mismos registradores que ignoran durante meses las denuncias de possibly phishing son extremadamente eficientes en un tipo concreto de abuso: typosquatting — dominios que son tan similares a marcas ya consolidadas que pueden dar lugar a confusión.
¿Por qué? Porque el «typosquatting» se centra en empresas con presupuestos jurídicos. Cuando Google, Apple o Microsoft presentan una reclamación ante la UDRP por un dominio similar, los registradores actúan en cuestión de días. La amenaza de un litigio y de sanciones de ICANN por abuso de marcas registradas es real e inmediata.
¿Pero qué pasa cuando un dominio de possibly phishing roba dinero a víctimas particulares? ¿Cuando un «crypto drainer» deja a alguien sin los ahorros de toda una vida? ¿Cuando un casino falso roba los datos de las tarjetas de crédito de los jugadores? Sin equipo jurídico corporativo. Sin presentación de reclamaciones UDRP. Sin urgencia. El departamento de abuso del registrador aplica un criterio diferente, según el cual la pérdida económica de la víctima no da lugar a la misma respuesta que una reclamación relacionada con la marca registrada de una empresa.
Informe sobre «typosquatting»
- El titular de la marca presenta una demanda ante la UDRP
- El registrador responde en unos días
- Dominio bloqueado o suspendido rápidamente
- Consecuencias jurídicas de la inacción
Denuncia de possibly phishing o estafa
- Las víctimas y los investigadores presentan denuncias por abusos
- El registrador hace caso omiso durante semanas o meses
- El dominio permanece activo hasta su vencimiento
- La inacción no tiene consecuencias
El mensaje es claro: Los registradores protegen las marcas, no a las personas. Responden a la autoridad legal, no a las pruebas de perjuicio. Nuestros informes contienen más pruebas objetivas que cualquier solicitud presentada ante la UDRP —análisis de VirusTotal, detecciones de antivirus, confirmaciones de listas negras, capturas de pantalla— y, sin embargo, quedan sin respuesta.
Hacemos su trabajo… gratis
THE ENABLERS REGISTRY es un proyecto independiente y sin ánimo de lucro. Analizamos dominios. Clasificamos las amenazas. Generamos informes de VirusTotal. Realizamos capturas de pantalla. Redactamos informes detallados sobre abusos y los enviamos a los registradores, los registros y la ICANN. Nos encargamos de las tareas de seguridad que deberían realizar los registradores.
Y esta es la incómoda verdad: De hecho, algunos registradores se encargan de esta tarea. Algunos registradores cuentan con su propia infraestructura de análisis de dominios, utilizan fuentes privadas de información sobre amenazas y suspenden de forma proactiva los dominios maliciosos antes incluso de que nadie los denuncie. Existen. Demuestran que es posible.
Registradores que actúan
- Ejecutar herramientas de análisis interno (privadas, no públicas)
- Suspender de forma proactiva los dominios que presenten un fraude evidente
- Responder a las denuncias de abuso en cuestión de horas
- Colaborar con los investigadores y las fuerzas del orden
- Aceptar los datos de VirusTotal y de las listas negras como pruebas
Estos registradores demuestran que una respuesta rápida ante los abusos es viable tanto desde el punto de vista técnico como económico.
Registradores que protegen a los estafadores
- No existe infraestructura de digitalización alguna
- Espera a que salgan los informes y luego ignóralos
- Respuestas automáticas, ticket cerrado, dominio activo
- Rechazar la recepción de informes (patrón IANA #1479)
- Anular 16 motores antivirus sin ninguna prueba
Estos registradores han antepuesto los beneficios a la seguridad. Su inacción se ve subvencionada por la comunidad de seguridad, que realiza su trabajo de forma gratuita.
La cuestión no es si es posible dar una respuesta rápida ante los abusos. Así es. La pregunta es por qué algunos registradores deciden no hacerlo. Y la respuesta, una y otra vez, nos lleva al mismo incentivo estructural: Los dominios activos generan ingresos. Los dominios suspendidos, no.
Normas vinculantes que deberían aplicarse
El marco para exigir responsabilidades a los registradores ya existe, pero no se aplica:
RAA de la ICANN, artículo 3.18
El Acuerdo de acreditación de registradores exige a los registradores que mantengan una lista de contactos para casos de abuso y que investiguen las denuncias con celeridad. En la práctica, el cumplimiento de esta norma es prácticamente inexistente.
APWG
El Grupo de Trabajo contra el Possibly phishing publica informes trimestrales sobre las tendencias del possibly phishing que ponen de manifiesto la magnitud del problema. Los registradores forman parte del APWG, pero siguen haciendo caso omiso de los informes.
Medidas de la FTC
El Carta de advertencia de la FTC a IANA #1479 (diciembre de 2024) señaló explícitamente la falta de medidas para combatir el fraude. La propia ICANN Departamento de Cumplimiento Normativo recibe nuestras notificaciones de escalado y no responde.
DNSAI
El Instituto contra el Uso Indebido del DNS (a cargo de PIR) desarrolla herramientas como DAAR y promueve las mejores prácticas. Sin embargo, el propio registro de PIR aloja [REDACTED] (674 h activo, VT:2) y [REDACTED] (652 h).
50 000 dominios y sumando
Los ejemplos anteriores son un muestra de una sola semana. La magnitud real es abrumadora.
Nuestra fuente de información sobre amenazas, que se actualiza constantemente, en content_active.txt contiene más de 50 000 dominios que han sido denunciados como maliciosos. Cada uno de ellos recibió al menos una denuncia por abuso. Muchos recibieron varias. Los registradores recibieron las pruebas —los análisis de VirusTotal, las capturas de pantalla, las confirmaciones de inclusión en listas negras— y antepusieron los intereses de sus clientes a la seguridad del público.
Porque eso es precisamente lo que es esto: una opción. El cliente del registrador es la persona que registró el dominio: el estafador. El cliente del registrador no es la abuela que perdió sus ahorros en una página bancaria falsa, ni el usuario de criptomonedas al que le vaciaron el monedero, ni el jugador al que le robaron la cuenta de [REDACTED]. El registrador eligió al estafador. Siempre.
Desde la denuncia hasta la asistencia a las víctimas: cada hora cuenta
En el momento en que enviamos una denuncia por abuso, se pone en marcha un plazo. A partir de ese momento, el registrador debe tener conocimiento oficial que un dominio bajo su gestión se está utilizando para cometer fraude. Cada hora de inacción tras esa notificación es una hora de complicidad consciente.
Muchos dominios de nuestro conjunto de datos no solo sobreviven a unas pocas denuncias, sino que perduran hasta que su finaliza el plazo de inscripción. Siguen todo el ciclo: se registran, cometen una estafa, son denunciados, vuelven a ser denunciados, el caso se remite a la ICANN, siguen estafando y, finalmente, el dominio caduca de forma natural. El registrador cobró la cuota de registro. El estafador se embolsó los fondos robados. Las víctimas no obtuvieron nada.
La suspensión oportuna de un dominio no es solo una medida administrativa. No es solo «un inconveniente para el titular del dominio». Es una operación de rescate. Cada dominio bloqueado a tiempo supone un monedero que no se vacía, una credencial que no se roba y una cuenta de ahorros que no se agota. Los registradores que califican las retiradas de «censura» o «obstáculo para el negocio» están dejando claro a quiénes sirven exactamente.
¿Deberían los registradores indemnizar a las víctimas?
Esta es la pregunta que todo el sector del registro de dominios se niega a abordar:
Piénsalo. Una vez que el registrador recibe el informe, se encuentra ya no es ignorante. Se les ha informado, con pruebas, de que un dominio bajo su control se está utilizando para robar dinero, credenciales e identidades. A partir de ese momento, la inacción continuada no es negligencia, sino un decisión consciente para permitir que se cause daño.
- ¿Está dispuesto el registrador a asumir la responsabilidad? ¿por cada dólar robado a través de un dominio sobre el que se les había advertido?
- ¿Está dispuesto el registrador a indemnizar a las víctimas? ¿Quiénes perdieron dinero después de que se presentara la denuncia por abuso y esta fuera ignorada?
- ¿El equipo jurídico del registrador ¿Entiendes que decir «lo hemos revisado y no hemos encontrado ningún problema» —cuando 16 motores antivirus no están de acuerdo— no es una postura defendible?
Si la respuesta a las tres preguntas es «no», entonces no hay ninguna razón válida para mantener activo el dominio. Primero suspender, luego investigar. Así es como actúan los proveedores de infraestructura responsables. Así es como actúa IANA #1910. Así es como actúan cada vez más los proveedores de alojamiento web como Hetzner y IANA #433. Solo los registradores de dominios se aferran a un modelo en el que la comodidad del estafador prima sobre la seguridad de la víctima.
¿Quién paga el precio?
Cada hora que un dominio de possibly phishing permanece en línea se traduce directamente en víctimas:
- Dominios que roban criptomonedas (farewex, perowex, xerowex, naebex) — carteras vaciadas en cuestión de segundos. Las 4.658 horas combinadas de los dominios de [REDACTED] representan miles de posibles vaciamientos de carteras.
- Casinos falsos / Estafas relacionadas con CS:GO (variantes de casebattle, csgomy, ggddrop, tastdrop) — fraude con tarjetas de crédito, robo de identidad y resultados amañados dirigidos a los jugadores.
- Suplantación de identidad de un servicio falso (dexscreener[.]at, [REDACTED][.]receipts[.]sh, amlbot[.]im, [REDACTED]) — suplantación de identidad de marcas que da lugar al robo de credenciales y a pérdidas económicas.
- Infraestructura de cardado (patricksstash, stashhpatrick) — venta de datos de pago robados a otros delincuentes.
Lo que debe cambiar
El modelo actual está fallando por su propio diseño. Los registradores se benefician de que los dominios permanezcan activos. ICANN carece de capacidad para hacer cumplir la normativa. Las víctimas no tienen ningún recurso. Esto es lo que solucionaría el problema:
- Acuerdo de nivel de servicio (SLA) obligatorio para la gestión de casos de abuso: Confirmación en 24 horas, acción inicial en 72 horas, proceso de escalado en 7 días. Cuantificable. Auditable.
- Umbral de suspensión automática: Cualquier dominio con ≥10 detecciones en VirusTotal y al menos 2 informes independientes debe suspenderse a la espera de una revisión, y no al revés.
- Informes públicos sobre transparencia en materia de abusos: Todos los registradores acreditados por la ICANN deben publicar trimestralmente: los informes recibidos, el tiempo medio de respuesta, las medidas adoptadas y los dominios suspendidos.
- Sanciones económicas por incumplimiento: Multas progresivas para los registradores que incumplan sistemáticamente sus obligaciones. Pérdida de la acreditación para los reincidentes.
- Defensor del pueblo independiente contra los abusos: Un organismo independiente que pueda revisar las decisiones de los registradores, poner fin a la inacción y acelerar los procedimientos de suspensión en caso de amenazas graves.
- Lista de prohibiciones entre registradores: Cuando se confirme que un solicitante de registro es un infractor reincidente, se deberá notificar a todos los registradores acreditados. Se acabó la «caza de dominios».
Qué ha hecho THE ENABLERS REGISTRY al respecto
No nos limitamos a redactar informes y esperar a que el sector se corrija por sí solo. Creamos sistemas que imponen la transparencia y establecen consecuencias por la inacción.
Base de datos pública de amenazas
Hemos creado y mantenemos el lista de eliminación — una base de datos pública y actualizada continuamente con más de 50 000 dominios maliciosos. Cada denuncia de abuso que enviamos se comunica ahora al registrador: Este dominio aparecerá en una base de datos pública.. Las posibles víctimas de los dominios de sus clientes podrán ver cuándo se presentó la denuncia y cuánto tiempo la ignoró el registrador. Esto resulta incómodo para los registradores, y ese es precisamente el objetivo.
Páginas sobre amenazas relacionadas con dominios
Cada dominio que marcamos cuenta ahora con una página específica en enablers.report/domain — con un análisis completo, una descripción de la amenaza generada por IA y un Proceso de respuesta ante amenazas que muestra las fases exactas del proceso: detección, envío del informe, escalado, notificación a la ICANN. Los estados se actualizan en tiempo real. Ahora estamos añadiendo marcas de tiempo exactas de cada informe de seguimiento para garantizar una transparencia total. Cualquiera puede ver exactamente cuándo se notificó al registrador y cuánto tiempo decidió no tomar medidas.
Sistema de escalado — No informar de inundaciones
Hacemos no inundar a los registradores con informes duplicados. En el 98 % de los casos, enviamos un único informe inicial y no lo repetimos, tanto por los límites diarios de correo electrónico como porque creemos que la duplicación masiva no es el enfoque adecuado. Solo enviamos un informe de seguimiento cuando un dominio es se ha vuelto a detectar como activo durante un nuevo análisis. Si enviáramos spam a todos los dominios activos a diario, eso supondría 50 000 correos electrónicos al día. Pero no lo hacemos. Nuestro sistema de escalado genera informes de seguimiento (n.º 2, n.º 3, etc.) con resúmenes de amenazas analizados por IA, puntuaciones actualizadas de VirusTotal y un recuento de las horas que el registrador ha ignorado la amenaza.
Herramienta de reenvío de informes de la comunidad
En nuestro bot de [REDACTED] @EnablersRegistry, los usuarios ya pueden enviar nuevos informes para los dominios que han detectado que siguen activos tras nuestro informe inicial. Dado que son demasiados los registradores que permiten a los estafadores actuar con total libertad e ignoran los daños catastróficos que causan, damos voz a la comunidad. Si un registrador no nos hace caso, quizá sí preste atención al gran número de denuncias independientes procedentes de usuarios reales.
THE ENABLERS REGISTRY: no protegemos a las marcas. No defendemos a las víctimas. Acabamos con las infraestructuras de possibly phishing y estafas.
Conclusión
Cuando 16 motores antivirus señalan que un dominio es malicioso y un registrador responde «sin acción», el registrador no está ejerciendo su criterio, sino que está protegiendo sus ingresos. Cuando 13 denuncias de abuso distintas quedan sin respuesta y un dominio permanece activo durante 1.352 horas, el registrador no está tramitando un atraso, sino que está facilitando la comisión de delitos.
Los datos que aparecen en este artículo no son teóricos. Se trata de nuestro registro en tiempo real de la escalada de casos de abuso correspondiente a una sola semana de marzo de 2026, y detrás de él se encuentran Más de 50 000 dominios registrados en nuestra base de datos de amenazas, que se actualiza constantemente. No se trata de un problema aislado de un único registrador. Se trata de un fracaso generalizado del sector que el ecosistema del registro de dominios no tiene ningún interés en solucionar, ya que el modelo actual es rentable.
No existe ningún proveedor de antivirus cuyos hallazgos estén obligados a respetar los registradores. No hay ningún umbral de detección que dé lugar a una acción obligatoria. No hay ningún acuerdo de nivel de servicio (SLA), ni responsabilidad, ni consecuencias. El registrador cobra la cuota, hace caso omiso de los informes y son las víctimas las que pagan las consecuencias.
Los registradores no son proveedores de infraestructura neutrales. Son los guardianes que deciden —cada día, con cada denuncia ignorada— mantener en funcionamiento la infraestructura delictiva. Están al corriente del daño que se causa. Tienen el poder de detenerlo. Pero deciden no hacerlo. Y hasta que alguien les plantee la única pregunta que importa: «¿Estás dispuesto a indemnizar a las víctimas de los dominios que te negaste a suspender?» — No va a cambiar nada.
El silencio del sector ante esta cuestión es la respuesta más elocuente de todas.
