Editorial mirrorBrand mentions redacted to public IDs. Hover to inspect. Everything else is theatre.How it works
THE ENABLERS REGISTRYRegistrar accountability archive
Archive LiveRead-only public record · No ads · No tracking
Case file folder with redacted documents and confidential investigation report.
CASE / ES / XMRWALLET EXPOSED

[REDACTED] al descubierto: 10 años de claves robadas

The Enablers Registry·Editorial mirror·/es/xmrwallet-exposed

Public record copy. Brand names withheld, public accreditation numbers preserved. If the body below says “we”, that means the original publisher, not this mirror. TER only preserves, redacts, and re-contextualizes.

Investigación forense en profundidad sobre un monedero web de Monero que codifica en Base64 tu clave privada de visualización en un session_key token, lo filtra a través de más de 40 solicitudes de API por sesión y, a continuación, anula tu transacción con raw_tx = 0 y lo reconstruye para robarte el dinero. Activo desde 2016. Operador identificado.

Activo desde 2016 Más de 40 fugas de claves por sesión Protegido por DDoS-Guard
[REDACTED] al descubierto
0
Años en activo
40+
Fugas de claves por sesión
$2M-$15M+
Total estimado de objetos robados
0
Novedades de GitHub desde 2018

La fachada

[REDACTED] Se presenta como un monedero de Monero gratuito, de código abierto y del lado del cliente. Sin descargas. Sin registro. Sus Condiciones de servicio incluyen una afirmación muy concreta:

«Todas las operaciones criptográficas se realizan en tu navegador. El servidor no tiene forma de acceder a tus claves privadas».

— Condiciones de uso de [REDACTED] (manifiestamente falsas)

Esto es mentira. Nuestro análisis forense —capturas de red, desofuscación de JavaScript y comparación del código de producción— demuestra exactamente lo contrario. Todas las claves introducidas en [REDACTED] son robadas. Todas las transacciones pueden ser secuestradas.

Producción frente a GitHub: Divergencia total

El repositorio público de GitHub no ha recibido ni una sola actualización desde Noviembre de 2018. El entorno de producción ejecuta un código totalmente diferente, con parámetros no documentados que no figuran en el repositorio:

  • session_key — Token de exfiltración de la clave de vista codificado en Base64
  • verification — canal de exfiltración secundario
  • timestamp — parámetro de seguimiento de sesión
  • data — contenedor de carga útil adicional

Dominio registrado a través de IANA #1479 en 2016 — pagado por adelantado a través de 2031. Quince años de inscripción en un «proyecto libre e independiente».

Ataque n.º 1: Exfiltración de claves de visualización

Cuando inicias sesión en [REDACTED], tu clave privada de visualización se codifica en Base64 y se integra en un session_key token. A continuación, este token se transmite al servidor con cada una de las solicitudes de API — Más de 40 veces en una sola sesión.

La estructura `session_key`

clave de sesión = [encrypted_blob]:[base64_address]:[base64_private_viewkey]

// Decoded example:
// blob: a3f8c2... (session identifier)
// address: 4A1BxN... (your Monero public address)
// viewkey: TU CLAVE DE VISUALIZACIÓN PRIVADA EN TEXTO SIN CODIFICAR

Las capturas de red de [REDACTED] WebExtension confirman que este token se transmite 6 puntos de conexión de la API distintos con un total de más de 40 solicitudes POST por sesión:

Punto de conexión de la APISolicitudes / SesiónFiltración de session_key
/api/getheightsync12
/api/gettransactions10
/api/getbalance6
/api/getsubaddresses4
/api/getoutputs3
/api/support_login1

Más de 40 copias de tu clave privada

Una sola sesión de inicio de sesión envía tu clave privada de visualización al servidor al menos 36 veces. El servidor no necesita tu clave para ninguna de estas operaciones: las comprobaciones de saldo y las sincronizaciones de altura son consultas públicas en la cadena de bloques. No hay ninguna razón legítima para transmitir material de clave. Pruebas completas de la captura de red: [REDACTED], incidencia n.º 36 en GitHub — Ver pruebas de la filtración de claves.

Ataque n.º 2: Secuestro de transacciones

El robo de la clave «View» permite al atacante ver tu monedero. Pero [REDACTED] va más allá: te roba tus fondos en tiempo real. El código JavaScript de producción desofuscado revela una secuencia de ataque de cinco pasos:

// Step 1: Client builds a legitimate transaction
cnUtil.create_transaction() → raw_tx_and_hash

// Step 2: Client transaction is NULLIFIED
raw_tx_and_hash.raw = 0;

// Step 3: Only metadata sent to server (no real tx)
PUBLICAR /api/submit_raw_tx { sin procesar: 0, metadatos: {...} }

// Step 4: Server rebuilds its OWN transaction
// using your keys + its destination address

// Step 5: Stolen transactions tagged internally
si(tipo == «barrido») → transacción redirigida por el atacante

Tu monedero muestra el mensaje «transacción enviada». Tus fondos llegan a la dirección del atacante. Las víctimas ven «ID de transacción desconocido» cuando intentan verificarlas en los exploradores de bloques. Las transacciones etiquetadas internamente como swept son los que han sido robados.

Tu transacción nunca existió

raw_tx_and_hash.raw = 0 significa que la transacción generada por el cliente se descarta. El servidor crea una transacción completamente nueva utilizando tus claves y envía tus XMR al atacante. El mensaje de «éxito» que ves es falso. Análisis detallado del código: [REDACTED], incidencia n.º 35 en GitHub: prueba contra el secuestro de transacciones.

Código de producción oculto

[REDACTED] mantiene un repositorio público en GitHub para dar una imagen de legitimidad. El repositorio es un señuelo. No se ha actualizado desde Noviembre de 2018. El entorno de producción ejecuta un código totalmente diferente y ofuscado.

GitHub público (señuelo)

  • Última actualización: Noviembre de 2018
  • No session_key parámetro
  • No verification param
  • No /support_login.html
  • Sin Google Tag Manager
  • Código limpio y auditable

Centro de producción (real)

  • Actualización continua: 2024-2026
  • session_key con clave de visualización Base64
  • verification canal de exfiltración
  • /support_login.html puerta trasera
  • Inyección remota de JavaScript en GTM
  • Código ofuscado e imposible de auditar

La puerta trasera y la inyección remota de código

La planta de producción cuenta con /support_login.html — un punto final administrativo oculto que no aparece en absoluto en el repositorio de GitHub. Junto con Google Tag Manager (contenedor de GTM) Gracias a esta integración, el operador puede inyectar y modificar código JavaScript de forma remota en el sitio web en producción en cualquier momento, sin necesidad de actualizar el código fuente público. Se trata de un vector de ejecución remota de código camuflado como análisis de datos.

Infraestructura a prueba de balas

[REDACTED] no utiliza un alojamiento compartido de baja calidad. Funciona con una infraestructura premium a prueba de todo, seleccionada específicamente para resistir las solicitudes de retiradas y las medidas de las fuerzas del orden.

IOC de alojamiento y redes

IndicadorValor
Dominio[REDACTED]
SecretarioIANA #1479 (2016 – 2031, registro de 15 años)
Proveedor de alojamiento webIANA #1241 (550 $ o más al mes)
Dirección IP186.2.165.49
ASNAS59692
CDN / Protección contra ataques DDoSDDoS-Guard
Servidor webApache 2.4.58 (Ubuntu)
BackendPHP 8.2.29
Certificado SSLLet's Encrypt (renovación automática)
Espejo de Tor[REDACTED].onion
Coste anual de las infraestructuras$8,000 – $15,000+

Indicadores clave de rendimiento (IOC) de seguimiento y análisis

RastreadorSolicitudes / SesiónIdentificador
Google Tag Manager12Contenedor GTM
Google Analytics (UA)12UA-116766241-1
Google Analytics 45Flujo de GA4
DoubleClick1Píxel de seguimiento de anuncios
Cookies de DDoS-Guard __ddg8_, __ddg9_, __ddg10_, __ddg1_

$8K-$15K/Year for a "Free Volunteer Wallet"

Una cartera gratuita legítima no gasta más de 550 dólares al mes en el alojamiento a prueba de balas de IANA #1241, protegido por DDoS-Guard —una infraestructura diseñada específicamente para resistir las denuncias por abuso y las citaciones de las fuerzas del orden—. Tampoco registra un dominio por 15 años. Tampoco utiliza el seguimiento de Google Analytics en una cartera de Monero «centrada en la privacidad». Se trata de una infraestructura creada con un único propósito: robos continuos a gran escala.

Operadora identificada: Nathalie Roy

La inteligencia de fuentes abiertas remonta la infraestructura de [REDACTED] directamente a una sola persona.

CampoDetalle
NombreNathalie Roy
UbicaciónCanadá
Nombre de usuario de GitHubnathroy (ID: 39167759)
Organización de GitHub[REDACTED] (creado el 10 de mayo de 2018)
Correo electrónico (Administrador)admin@[REDACTED]
Correo electrónico (personal)royn5094@protonmail.com
Redditu/WiseSolution (expulsado de r/Monero)
Twitter[REDACTED]
Servidor de correo (MX)[REDACTED]

Expulsado, desenmascarado, pero sigue en activo

A Nathalie Roy se le prohibió el acceso a la página web oficial subreddit r/Monero en 2018 para promocionar [REDACTED]. La última actualización en GitHub tuvo lugar ese mismo año. Desde hace más de seis años, el código público lleva congelado, mientras que el sitio web en producción sigue robando fondos de forma activa con un código completamente diferente. El dominio está pagado hasta 2031; el operador no va a desaparecer.

Víctimas registradas

Al menos 15 casos notificados públicamente de robos de fondos en Trustpilot, Sitejabber, Reddit y GitHub Issues. Personas reales. Dinero real. Desaparecido.

15+
Informes públicos
590 XMR
La mayor cantidad individual (177 000 dólares)
0
Años de robos
$2M-$15M+
Total estimado
  • 590 XMR (aprox. 177 000 dólares) — un solo robo, el caso más grave del que se tiene constancia
  • 17,44 XMR — documentado con el ID de la transacción en la cadena de bloques
  • Robaron 20 XMR durante la noche — Se vació el monedero mientras el usuario dormía
  • Varios mensajes de «ID de transacción desconocido» — el swept etiqueta de firma
  • Se han eliminado las incidencias de GitHub n.º 13 y siguientes — El operador elimina los informes sobre víctimas del repositorio

Pruebas eliminadas, sin monedero para donaciones

El administrador elimina de forma activa las denuncias de las víctimas de GitHub Issues (todas las incidencias anteriores a la n.º 13 han desaparecido). La página afirma que acepta donaciones, pero Nunca se ha publicado ninguna dirección de monedero para donaciones. ¿Por qué un «proyecto independiente» que gasta entre 8 000 y 15 000 dólares al año rechazaría donaciones? Porque sus ingresos proceden del robo.

Cronología de los acontecimientos

Cronología 2014-2024: [REDACTED], más de 10 000 claves robadas —desde el lanzamiento de la web hasta las primeras víctimas y la identificación del operador—
Cronología 2014-2024: [REDACTED], más de 10 000 claves robadas —desde el lanzamiento de la web hasta las primeras víctimas y la identificación del operador—
2016

Dominio registrado — [REDACTED]

Registrado a través de IANA #1479 con un Período de registro de 15 años (2016-2031). Se presenta como un monedero web gratuito y de código abierto para Monero.

Mayo de 2018

Se ha creado una organización en GitHub

La organización [REDACTED] en GitHub se creó el 2018-05-10 por nathroy (ID: 39167759). Código público publicado como una mera farsa de transparencia.

2018

Expulsado y código bloqueado

Operador de WiseSolution expulsado de r/Monero por spam promocional. Última actualización en GitHub por esas fechas. Empiezan a borrarse los informes de incidencias de las víctimas (las incidencias n.º 1 a n.º 12 han desaparecido).

2018 – 2024

Seis años de silencio

El repositorio público está congelado. El código de producción difiere por completo, con JavaScript ofuscado, parámetros no documentados y puntos de acceso con puertas traseras. Se acumulan las denuncias de las víctimas en Trustpilot y Reddit.

2025 – 2026

Investigación sobre THE ENABLERS REGISTRY

El análisis del tráfico de red revela que session_key Exfiltración. La desofuscación de JavaScript lo confirma raw_tx = 0 Secuestro de transacciones. Pruebas publicadas en GitHub Issues #35 & #36.

Febrero de 2026

Informe publicado — El dominio sigue activo

Se ha publicado el informe técnico completo. [REDACTED] sigue en línea. El dominio se ha pagado a través de 2031. DDoS-Guard ofrece resistencia ante los ataques de retirada.

Pruebas completas y material de referencia

Todas las afirmaciones de este artículo están respaldadas por pruebas verificables públicamente. Descarga los informes. Verifica el código. Comprueba tú mismo las capturas de red.

Alternativas seguras

Nunca introduzcas claves privadas en ningún monedero web. Y punto. Utiliza software verificado y auditado que se ejecute localmente en tu dispositivo.

Carteras de escritorio

Interfaz gráfica de usuario de Monero — Cartera oficial, con todas las funciones, de código abierto y auditada
Cartera «Feather» — Cartera de escritorio ligera, rápida y centrada en la privacidad

Carteras móviles

Monerujo (Android) — Código abierto con compatibilidad con Tor
Cartera Cake (iOS/Android) — Compatible con varias monedas, bien mantenido

La regla de oro de las criptomonedas

Nunca introduzcas tu frase de semillas, tus claves privadas ni tus claves de visualización en cualquier página web. Las carteras legítimas funcionan de forma local; nunca necesitan enviar tus claves a un servidor. Si una cartera web te pide tus claves privadas, se trata de una estafa. Para garantizar la máxima seguridad, utiliza una cartera de hardware ([REDACTED], [REDACTED]) con el software oficial de Monero.

Proteger a la comunidad

[REDACTED] lleva 10 años robando Monero. Las pruebas son públicas. Se ha identificado al operador. Comparte esta investigación. Denuncia el dominio. Ayúdanos a cerrarlo.

Investigaciones relacionadas

El fin de [REDACTED]: IANA #1479 mintió para proteger a un ladrón de criptomonedas que se llevó 2 millones de dólares
INVESTIGACIÓN
El fin de [REDACTED]: IANA #1479 mintió para proteger a un ladrón de criptomonedas que se llevó 2 millones de dólares
Panel sobre el ataque de phishing a [REDACTED]: 239 000 dólares robados, 6 operadores
INVESTIGACIÓN EN PROFUNDIDAD
Panel sobre el ataque de possibly phishing a [REDACTED]: 239 000 dólares robados, 6 operadores
INVESTIGACIÓN EN PROFUNDIDAD
Kit de herramientas «Crypto Drainer»: se desenmascara a los distribuidores de «Angel Drainer»

Continue browsing the ledger

This page is the editorial mirror. Brand names are redacted to public IANA / business identifiers. Use the index to navigate other case files.

Open registrar ledger → All briefings