Editorial mirrorBrand mentions redacted to public IDs. Hover to inspect. Everything else is theatre.How it works
THE ENABLERS REGISTRYRegistrar accountability archive
Archive LiveRead-only public record · No ads · No tracking
Case file folder with redacted documents and confidential investigation report.
CASE / ES / XMRWALLET NAMESILO EXPOSED

El fin de [REDACTED]: IANA #1479 al descubierto

The Enablers Registry·Editorial mirror·/es/xmrwallet-namesilo-exposed

Public record copy. Brand names withheld, public accreditation numbers preserved. If the body below says “we”, that means the original publisher, not this mirror. TER only preserves, redacts, and re-contextualizes.

El fin de [REDACTED][.]com: IANA #1479 mintió para proteger a un ladrón que se había llevado 2 millones de dólares

Tras 10 años robando claves privadas de Monero, la operación ha sido desmantelada. Tres registradores actuaron en cuestión de días. El cuarto —IANA #1479— se puso en contacto con el estafador, se creyó su historia y se convirtió en su portavoz.

27 de marzo de 2026 Investigación de THE ENABLERS REGISTRY 12 minutos de lectura
Investigación sobre [REDACTED] — IANA #1479 al descubierto
Resumen de la investigación: La caída de [REDACTED][.]com y el papel de IANA #1479 en la protección del estafador.
$2M+
Se estima que ha sido robado
10
Años en activo
3/4
Registradores suspendidos
7
Se demuestra que «IANA #1479» es falso
8
Puntos de acceso PHP para el robo

Lo que realmente hizo [REDACTED][.]com

Desde 2016, [REDACTED][.]com se promocionaba como un monedero de Monero gratuito y de código abierto. Nuestro Captura en directo de la red el 18 de febrero de 2026 demostró que estaba haciendo algo muy diferente: robar claves de visualización privadas de Monero en cada inicio de sesión y secuestrar transacciones desde el servidor.

Ataque de exfiltración de claves de Monero: un ordenador portátil transmite claves robadas al servidor de un estafador
Captura de pantalla 1 — El mecanismo de robo: cada vez que se iniciaba sesión en el monedero, se transmitía la clave privada de Monero de la víctima al servidor del estafador mediante codificación Base64.
Mecanismo central del robo

Código no inyectado — el arquitectura central. Un sistema de sesiones que abarca ocho puntos finales de PHP y que transmite la clave privada de visualización de la víctima Más de 40 veces por sesión. Cuando los usuarios enviaban XMR, su transacción se descartaba sin previo aviso (raw_tx_and_hash.raw = 0) y sustituido por el del estafador.

El usuario abre su monedero
Clave filtrada (Base64)
TX secuestrado en el lado del servidor
XMR enviado al estafador
8 puntos de conexión de la API de PHP utilizados para el robo de claves de vista — Repositorio de pruebas en GitHub
Captura de pantalla 2 — Los 8 puntos finales de PHP documentados en nuestro repositorio de pruebas de GitHub. Cada punto final forma parte de la cadena de exfiltración de session_key/view_key.

Seis proveedores de seguridad en VirusTotal lo señalaron como malicioso. Quince víctimas documentadas en Trustpilot, Sitejabber y BitcoinTalk. Una víctima perdió 590 XMR (aprox. 177 000 dólares) en un solo robo.

El análisis de VirusTotal muestra que 6 de los 93 proveedores señalan [REDACTED] como malicioso, incluida la detección de phishing de Fortinet.
Captura de pantalla 3 — VirusTotal: 6 de los 93 proveedores han marcado [REDACTED] como malicioso. Fortinet lo ha clasificado como «possibly phishing».
ScamAdviser indica que [REDACTED] es «muy probablemente inseguro», con una puntuación de confianza de 1 sobre 100.
Captura de pantalla 4 — ScamAdviser: Puntuación de confianza 1/100. «Es muy probable que no sea seguro».

Tres secretarios hicieron su trabajo

Presentamos denuncias por abuso idénticas ante los cuatro registradores que alojan dominios [REDACTED]. Tres de ellos actuaron de inmediato:

Tres puertas cerradas con llave que representan a los registradores suspendidos y una puerta abierta que representa la negativa de IANA #1479 a actuar
Captura de pantalla 5 — Tres registradores cerraron las puertas con llave. IANA #1479 dejó las suyas de par en par para el estafador.

Registro de dominio público

Suspendido

India · Días para actuar

IANA #460

Suspendido

Malasia · Días para actuar

IANA #3765

DNS inactivo

China · Quedan unas semanas para actuar

IANA #1479

Rechazado

EE. UU. · Estafador en libertad bajo fianza

Tres países. Tres conclusiones independientes.

India, Malasia y China: analizaron las pruebas, detectaron el fraude y suspendieron los dominios. Sin hacer preguntas.

IANA #1479 eligió un camino diferente

El cuarto secretario — [REDACTED] (EE. UU.) —el proveedor que aloja el dominio principal, con el mayor número de pruebas y de víctimas— hizo justo lo contrario. Se pusieron en contacto con el estafador, se creyeron su historia y publicaron un comunicado en su defensa:

Declaración pública de IANA #1479 en X (Twitter) en defensa del operador de [REDACTED], en la que afirma que el dominio fue comprometido
Captura de pantalla 6 — Declaración pública de IANA #1479 en X (Twitter), 12 de marzo de 2026. Todas las afirmaciones de esta publicación eran falsas.
«Nuestro equipo de lucha contra los abusos ha llevado a cabo un análisis exhaustivo de este caso y parece que el dominio fue objeto de un ataque hace unos meses... Tras una investigación exhaustiva, nuestro equipo ha encontrado pruebas de que el titular del dominio no tuvo nada que ver con dicho ataque... El titular del dominio también está trabajando para que el sitio web sea retirado de los informes de VT».

IANA #1479, a través de X (Twitter)

Analizamos esta declaración línea por línea. Todas las afirmaciones eran falsas.

Las propias palabras del operador

Antes de que IANA #1479 interviniera, el operador respondió directamente a nuestra denuncia por abuso. Sus correos electrónicos confirman que era consciente del problema y que tenía la intención de actuar:

Respuesta por correo electrónico del operador de [REDACTED] en la que afirma que no se trata de un intento de suplantación de identidad y que lleva 8 años en funcionamiento
Captura de pantalla 7 — Respuesta del operador: «Esto no es possibly phishing, llevamos más de 8 años en funcionamiento».
Respuesta por correo electrónico del operador de [REDACTED] en la que niega las acusaciones de robo y defiende sus prácticas de recopilación de datos
Captura de pantalla 8 — Segunda respuesta del operador: «Estos son los datos que necesitamos para ofrecer el servicio». Los «datos» eran la clave privada de visualización de la víctima.

Siete mentiras al descubierto

MENTIRA N.º 1: «El dominio fue pirateado»

El mecanismo de robo constituye la arquitectura central: 8 puntos finales PHP, exfiltración de claves Base64, un Un intervalo de 5,3 años entre commits en GitHub. Este sistema se ha ido desarrollando a lo largo de los años, no se ha creado de la noche a la mañana.

MENTIRA N.º 2: «No habíamos recibido ninguna denuncia previa de maltrato»

Seis proveedores de VirusTotal, quejas en Trustpilot que se remontan a años atrás, un hilo de advertencia en BitcoinTalk, el operador expulsado de r/Monero en 2018. Una simple búsqueda en Google lo habría demostrado.

MENTIRA N.º 3: «No involucrar al titular del registro»

El operador se ha registrado 4 dominios «escape» repartidos entre 4 registradores (pago por adelantado de 5 a 10 años cada uno) antes Se publicó la investigación. Se eliminaron más de 21 incidencias de GitHub. Se contrató a desarrolladores para un sistema de captcha. Eso no es una víctima, es una operación.

MENTIRA N.º 4: «Tomaron medidas de inmediato para revertirlo»

El código de robo se estaba ejecutando en el entorno de producción durante la declaración de IANA #1479. No hay ninguna confirmación en GitHub relacionada con ningún incidente. No se ha revertido nada.

MENTIRA N.º 5: «Estamos trabajando para que nos eliminen de la lista de VirusTotal»

IANA #1479 elogió al estafador por presionar para que se eliminara la detección de «possibly phishing» de Fortinet — sin eliminar el código de possibly phishing. Eso no es actuar de buena fe. Eso es ocultar las advertencias de seguridad.

MENTIRA N.º 6: «¿El abuso es reciente?»

Trasladar la carga de la prueba al denunciante para poder archivar el caso. Las pruebas figuraban en la denuncia. No hacía falta que los tres registradores colegiados preguntaran.

MENTIRA N.º 7: «Reabriremos la investigación»

«Reabrir» da a entender que estuvo abierto en algún momento. Su investigación consistió en llamar al estafador y anotar lo que decía. Eso no es una investigación, es un dictado.

Datos sobre infraestructuras

Diagrama de red de dominios que muestra los dominios de [REDACTED] suspendidos y los dominios de evasión registrados antes de la investigación
Captura de pantalla 9 — La red de evasión de dominios: 4 dominios repartidos entre 4 registradores, todos apuntando a los mismos servidores. Tres neutralizados.
Resultados de URLScan que muestran que los dominios de [REDACTED] se resuelven en las mismas direcciones IP en varios dominios de nivel superior (TLD)
Captura de pantalla 10 — Datos de URLScan: todos los dominios de [REDACTED] (.com, .cc, .biz, .net, .me, .app) apuntan a la misma infraestructura.
Repositorio de pruebas en GitHub que muestra puntos finales de robo documentados y capturas de red
Captura de pantalla 11 — Nuestro repositorio de pruebas en GitHub con el análisis completo de la captura de red. 109 solicitudes y 43 transmisiones de claves de visualización documentadas en una sola sesión.

Cronología: La caída de [REDACTED]

2016
[REDACTED][.]com comienza a funcionar y se promociona como «monedero gratuito de código abierto para Monero»
2018
Operador expulsado de r/Monero. Aparecen las primeras opiniones de víctimas en Trustpilot
4 de febrero de 2026
Se ha registrado el dominio «[REDACTED].cc» (8 años prepagados) — antes de que se publicara la investigación
13 de febrero de 2026
Publicación del número 35 — Se ha revelado el mecanismo completo de secuestro de TX
18 de febrero de 2026
N.º 36 — Captura en directo: 109 solicitudes, 43 transmisiones de «viewkey» en una sola sesión
23 de febrero de 2026
[REDACTED].cc SUSPENDIDO (PDR). [REDACTED].biz SUSPENDIDO (IANA #460). El operador borra por error los temas n.º 35 y n.º 36
26 de febrero de 2026
Más pánico: se han registrado [REDACTED].net y .me (prepago de 10 años, mismas direcciones IP que los dominios suspendidos)
8 de marzo de 2026
[REDACTED].net: DNS INACTIVO (IANA #3765). Se han neutralizado 3 de los 4 dominios de escape
Marzo de 2026
IANA #1479 publica un comunicado: «El titular del registro es la víctima». Ayuda a suprimir las detecciones de VirusTotal
27 de marzo de 2026
Se ha presentado una reclamación formal ante la ICANN (Sección 3.18 de la RAA). Pruebas presentadas a las fuerzas del orden. Publicación de este informe.

El veredicto

IANA #1479 no hizo caso de las pruebas. Las leyeron, llamaron al estafador, le creyeron, lo declararon inocente y contribuyeron a silenciar las advertencias de seguridad. Después pidieron a los investigadores que demostraran que el abuso era «reciente».

Eso no es negligencia. Es una colaboración.

El dominio está inactivo. La estafa ha terminado. Pero el hecho de que un registrador estadounidense decidiera inventarse públicamente una coartada para proteger a un ladrón de criptomonedas que se llevó 2 millones de dólares… eso es algo que perseguirá a IANA #1479 durante mucho tiempo. Su comunicado será la prueba principal en todos los expedientes que se presenten a partir de ahora.

Si respondes por el ladrón, tendrás que pagar su parte.

Datos y recursos

Investigaciones relacionadas

Esta investigación se basa en pruebas de dominio público, capturas de red en tiempo real, información de fuentes abiertas (OSINT), plataformas públicas de reseñas y la propia declaración pública, textualmente, de IANA #1479. No se ha realizado ningún acceso no autorizado. Todos los resultados son reproducibles de forma independiente.

Continue browsing the ledger

This page is the editorial mirror. Brand names are redacted to public IANA / business identifiers. Use the index to navigate other case files.

Open registrar ledger → All briefings