Editorial mirrorBrand mentions redacted to public IDs. Hover to inspect. Everything else is theatre.How it works
THE ENABLERS REGISTRYRegistrar accountability archive
Archive LiveRead-only public record · No ads · No tracking
Case file folder with redacted documents and confidential investigation report.
CASE / ES / TAKEDOWN ANATOMY

Análisis de una retirada contra el phishing: más de 500 000 dominios bloqueados

The Enablers Registry·Editorial mirror·/es/takedown-anatomy

Public record copy. Brand names withheld, public accreditation numbers preserved. If the body below says “we”, that means the original publisher, not this mirror. TER only preserves, redacts, and re-contextualizes.

Anatomía de una retirada
CIBERDEFENSA

La anatomía de una retirada: cómo THE ENABLERS REGISTRY combate la ciberdelincuencia

Desde una iniciativa incipiente en 2019 hasta convertirse en una potencia capaz de neutralizar más de 400 000 dominios maliciosos, la trayectoria de THE ENABLERS REGISTRY pone de manifiesto el poder de la comunidad, la tecnología y una reputación ganada a pulso.

Anatomía de la retirada: escáner de detección, verificación biométrica, martillo del registrador, extracción de DNS, dominio «tombstone»

En la implacable lucha contra el fraude en línea, THE ENABLERS REGISTRY se ha convertido en una fuerza clave, pasando de ser una iniciativa específica en 2019 a una operación de gran eficacia. Nuestra misión es clara: desmantelar la infraestructura del possibly phishing y las estafas, protegiendo a los usuarios de todo el mundo. No se trata solo de bloquear enlaces maliciosos, sino de comprender la anatomía de un ciberataque y desarticularlo desde su núcleo.

Nuestra evolución: de semanas a minutos

Cómo un enlace de possibly phishing desencadena toda una cadena de retiradas

Cuando THE ENABLERS REGISTRY dio sus primeros pasos, eliminar un dominio malicioso podía llevar semanas. Con el paso de los años, hemos crecido, hemos forjado alianzas sólidas y nos hemos ganado la confianza de actores clave en el ámbito de la ciberseguridad. Siempre nos hemos centrado exclusivamente en el possibly phishing, lo que nos ha permitido desarrollar conocimientos especializados y mantener una tasa mínima de falsos positivos.

Hoy en día, lo que antes llevaba semanas ahora se puede reducir a unos pocos minutos. Esta aceleración es una prueba de nuestra innovación continua y de la sólida reputación que nos hemos labrado.

El proceso de retirada

1. Detección y verificación rápidas

La detección se lleva a cabo a través de las notificaciones de la comunidad que nos llegan a través de nuestra Bot de [REDACTED], la supervisión automatizada y las fuentes de información sobre amenazas. Nuestros equipos verifican rápidamente las amenazas para garantizar una tasa mínima de falsos positivos.

2. Análisis en profundidad y recopilación de pruebas

Nuestros analistas estudian a fondo la amenaza, identificando sus características, objetivos y métodos. Esto implica el análisis de la carga útil, la localización de la infraestructura y la evaluación del impacto en las víctimas. Cada prueba se documenta meticulosamente.

3. Coordinación y actuación estratégicas

Aquí es donde entra en juego nuestra reputación. Hemos establecido sólidas relaciones con cientos de proveedores de alojamiento web, registradores de dominios y fuerzas del orden. Cuando THE ENABLERS REGISTRY envía una denuncia, Más de 50 sistemas reconocen al instante nuestra solicitud. Si un sitio web denunciado resulta ser efectivamente una estafa de possibly phishing, puede cerrarse en cuestión de minutos.

4. Liquidación y supervisión

El objetivo final es la eliminación total. Una vez que se inicia el proceso de retirada, supervisamos el estado para asegurarnos de que el sitio web esté fuera de línea y permanezca así. Nuestros esfuerzos han dado como resultado la interrupción con éxito de más de 500 000 dominios maliciosos desde 2019, con una verificación continua tras la retirada para detectar las obras de repavimentación en cuestión de horas.

Metodología operativa: automatización, precisión, escala

Nuestro modelo combina informes de la comunidad con sistemas de detección automática y análisis de precisión. El proceso está diseñado para adaptarse desde un único informe hasta miles de retiradas al día sin perder calidad.

  • Analizadores sintácticos personalizados analizar continuamente los resultados de búsqueda SEO, los anuncios patrocinados y Google Ads en busca de indicadores de possibly phishing, detectando las amenazas en el momento en que aparece el primer anuncio de pago.
  • Las amenazas detectadas se envían automáticamente a Más de 50 fabricantes de programas antivirus y fuentes de información sobre amenazas, lo que permite maximizar la cobertura global de los bloqueos en los primeros minutos tras la detección.
  • Mantenemos un tasa de falsos positivos inferior al 0,5 %, con más de 100 000 informes validados — lo que demuestra que nuestros sistemas no solo son rápidos, sino también muy precisos.
  • Los colaboradores verificados que envíen Más de 100 informes precisos se conceden «de confianza» estado, lo que permite realizar envíos directos sin moderación y reduce drásticamente el tiempo de retirada de los contenidos para los denunciantes habituales.
  • En directo contador de daños calcula las pérdidas económicas causadas a los estafadores, basándose en el valor medio de los dominios y los costes de promoción (aproximadamente 15 dólares por dominio en el caso de las estafas típicas relacionadas con las criptomonedas).

Fuentes de detección: dónde surgen las amenazas

La infraestructura de possibly phishing rara vez se oculta: se anuncia abiertamente. Recopilamos datos de clientes potenciales a partir de:

  • Informes del bot de [REDACTED] de nuestra comunidad a través de @EnablersRegistry — admisión pública inicial.
  • Analizadores de SEO y anuncios de pago — Google Ads, Bing, Yandex; se supervisan continuamente las palabras clave patrocinadas relacionadas con monederos de criptomonedas, plataformas de intercambio y puentes.
  • Fuentes de información sobre amenazas que nos han facilitado nuestros socios e investigadores.
  • Redes «honeypot» y tokens «canary» de frases de semillas que nos avisan cuando los estafadores intentan utilizar datos robados.
  • WHOIS y transparencia de certificados supervisión de los dominios similares recién registrados que tienen como objetivo marcas protegidas.

Conservación de pruebas — Registro digital permanente

Las retiradas son solo el primer paso. La conservación de las pruebas es nuestra principal prioridad — ya que un dominio eliminado no sirve de nada a los investigadores si no queda ningún registro.

  • Cada dominio detectado es archivados mediante escáneres públicos (urlscan.io, Wayback Machine y nuestros propios procesos de captación de instantáneas) para capturar huellas completas de los sitios web: HTML, capturas de pantalla, llamadas de red y cargas útiles de JavaScript.
  • Cada operación deja un registro digital que sea inmune a la eliminación por parte de los atacantes — publicado abiertamente en Lista de elementos a eliminar de GitHub y el Archivo de ScamIntelLogs.
  • Los archivos incluyen paneles de administración de los estafadores, exportaciones de chats de [REDACTED], flujos de pago, registros de víctimas e IOC, lo que permite atribuir la responsabilidad y llevar a cabo acciones judiciales mucho después de la retirada.
  • Mientras los estafadores borran sus huellas, nosotros las hacemos permanentes.

Aliados y adversarios entre los registradores

La rapidez con la que se realiza la retirada depende totalmente de la capacidad de respuesta del registrador y del proveedor de alojamiento. Los datos de nuestros socios muestran una marcada diferencia:

Represalias delictivas: confirmación del impacto

Nuestra eficacia ha desencadenado una reacción organizada, que consideramos una prueba de nuestro impacto más que de una perturbación:

  • Ataques DDoS contra nuestra infraestructura (mitigado por IANA #1910).
  • Campañas coordinadas de difamación y retiradas a través de publicaciones de relaciones públicas pagadas (véase Cómo los medios de pago distorsionan la ciberseguridad).
  • Denuncias masivas de nuestras cuentas en redes sociales para silenciar las denuncias.
  • Nuestra cuenta de X (Twitter) con Más de 140 000 denuncias de possibly phishing documentadas fue suspendido de forma permanente tras las presiones de la secretaría — véase IANA #1479 nos ha dejado sin Twitter. El archivo sigue siendo público: Archivo de GitHub.

Los delincuentes intentan borrar sus huellas; nosotros nos aseguramos de que permanezcan para siempre.

Régimen jurídico y coordinación

Somos una colectivo de operadores sin ánimo de lucro — No somos una empresa, ni una persona jurídica, ni estamos vinculados a ningún gobierno. Todo lo que hacemos es transparente:

  • Todos los informes y las pruebas se publican abiertamente en GitHub, [REDACTED] y Mastodon; nada se oculta ni se almacena de forma privada.
  • En investigaciones de gran envergadura relacionadas con la identificación de los responsables, el rastreo financiero o la cartografía de infraestructuras, nosotros entregar oficialmente los expedientes completos de pruebas a las fuerzas del orden o a los equipos CERT.
  • Todas estas transferencias se realizan respetando plenamente la legislación y únicamente cuando se ha verificado la existencia de información de inteligencia procesable.
  • Nosotros No almacenes ningún dato personal de los colaboradores: proteger a los denunciantes frente a represalias y eliminar el riesgo de filtración de datos.

Nuestra función consiste en documentar y desarticular las operaciones maliciosas, para luego prestar apoyo a quienes cuentan con la autoridad legal necesaria para actuar en base a las pruebas.

En cifras

  • 500,000+ Dominios de possibly phishing y estafas desactivados desde 2019.
  • 130,000+ amenazas activas seleccionadas en lista de eliminación.
  • 50+ Los proveedores de antivirus y las plataformas de inteligencia sobre amenazas reciben nuestros datos.
  • 30,000+ dominios eliminados únicamente a través de la colaboración con IANA #1068.
  • <0,5 % tasa de falsos positivos en 100,000+ informes validados.
  • 140,000+ informes archivados tras la suspensión de nuestra cuenta de X.
  • Más de 888 000 suscriptores de la comunidad en todas las fuentes.

Cómo puedes ayudar

«La acción colectiva es la mejor defensa. Nuestra trayectoria pone de manifiesto lo que se puede lograr cuando la tecnología, la experiencia y la comunidad se unen contra la ciberdelincuencia».

#CyberDefense#Takedown#Possibly phishing#Community

Comparte este artículo

Investigaciones relacionadas

INVESTIGACIÓN
$0 Takedowns: How We Disrupt Possibly phishing Infrastructure
MÉTRICAS
Métricas de impacto: más de 500 000 amenazas de possibly phishing neutralizadas
INVESTIGACIÓN
IANA #1479, IANA #460, IANA #3765: registradores que facilitan las estafas

Continue browsing the ledger

This page is the editorial mirror. Brand names are redacted to public IANA / business identifiers. Use the index to navigate other case files.

Open registrar ledger → All briefings