Editorial mirrorBrand mentions redacted to public IDs. Hover to inspect. Everything else is theatre.How it works
THE ENABLERS REGISTRYRegistrar accountability archive
Archive LiveRead-only public record · No ads · No tracking
Case file folder with redacted documents and confidential investigation report.
CASE / ES / SEO HIJACK

SEO Hijack: Sitios de phishing que ocupan el primer puesto en Bing

The Enablers Registry·Editorial mirror·/es/seo-hijack/

Public record copy. Brand names withheld, public accreditation numbers preserved. If the body below says “we”, that means the original publisher, not this mirror. TER only preserves, redacts, and re-contextualizes.

Un informe de investigación con datos en tiempo real de SEMrush que pone al descubierto dos operaciones paralelas de ataque SEO destinadas a posicionar sitios web de possibly phishing relacionados con las criptomonedas en los primeros puestos de los resultados de búsqueda de Bing y DuckDuckGo. 10 dominios. 2 vectores de ataque. Más de 100 000 víctimas potenciales al mes.

30 de marzo de 2026 Investigación de THE ENABLERS REGISTRY 22 minutos de lectura Datos de la API de SEMrush
Los motores de búsqueda, en el punto de mira: operaciones organizadas sitúan a las páginas de possibly phishing por encima de las plataformas legítimas de criptomonedas
10Dominios de possibly phishing
9Donantes de la PBN
60,500+Exposición diaria
Más de 100 000Víctimas/mes
2Vectores de ataque
Aviso legal

Todos los datos de este informe se han recopilado a través de la API de SEMrush y de enablers.report con fines de investigación en materia de ciberseguridad. Los nombres de dominio se publican para advertir a los usuarios, no para promocionarlos.

Los dos vectores de ataque

Nuestra investigación reveló que dos operaciones paralelas y completamente diferentes que se ejecutan simultáneamente para situar los sitios de possibly phishing en los primeros puestos de los resultados de Bing y DuckDuckGo.

Vector A: Inyección en la página de resultados de búsqueda de Yahoo
Aprovecha la autoridad de dominio de Yahoo (AS 24) a través de las páginas de búsqueda para móviles. Bing hereda la confianza de las URL de búsqueda de Yahoo generadas dinámicamente que contienen enlaces de possibly phishing. Objetivos: curvefinance.co, curvefi.co, aster-dex.at
Vector B: Red PBN coordinada
9 dominios comprometidos o comprados, con enlaces a los AS 49–65, redirigen simultáneamente a múltiples sitios de possibly phishing. Funciona con TODOS los motores de búsqueda. Objetivos: rabbys.at, dexscreener.at, monero-wallet.at, trezorsuite.at, [REDACTED]

Vector A: El ataque de inyección en la página de resultados de búsqueda de Yahoo

Podría decirse que este es el el más elegante desde el punto de vista técnico Ataque de SEO «black-hat» que hemos documentado en 2026. Este ataque aprovecha una falla fundamental en la forma en que Bing evalúa la autoridad de los enlaces; concretamente, su incapacidad para distinguir entre enlaces editoriales auténticos y páginas de resultados de búsqueda generadas dinámicamente a partir de dominios de confianza.

La puntuación de autoridad heredada de Yahoo (AS 24) se transmite a través de las páginas de búsqueda móvil hacia dominios de possibly phishing; Bing acepta esta señal como legítima.

El mecanismo: paso a paso

URL de Craft YahooMás de 8 subdominios de países
Incrustar enlaceConsulta aleatoria + enlace de possibly phishing
Arrastrar a la fuerzaServicios de ping + spam
Índices de BingHeredado de Yahoo AS 24
Puesto n.º 1Página de possibly phishing entre los primeros resultados

Paso 1 — Generación de la URL del operador de confianza. Los atacantes crean direcciones URL en los puntos finales de búsqueda móvil de Yahoo a través de múltiples subdominios internacionales: [REDACTED] (Noruega), [REDACTED] (Francia), [REDACTED] (México), [REDACTED] (Polonia), [REDACTED] (Grecia), [REDACTED] (Quebec), [REDACTED] (francés suizo), [REDACTED] (Colombia). Estas páginas incluyen la puntuación de autoridad heredada de Yahoo: 23-24.

Paso 2 — Insertar el enlace de possibly phishing. Cada URL contiene una consulta de búsqueda totalmente aleatoria e inocente —«pele+fifa», «Jean-Paul+Sartre», «Radio+Stars», «jucheck.exe»—, pero el texto de enlace dice: curvefi.co Curve Finance. Las consultas aleatorias garantizan que los filtros antispam no detecten ningún patrón.

Paso 3 — Rastreo e indexación forzados. Los atacantes obligan a Bingbot a rastrear estas URL mediante servicios de ping masivo, inyecciones de comentarios en foros y blogs, y herramientas de activación automática del rastreo.

El fallo algorítmico de Bing

El algoritmo de Google: «Esta es una página de búsqueda dinámica. No se transfiere autoridad de enlace».
El algoritmo de Bing: «[REDACTED] enlaza a curvefi.co con el texto de enlace “Curve Finance DEX”. Señal de posicionamiento aceptada. ✓»

Resultado: una página de possibly phishing se sitúa entre las tres primeras posiciones para la búsqueda de «Curve Finance» en Bing y DuckDuckGo.

Datos sin procesar de SEMrush — curvefi.co

API de análisis de backlinks de SEMrush | 30 de marzo de 2026 | Destino: curvefi.co
ASDominio de origenTexto de enlace
24[REDACTED]www.curvefi.coa Curve Finance
24[REDACTED]curvefi.co Curve Finance
24[REDACTED]curvefi.co Curve Finance
24[REDACTED]www.curvefi.coa Curve Finance
24[REDACTED]www.curvefi.coa Curve Finance
24[REDACTED]www.curvefi.coa Curve Finance
23[REDACTED]www.curvefi.coa Curve Finance
23[REDACTED]curvefi.co Curve Finance

La brutal ironía: La página web cuenta con cero palabras clave orgánicas, cero tráfico en la base de datos de SEMrush; sin embargo, aparece en los resultados de Bing/DDG para «Curve Finance» gracias a la autoridad prestada por Yahoo.

Vector B: La red coordinada PBN

Aquí es donde la investigación se vuelve realmente alarmante. Cinco sitios web de possibly phishing distintos — rabbys.at, dexscreener.at, monero-wallet.at, trezorsuite.at y [REDACTED] — todos comparten un conjunto idéntico de fuentes de enlaces entrantes. No es una coincidencia. Esto es una única operación delictiva organizada llevar a cabo varias campañas de possibly phishing desde una misma infraestructura.

Un operador, 9 donantes de PBN, 5 víctimas de possibly phishing: la probabilidad de que esto sea una coincidencia es de aproximadamente el 0,00001 %.

La prueba irrefutable: infraestructura compartida

API de SEMrush | Análisis entre dominios | 30 de marzo de 2026
Dominio donante de PBNASrabbysdexscrmonero[REDACTED]
[REDACTED]65
[REDACTED]61
[REDACTED]60
[REDACTED].jo56
[REDACTED]56
[REDACTED]54
[REDACTED]50
markjohnsonbuilders50
[REDACTED]49
Nota sobre [REDACTED]

El principal sitio donante de PBN (AS 65) es, en sí mismo, un «typosquat» de Louis Vuitton. Este sitio donante de PBN es una página fraudulenta que da soporte a otras páginas fraudulentas: una infraestructura delictiva en toda regla.

Perfiles de dominios de possibly phishing

Resumen del dominio de SEMrush | Marzo de 2026
DominioSe hace pasar porPalabras claveObjetivo principalVolumen
dexscreener.atDexScreener64«dexscreener» n.º 4260 500 al mes
rabbys.atCartera Rabby15«rabby wallet» n.º 515.400 al mes
trezorsuite.at[REDACTED] Suite7«[REDACTED] Suite» n.º 324.400 al mes
aster-dex.atAster DEX13«Bolsa Aster» n.º 253.600 al mes
monero-wallet.atCartera de Monero4«monedero XMR en línea» n.º 26210 al mes
[REDACTED]Cartera Keplr0Comentarios spam ocultosN/A
bscscan.cfdBSCScan0Enlaces de spam masivosN/A
curvefinance.coCurve Finance0Solo inyección de YahooN/A
curvefi.coCurve Finance0Solo inyección de YahooN/A
[REDACTED]Aplicación Curve0Técnicas mixtasN/A
Importante: Descarga de [REDACTED] Suite

Usuarios que buscan «Descargar [REDACTED] Suite» están buscando activamente instalar un programa de monedero digital. Una página de possibly phishing que aparece en los puestos del 3 al 5 en DuckDuckGo hace que los usuarios descarguen programas maliciosos pensando que se trata de la interfaz de un monedero físico. Esto no es algo teórico: está ocurriendo en este mismo momento.

La «granja de artículos» impulsada por IA

La variante aster-dex.at utiliza un enfoque híbrido, combinando la técnica de «injection» de Yahoo con contenido de blogs generado por IA y publicado en sitios web comprometidos o creados expresamente para este fin en Vietnam, Italia, Indonesia y Suiza.

Artículos generados por IA en sitios web comprometidos: títulos idénticos, dominios diferentes, todos con enlaces al mismo destino de possibly phishing

Todos los artículos del blog tienen títulos casi idénticos: «Por qué los intercambios de tokens y los fondos de liquidez siguen planteando dificultades incluso a los operadores de DEX más experimentados», «Por qué los creadores de mercado automatizados siguen sorprendiendo a los operadores». Estos son Artículos generados por IA ubicadas en sitios web con los números AS 21–36, todas ellas enlazadas a aster-dex.at.

Infiltración de spam en los comentarios

[REDACTED] adopta un enfoque totalmente diferente: puro spam en los comentarios de sitios web de gran autoridad que no guardan relación alguna con el tema. Nombres de usuario falsos como «ZackaryThymn», «Fritzkah» o «Jamesboach» insertan enlaces a carteras de criptomonedas en sitios web dedicados a la enseñanza de la filosofía (filozofija.edu.rs, AS 45), plataformas de compromiso de los empleados ([REDACTED], AS 63), y festivales artísticos ([REDACTED], AS 50).

Sitios web legítimos que, sin saberlo, alojan enlaces de possibly phishing —ocultos entre comentarios de usuarios que parecen normales—

Lo peor de lo peor: spam de herramientas automatizadas

bscscan.cfd utiliza el método más burdo posible: paquetes de enlaces entrantes comprados al por mayor procedentes de sitios web que se llaman, literalmente, [REDACTED] y [REDACTED]. Todas las fuentes tienen AS = 0. El TLD «.cfd» es un indicador conocido de spam. Sin embargo, en Bing, incluso esto funciona en parte: el volumen de enlaces de baja calidad puede influir en el posicionamiento de dominios totalmente nuevos que no tienen antecedentes negativos.

«1000 enlaces entrantes por 9,99 $»: las herramientas de SEO fraudulentas más baratas siguen funcionando, al menos en parte, en Bing

Por qué Bing y DuckDuckGo son especialmente vulnerables

La defensa contra el spam de Google, basada en múltiples capas, frente a la detección menos avanzada de Bing: la brecha que aprovechan los estafadores
Diferencias algorítmicas que los estafadores aprovechan activamente
CaracterísticaGoogleBing
Detección dinámica de páginasNo se transfiere autoridad de enlace desde las páginas de resultados de búsquedaLas páginas de búsqueda de Yahoo se consideran contenido editorial
Madurez del modelo de aprendizaje automático para el spamMás de 15 años de datos de entrenamiento de SpamBrainMenos maduro; el PBN AS 50–65 sigue funcionando
Protección de la marcaAgresivo; curvefinance.co fue señalado rápidamenteLas estafas relacionadas con los dominios de nivel superior «.at» y «.co» perduran más tiempo
Granjas de contenido generadas por IASistema de detección implantado a partir de 2023Las granjas de IA con dominios .vn y .it siguen obteniendo notas de aprobado
Bloqueo de possibly phishingLa Navegación segura bloquea rápidamente los dominios conocidosSmartScreen no detecta los dominios fraudulentos recién registrados
Debilidad específica de DuckDuckGo

DDG utiliza el índice de Bing como fuente principal de datos, heredando todos de las vulnerabilidades de Bing. Los usuarios preocupados por la privacidad que prefieren DDG suelen tener conocimientos de criptografía, lo que los convierte en objetivos de mayor valor. DDG no cuenta con un mecanismo independiente para denunciar el spam; las denuncias se envían a Bing.

Estrategia de segmentación por palabras clave

Los perfiles de palabras clave revelan precisión quirúrgica en la selección de objetivos. Los operadores no solo se centran en los términos principales de la marca, sino también en los «typosquats» («monedero rabínico», «cartera Rubby», «dexscrenner») e incluso consultas en chino («Bolsa Aster» (puesto n.º 25).

Orientación multilingüe: inglés, francés, chino y vietnamita; la operación abarca varios continentes
Análisis de marca y volumen de búsqueda | SEMrush EE. UU. | Marzo de 2026
Palabra clave objetivoVolumen mensualDominio fraudulentoCargo
dexscreener60,500dexscreener.at#42
cartera de conejo5,400rabbys.at#51–71
[REDACTED] Suite4,400trezorsuite.at#32–85
aster dex3,600aster-dex.at#63
dexscrennererror tipográfico2,400dexscreener.at#45
Bolsa AsterChino1,000aster-dex.at#25
Descargar [REDACTED] Suite260trezorsuite.at#54
monedero rabínicoerror tipográfico210rabbys.at#54
Cartera XMR en línea210monero-wallet.at#55–69

Contexto histórico: El problema de [REDACTED] y DuckDuckGo

Este problema tiene raíces profundas

Estos ataques no son nada nuevo. El problema era mucho más grave cuando carteras como [REDACTED] utilizaban DuckDuckGo como su motor de búsqueda predeterminado de la aplicación. A los usuarios que buscaban protocolos DeFi desde su monedero se les mostraban resultados de possibly phishing como primer resultado, sin necesidad de aplicar ninguna estrategia compleja de SEO. La combinación de un motor de búsqueda centrado en la privacidad, con una detección de spam menos eficaz, y un monedero de criptomonedas con un navegador integrado creó una tormenta perfecta para el possibly phishing.

Aunque [REDACTED] haya dejado de utilizar DDG como opción predeterminada, la vulnerabilidad subyacente sigue existiendo. Cualquier usuario que elige manualmente DuckDuckGo por motivos de privacidad — un grupo demográfico que coincide en gran medida con el de los usuarios de criptomonedas — sigue estando expuesto hoy en día a estos mismos ataques. Las operaciones fraudulentas documentadas en este informe han estado utilizando variantes de esta técnica desde varios años, adaptándose a medida que los motores de búsqueda van corrigiendo poco a poco los vectores individuales.

Cómo protegerse

Comprueba siempre el dominio exacto

REAL Curve Finance → curve.fi (NO .co, .net) • DexScreener → [REDACTED] (NO .at) • Rabby → [REDACTED] (NO .at, .me) • [REDACTED] Suite → suite.[REDACTED].io (NO trezorsuite.at) • Keplr → [REDACTED] (NO .me) • BSCScan → [REDACTED] (NO .cfd)

  • NUNCA Conecta tu monedero desde un resultado de búsqueda
  • Añadir a favoritos sitios web legítimos directamente
  • Utiliza DDG’s !bang atajo: !g curve finance activa la búsqueda en Google
  • Instala la extensión de [REDACTED] para la detección de possibly phishing
  • Comprueba cualquier dominio en THE ENABLERS REGISTRY antes de conectarse

Recomendaciones para Microsoft/Bing

  1. Detección dinámica de páginas: Clasificar las páginas de resultados de búsqueda (Yahoo, Baidu, Google) y eliminar la autoridad de los enlaces salientes
  2. Detección coordinada de PBN: Cuando 9 dominios enlacen a 5 sitios web diferentes con patrones idénticos, marcarlo como manipulación.
  3. Capa de suplantación de marca: Detectar ataques de sustitución de TLD (dexscreener.at[REDACTED])
  4. Supervisión de dominios .AT: Mayor control de los dominios .at recién registrados en los resultados de búsqueda relacionados con las criptomonedas
  5. Guía rápida de DuckDuckGo: Crear una API específica para la eliminación de spam a la que DDG pueda acceder directamente

Conclusión

Esto no es spam oportunista. Se trata de un una campaña de SEO organizada de forma profesional, multimarca y con múltiples vectores diseñado específicamente para aprovechar la brecha entre las capacidades de detección de spam de Google y Bing. Cualquier usuario que busque hoy «descargar [REDACTED] Suite» en DuckDuckGo podría encontrarse con una página de possibly phishing que le vacíe la cartera antes de llegar a la página auténtica. La solución técnica ya existe. La cuestión es si Bing la aplicará.

Las pruebas son públicas. Los dominios están documentados. Las víctimas son reales. La solución está en manos de Microsoft.
Investigación de seguimiento — 17 de abril de 2026

Parte II: La estrategia de los 2 dólares — 26 sitios web de possibly phishing, 1 registrador, 7 resultados en el primer puesto de Bing

Un seguimiento de esta investigación realizada en marzo reveló que 26 nuevos dominios de possibly phishing — todos ellos que se hacen pasar por protocolos DeFi — ocupan actualmente #1 on Bing para sus consultas sobre marcas objetivo. Utilizando los datos de backlinks de la API de SEMrush, los registros de inscripción en el RDAP y el análisis directo del código fuente, hemos rastreado cada uno de los dominios hasta un operador, un registrador (IANA #3765) y una red PBN camuflada compuesta por 15 sitios web. Precio por dominio: 2 $. Duración: 10 minutos.

Un operador. 26 enlaces de possibly phishing en Bing. Precio: 2 dólares por dominio.
26Dominios de possibly phishing
1Registrador (IANA #3765)
7Posiciones n.º 1 en Bing
15Sitios PBN ocultos
0Posicionamiento en Google

Un operador, 26 dominios, un registrador

Realizamos consultas RDAP en los 26 dominios de possibly phishing. Todos y cada uno de ellos indicaban el mismo registrador: [REDACTED]. No la mayoría. No la mayoría. Se han consultado correctamente los 23 de 23 — El mismo registrador, con tres errores de limitación de velocidad antes de la verificación (sus patrones de infraestructura coinciden).

23 de 23 comprobados. El mismo registrador. El mismo cliente. Ninguna medida por abuso.

Datos de registro del RDAP — Justificante de registro por lotes

Resultados de la consulta RDAP | Abril de 2026 | 23 de 26 consultados con éxito
DominioSe hace pasar porCreadoPar de servidores de nombres de IANA #1910
[REDACTED]Stargate Finance2025-09-08Terry/Ximena
[REDACTED]Vesper Finance2025-09-08Terry/Ximena
[REDACTED]VVS Finance2025-09-08Terry/Ximena
[REDACTED]Protocolo Orbit2025-10-10Terry/Ximena
[REDACTED]VVS Finance2025-07-12abril/kayden
[REDACTED]SpookySwap2025-04-15abril/kayden
[REDACTED]THORSwap2025-07-24abril/kayden
[REDACTED]Hyperlock Finance2025-07-12arnold/destino
[REDACTED]Shadow Exchange2025-06-24amos/tricia
[REDACTED]Velodrome Finance2025-09-04Dayana/Marvin
[REDACTED]LayerBank2024-09-07Austin/Cheryl
[REDACTED]BiSwap2024-09-07señora/Langston
[REDACTED]OlympusDAO2026-03-29nash/romina
[REDACTED]Red UNCX2025-12-24Cory/Megan
[REDACTED]Finanzas sostenibles2026-02-09Nicole/Salvador
[REDACTED]Juice Finance2026-02-09Nicole/Salvador
[REDACTED]Rhea Finance2025-05-30
[REDACTED]Rhea Finance2025-05-30
[REDACTED]Rhea Finance2025-05-30
[REDACTED]Silo Finance2025-05-30
Registro por lotes: un operador, muchas sesiones

Los pares de servidores de nombres (NS) compartidos de IANA #1910 y las fechas de creación idénticas demuestran que se trata de un registro por lotes:

  • 2025-09-08: star-gate + app-vesper + app-vvs (todos terry/ximena)
  • 2025-05-30: [REDACTED] + .net + [REDACTED] + silo-finance (4 dominios, una sesión)
  • 2026-02-09: [REDACTED] + [REDACTED] (nicole/salvador)
  • 2024-09-07: [REDACTED] + [REDACTED]operación con una duración de más de 18 meses

La guía de los 2 dólares: paso a paso

Olvídate del SEO sofisticado. Olvídate de meses de creación de enlaces. Aquí tienes la secuencia de acciones completa y contrastada que te permite aparecer en el primer puesto de los resultados de Bing.

Cuatro pasos, 2 dólares, y Bing corona como número uno a una página de possibly phishing
Registrar un «typosquat»$1-2 at IANA #3765
Clonar la etiqueta de títuloCopia del sitio web original
Enviar a PBNAdiós. Para tu información, 15 sitios web
Espera entre 2 y 8 semanasBing indexa y clasifica
Bing n.º 1Proyecto real anterior

Paso 1: Registro de «typosquats»

Técnicas de «typosquatting» en 8 de los 26 dominios
Proyecto realDominio realDominio de possibly phishingTécnica
VVS Finance[REDACTED][REDACTED]Letra omitida (i)
THORSwap[REDACTED][REDACTED]Letras intercambiadas (a/w)
Hyperlockhyperlock.fi[REDACTED]Letras intercambiadas (c/k)
Puente Arbitrum[REDACTED][REDACTED]Intercambio + dominio de nivel superior (TLD) barato
Finanzas sostenibles[REDACTED][REDACTED]Errores ortográficos de origen fonético
Thruster Finance[REDACTED][REDACTED]Letra omitida (r→n)
Puente del Optimismo[REDACTED][REDACTED]Varios errores ortográficos
Stargate Finance[REDACTED][REDACTED]Exceso de palabras clave

Paso 2: Clonar la etiqueta de título (0 $, 5 minutos)

El operador copia exactamente el <title> etiqueta y meta descripción de la página web del proyecto real. Este es el paso más importante de todos. La página en sí es una estafa para vaciar carteras o para robar frases de semillas, pero <title> es lo que posiciona Bing.

Paso 3: Enviar a la red PBN oculta (0 $, 1 minuto)

El operador visita cualquiera de las 15 sedes de PBN (bye.fyi, atomizelink.icu, etc.), escribe el dominio en un campo titulado «Introduce tu URL» y hace clic en «Acortar». Con un solo clic se crea una página en los 15 sitios web a la vez, ya que comparten una misma base de datos.

Paso 4: Esperar (2-8 semanas, 0 $)

Prueba: 1 enlace entrante = 1.º puesto en Bing

[REDACTED] alcanzó el primer puesto en Bing para la búsqueda de «Thruster Finance» con exactamente 1 enlace entrante — una página de resultados de búsqueda de Yahoo almacenada en caché. Ni siquiera hacía falta la red de blogs privados (PBN).

Desglose del coste total

¿Qué?CosteHora
Dominio (.cc/.com a través de IANA #3765)$1-22 min
DNS de IANA #1910 (plan gratuito)$01 min
Copiar la etiqueta de título de un sitio web real$05 min
Enviar a PBN (bye.fyi, etc.)$01 min
Esperar a la indexación$02-8 semanas
TOTAL$1-2~10 min

El funcionamiento del motor de camuflaje

Hemos obtenido y analizado el código fuente HTML real de la red PBN. Todas las páginas de todos los dominios utilizan el mismo motor de cloaking.

Lo que ven los usuarios frente a lo que ve Bingbot: el z-index: 1000000 La pared esconde 3.500 enlaces

Estructura de la página: 400 KB de HTML, más de 3.500 enlaces, 4 capas

Capa 1 — El muro de ocultación (lo que ven los usuarios)
<body style="overflow: hidden;">
  <div style="position:absolute; top:0; left:0;
              width:100%; height:5000px;
              background:white; z-index:1000000;
              font-size:32px; text-align:center;">
    <p>The domain report has Expired!</p>
  </div>

El div blanco cubre toda la ventana gráfica. El z-index:1000000 garantiza que no se muestre nada por encima. overflow:hidden En el cuerpo del texto se impide que el usuario se desplace más allá. El usuario ve «Caducado» y se marcha.

Capa 2 — La redirección JS (protección de respaldo)
// work.js — identical on all 15 domains:
window.location.replace("https://scrib.li/ai-article-generator");

Si el usuario supera el muro blanco, JavaScript le redirige a scrib.li (monetización de afiliados). Triple protección contra los visitantes humanos.

Capa 3 — La fachada falsa (lo que ven los bots)

Bingbot ignora la superposición de CSS: analiza el HTML sin formato. Detecta un sitio de «acortador de URL» con un formulario de búsqueda. Parece legítimo.

Capa 4 — La masa de enlaces (3.500 enlaces «nofollow»)
<p>Learn More Here <a rel="nofollow"
     href="https://POSSIBLY [REDACTED]">POSSIBLY [REDACTED]</a></p>
... x 3,500 links ...

El dominio de possibly phishing está oculto entre 3.500 dominios aleatorios. Golosinas de Bing rel="nofollow" como señal de indexación — De todos modos, rastrea el sitio de destino.

Prueba: una red, una base de datos

[REDACTED] aparece en varios dominios de la red PBN con ID secuenciales de la misma base de datos:

Una base de datos. 15 dominios front-end. Todas las pantallas muestran el mismo contenido desde el mismo back-end.
Identificadores secuenciales en «diferentes» marcas de PBN: prueba de un backend compartido
Dominio PBNPatrón de URLID
[REDACTED]/stats/4920749207
[REDACTED]/stats/4920749207
[REDACTED]/share/4920749207
shortenurls.eu/share/4920749207
jake.eu/share/4920749207
[REDACTED]/stats/4920849208
screenshots.wiki/report/4920849208
atomizelink.icu/report/4920849208
[REDACTED]/report/4920849208

Los mismos identificadores en diferentes «marcas» = un único sistema de fondo, un único operador. 15 dominios. La misma plantilla HTML. El mismo CSS (style.css). El mismo código JavaScript (work.js). Las mismas páginas de 3.500 enlaces.

La segunda PBN: Red de comprobación de dominios

Una red de enlaces independiente y más agresiva proporciona enlaces de retroceso «dofollow» a destinos seleccionados. Servidor principal: [REDACTED] — una instalación de WordPress 6.6.2 que proporciona archivos CSS, JS y plantillas a entre 50 y 80 dominios satélite.

PBN camuflada (Red A) frente a Domain Checker (Red B)
CaracterísticaRed A (PBN oculta)Red B (Comprobador de dominios)
Sitios~15~50-80
OcultaciónSí (redirección mediante CSS y JS)No
Tipo de enlace99,4 % «nofollow»99,99 % dofollow
Enlaces por página~3,500~10,000
Tamaño de la página400 KB4 MB
CMSPHP personalizadoWordPress 6.6.2
Servidor maestroBase de datos compartida (identificadores secuenciales)[REDACTED]
Google Tag ManagerNoSí (registra el tráfico)
La ironía

A pesar de tener 10 veces más enlaces entrantes, todos ellos «dofollow», la Red B se centra en NO llegó al primer puesto en Bing. [REDACTED] tiene 110 enlaces «dofollow». [REDACTED] tiene 98. Ninguno de los dos ocupa el primer puesto.

Mientras tanto, [REDACTED] tiene 1 enlace entrante y ocupa el primer puesto.

La combinación de PBN con enlaces «nofollow» ocultos y títulos coincidentes funciona mejor que el spam masivo con enlaces «dofollow» en Bing.

Por qué Bing cae en la trampa

El robot blindado de Google bloquea el possibly phishing en la entrada. El simpático portero de Bing mantiene la puerta abierta.

La vulnerabilidad del combate por el título

[REDACTED] tiene exactamente UN enlace entrante: una página de resultados de búsqueda de Yahoo almacenada en caché. Ocupa el primer puesto en Bing para la búsqueda de «Thruster Finance». Esto demuestra que el posicionamiento de Bing para las búsquedas de marcas con baja competencia se basa principalmente en:

  1. Coincidencia exacta de la etiqueta de título a la consulta de búsqueda
  2. El dominio está indexado (cualquier señal —incluso un enlace «nofollow»— es suficiente)
  3. No hay señales de desconfianza (El dominio es nuevo y tiene un historial impecable)

Google exigiría señales de autoridad sustanciales y realizaría una comprobación cruzada con los dominios de marcas conocidas. Bing no lo hace.

Bing frente a Google: resultados de posicionamiento en 26 dominios
MétricoBingGoogle
Los dominios de possibly phishing ocupan el primer puesto70
Dominios de possibly phishing entre los 10 primeros70
Tiempo transcurrido desde la creación del dominio hasta la aparición en los resultados de búsqueda2-8 semanasnunca

Resultados n.º 1 de Bing (verificados a través de SerpAPI, abril de 2026)

Consulta#1 Result (Possibly phishing)Enlaces entrantes
«Stargate Finance»[REDACTED]20
«Shadow Exchange»[REDACTED]16
«Red UNCX»[REDACTED]51
«Thruster Finance»[REDACTED]1
«Orbit Protocol»[REDACTED]15
«VVS Finance»[REDACTED] (#1) + [REDACTED] (#10)36 + 37

Lista de protección actualizada (marcas de la Parte II)

Comprueba siempre el dominio exacto

Stargate Finance → [REDACTED] (NO [REDACTED]) • VVS Finance → [REDACTED] (NO [REDACTED]) • THORSwap → [REDACTED] (NO es [REDACTED]) • Velódromo → [REDACTED] (NO [REDACTED]) • UNCX → [REDACTED] (NO [REDACTED]) • SpookySwap → spooky.fi (NO es [REDACTED]) • OlympusDAO → [REDACTED] (NO [REDACTED]) • Thruster → [REDACTED] (NO [REDACTED]) • Ambient → [REDACTED] (NO es [REDACTED])

Recomendaciones (Parte II)

A Microsoft/Bing:

  1. El mero hecho de disputar un combate por el título no confiere autoridad. Un título coincidente no debería hacer que un dominio nuevo ocupe el primer puesto en las búsquedas relacionadas con la marca. Es necesario que el dominio tenga cierta antigüedad, autoridad en los enlaces entrantes o señales de verificación de la marca.
  2. Detectar el cloaking basado en CSS. Las páginas que utilicen superposiciones con «z-index» que oculten el contenido a los usuarios pero lo muestren a los rastreadores deben señalarse.
  3. Detectar redes PBN coordinadas. Que 15 dominios compartan un mismo backend que enlaza con los mismos destinos no constituye una estrategia de creación de enlaces orgánica.
  4. Marcar los dominios registrados en IANA #3765 en los resultados de búsqueda de criptomonedas para un control más exhaustivo.
  5. Crear una vía rápida para el spam en DuckDuckGo. DDG hereda todas las vulnerabilidades de Bing, pero no cuenta con un mecanismo independiente para denunciar el spam.

A [REDACTED]:

26 dominios de possibly phishing. Un cliente. Registrados en bloque a lo largo de 18 meses. No se ha tomado ninguna medida por abuso. Esto ya está documentado públicamente. Referencia: Cuando las denuncias de abusos no tienen ningún resultado y IANA #3765: Facilitador sistémico.

A IANA #1910:

Los 26 dominios utilizan el DNS y el proxy de IANA #1910. Estos dominios alojan programas de vaciado de monederos y de recolección de frases de semillas a través de la infraestructura de IANA #1910.

Parte II: Conclusión

Esto no es spam oportunista. Se trata de un campaña de 18 meses de duración, gestionada de forma profesional por un único operador quien ha descubierto que el algoritmo de posicionamiento de Bing puede burlarse con un dominio de 2 dólares y una etiqueta de título copiada. Actualmente, siete sitios web de possibly phishing ocupan el primer puesto en Bing — por encima de las plataformas legítimas de las que se hacen pasar.

La infraestructura de ocultación que hemos documentado —15 sitios web idénticos con bases de datos compartidas, ocultación de contenido mediante CSS y redireccionamientos de reserva mediante JavaScript— constituye una herramienta diseñada específicamente para manipular los motores de búsqueda a gran escala.

Google bloquea los 26 dominios. Bing sitúa a 7 de ellos en el primer puesto. Existe una solución técnica. Las pruebas son públicas. Los dominios están documentados. Se ha identificado al registrador. La pregunta sigue siendo: ¿se hará algo al respecto?

Continue browsing the ledger

This page is the editorial mirror. Brand names are redacted to public IANA / business identifiers. Use the index to navigate other case files.

Open registrar ledger → All briefings