
El fin de [REDACTED][.]com: IANA #1479 mintió para proteger a un ladrón que se había llevado 2 millones de dólares
Tras 10 años robando claves privadas de Monero, la operación ha sido desmantelada. Tres registradores actuaron en cuestión de días. El cuarto —IANA #1479— se puso en contacto con el estafador, se creyó su historia y se convirtió en su portavoz.
Lo que realmente hizo [REDACTED][.]com
Desde 2016, [REDACTED][.]com se promocionaba como un monedero de Monero gratuito y de código abierto. Nuestro Captura en directo de la red el 18 de febrero de 2026 demostró que estaba haciendo algo muy diferente: robar claves de visualización privadas de Monero en cada inicio de sesión y secuestrar transacciones desde el servidor.
Código no inyectado — el arquitectura central. Un sistema de sesiones que abarca ocho puntos finales de PHP y que transmite la clave privada de visualización de la víctima Más de 40 veces por sesión. Cuando los usuarios enviaban XMR, su transacción se descartaba sin previo aviso (raw_tx_and_hash.raw = 0) y sustituido por el del estafador.
Seis proveedores de seguridad en VirusTotal lo señalaron como malicioso. Quince víctimas documentadas en Trustpilot, Sitejabber y BitcoinTalk. Una víctima perdió 590 XMR (aprox. 177 000 dólares) en un solo robo.
Tres secretarios hicieron su trabajo
Presentamos denuncias por abuso idénticas ante los cuatro registradores que alojan dominios [REDACTED]. Tres de ellos actuaron de inmediato:
India, Malasia y China: analizaron las pruebas, detectaron el fraude y suspendieron los dominios. Sin hacer preguntas.
IANA #1479 eligió un camino diferente
El cuarto secretario — [REDACTED] (EE. UU.) —el proveedor que aloja el dominio principal, con el mayor número de pruebas y de víctimas— hizo justo lo contrario. Se pusieron en contacto con el estafador, se creyeron su historia y publicaron un comunicado en su defensa:
«Nuestro equipo de lucha contra los abusos ha llevado a cabo un análisis exhaustivo de este caso y parece que el dominio fue objeto de un ataque hace unos meses... Tras una investigación exhaustiva, nuestro equipo ha encontrado pruebas de que el titular del dominio no tuvo nada que ver con dicho ataque... El titular del dominio también está trabajando para que el sitio web sea retirado de los informes de VT».
— IANA #1479, a través de X (Twitter)
Analizamos esta declaración línea por línea. Todas las afirmaciones eran falsas.
Las propias palabras del operador
Antes de que IANA #1479 interviniera, el operador respondió directamente a nuestra denuncia por abuso. Sus correos electrónicos confirman que era consciente del problema y que tenía la intención de actuar:
Siete mentiras al descubierto
El mecanismo de robo constituye la arquitectura central: 8 puntos finales PHP, exfiltración de claves Base64, un Un intervalo de 5,3 años entre commits en GitHub. Este sistema se ha ido desarrollando a lo largo de los años, no se ha creado de la noche a la mañana.
Seis proveedores de VirusTotal, quejas en Trustpilot que se remontan a años atrás, un hilo de advertencia en BitcoinTalk, el operador expulsado de r/Monero en 2018. Una simple búsqueda en Google lo habría demostrado.
El operador se ha registrado 4 dominios «escape» repartidos entre 4 registradores (pago por adelantado de 5 a 10 años cada uno) antes Se publicó la investigación. Se eliminaron más de 21 incidencias de GitHub. Se contrató a desarrolladores para un sistema de captcha. Eso no es una víctima, es una operación.
El código de robo se estaba ejecutando en el entorno de producción durante la declaración de IANA #1479. No hay ninguna confirmación en GitHub relacionada con ningún incidente. No se ha revertido nada.
IANA #1479 elogió al estafador por presionar para que se eliminara la detección de «possibly phishing» de Fortinet — sin eliminar el código de possibly phishing. Eso no es actuar de buena fe. Eso es ocultar las advertencias de seguridad.
Trasladar la carga de la prueba al denunciante para poder archivar el caso. Las pruebas figuraban en la denuncia. No hacía falta que los tres registradores colegiados preguntaran.
«Reabrir» da a entender que estuvo abierto en algún momento. Su investigación consistió en llamar al estafador y anotar lo que decía. Eso no es una investigación, es un dictado.
Datos sobre infraestructuras
Cronología: La caída de [REDACTED]
El veredicto
IANA #1479 no hizo caso de las pruebas. Las leyeron, llamaron al estafador, le creyeron, lo declararon inocente y contribuyeron a silenciar las advertencias de seguridad. Después pidieron a los investigadores que demostraran que el abuso era «reciente».
Eso no es negligencia. Es una colaboración.
El dominio está inactivo. La estafa ha terminado. Pero el hecho de que un registrador estadounidense decidiera inventarse públicamente una coartada para proteger a un ladrón de criptomonedas que se llevó 2 millones de dólares… eso es algo que perseguirá a IANA #1479 durante mucho tiempo. Su comunicado será la prueba principal en todos los expedientes que se presenten a partir de ahora.
Si respondes por el ladrón, tendrás que pagar su parte.
Datos y recursos
Investigaciones relacionadas
Esta investigación se basa en pruebas de dominio público, capturas de red en tiempo real, información de fuentes abiertas (OSINT), plataformas públicas de reseñas y la propia declaración pública, textualmente, de IANA #1479. No se ha realizado ningún acceso no autorizado. Todos los resultados son reproducibles de forma independiente.