Registradores rebeldes: NIS2, KYC y retiradas transfronterizas en 2025

Este espectacular aumento de la actividad maliciosa se ve impulsado en parte por un subconjunto de registradores de dominios poco rigurosos que, en la práctica, actúan como facilitadores, proporcionando a los delincuentes un fácil acceso a los recursos de dominio necesarios para lanzar estafas, campañas de malware y botnets. En los nueve meses transcurridos desde la denuncia de Excedo en 2024 sobre los registradores «deshonestos», se ha informado de que algunas de estas empresas han proporcionado a los actores maliciosos más de 17 000 dominios de comando y control (C2) recién registrados para operaciones de malware, a pesar de la introducción de normas más estrictas en el sector y de varias operaciones mediáticas de desmantelamiento de infraestructuras delictivas. Este informe revisa el panorama del abuso de dominios en 2025, exponiendo qué registradores siguen mirando hacia otro lado y examinando los esfuerzos globales para hacerles rendir cuentas.

Registradores deshonestos que fomentan el abuso de dominios

No todos los registradores son iguales en lo que respecta a la prevención del abuso. La mayoría de los registradores se adhieren a las mejores prácticas de seguridad y cooperan con los investigadores, pero unos pocos proveedores «deshonestos» siguen ignorando actividades claramente maliciosas en sus plataformas. Estudios recientes confirman que los ciberdelincuentes acuden deliberadamente a determinados registradores que ofrecen registros de dominios masivos baratos, rápidos y anónimos. Por ejemplo, un estudio de Interisle Consulting Group identificó cuatro registradores específicos en los que se concentra en gran medida la actividad de registro abusivo de dominios.

Estos registradores ofrecen paquetes de compra masiva y un control laxo, lo que permite a los atacantes adquirir cientos o miles de dominios en cuestión de minutos. A continuación, los delincuentes utilizan rápidamente estos dominios para enviar spam, crear páginas de phishing o como controladores de botnets desechables, con la confianza de que, cuando un dominio sea marcado o suspendido, tendrán muchos más en reserva.

Un caso flagrante es el de NICENIC (NiceNIC), un registrador con sede en Asia que se ha convertido en un refugio para los malos actores. Un informe de phishing de 2024 reveló que un asombroso 45 % de los ~100 000 dominios gTLD de NiceNIC gestionados habían sido denunciados por phishing. Las investigaciones académicas también revelaron que NameSilo y NiceNIC se encuentran entre los registradores más utilizados para los dominios de phishing recién registrados. ¿Por qué se sienten atraídos los delincuentes por estas empresas? Un factor clave es el anonimato. Algunos registradores deshonestos aceptan pagos mediante criptomonedas e imponen controles de identidad mínimos. En el caso de NiceNIC, los investigadores señalan que la posibilidad de pagar con Bitcoin proporciona pseudoanonimato a los solicitantes de registro, lo que lo convierte en un imán para el uso delictivo. Los procesos de conozca a su cliente (KYC) son débiles o inexistentes en estos registradores, lo que permite a los estafadores registrar dominios con nombres falsos o entidades ficticias con un riesgo mínimo de exposición.

Otra táctica es el uso de servicios de privacidad/proxy y la redacción de WHOIS relacionada con el RGPD para ocultar los datos del registrante. Los actores maliciosos profesionales aprovechan el régimen de privacidad posterior al RGPD para ocultar sus identidades, sabiendo que los investigadores ya no pueden consultar rápidamente WHOIS para vincular los dominios al mismo propietario. El efecto neto es que estos proveedores de dominios fraudulentos suministran a los delincuentes un flujo constante de sitios web desechables, desde los que pueden operar sitios de phishing, páginas de descarga de malware y servidores C2 de botnets hasta que son detectados y cerrados. Como lamentó un investigador de seguridad, la pérdida de la capacidad de atribuir los dominios a sus propietarios reales ha «eliminado irremediablemente» la capacidad de advertir sobre nuevos abusos por parte de actores maliciosos conocidos. En otras palabras, la opacidad creada por las políticas de ciertos registradores (o la falta de ellas) está ayudando directamente a los ciberdelincuentes y obstaculizando su eliminación oportuna. El impacto de las «normas más estrictas» en 2024-2025

La industria y los reguladores no han permanecido inactivos ante el aumento del abuso del DNS. De hecho, en 2024 se aprovacharon nuevas normas importantes y se realizaron esfuerzos de aplicación destinados a frenar el abuso de los dominios. Sin embargo, la eficacia de estas medidas está siendo puesta a prueba por los delincuentes.

Enmiendas de la ICANN sobre el abuso del DNS: En abril de 2024, la Corporación de Internet para la Asignación de Nombres y Números (ICANN) implementó enmiendas a su Acuerdo de Acreditación de Registradores (RAA) estándar y a los contratos de registro, estableciendo obligaciones explícitas para los registradores y los registros de actuar con prontitud ante las denuncias de abuso del DNS que puedan dar lugar a acciones legales. Se trató de un cambio de política importante: por primera vez, los registradores acreditados deben investigar y responder a las denuncias de malware, phishing, actividad de botnets y otros abusos del DNS de manera oportuna, en lugar de ignorarlas.

El departamento de Cumplimiento Contractual de la ICANN ha intensificado la aplicación de la normativa en consecuencia. En los primeros seis meses de vigencia de las nuevas normas (abril-octubre de 2024), el departamento de Cumplimiento de la ICANN inició 192 investigaciones relacionadas con el abuso del DNS y comunicó la resolución de 154 de ellas, lo que dio lugar a la suspensión o eliminación de más de 2700 nombres de dominio maliciosos (incluidos más de 350 sitios de phishing que fueron retirados). Aunque es demasiado pronto para cantar victoria, estas cifras indican un importante impulso hacia la limpieza del ecosistema de dominios. En particular, en agosto de 2025, la ICANN emitió un aviso público de incumplimiento al registrador WebNic (Web Commerce Communications Limited) tras descubrir que la empresa no había tomado medidas ante múltiples denuncias de abuso, en particular en relación con dominios utilizados en estafas de phishing con criptomonedas. Según la ICANN, WebNic demostró una «preocupante tendencia» a dar largas al asunto, a menudo actuando solo después de que la propia ICANN se involucrara, y retrasaba a los denunciantes con repetidas solicitudes irrelevantes de «más pruebas» en lugar de poner fin a los abusos evidentes.

Se le dio a WebNic un ultimátum para mejorar o enfrentarse a la retirada de su acreditación. Este caso envió una clara señal de que ignorar los abusos puede costarle la licencia a un registrador. Del mismo modo, los operadores de registros han sido objeto de escrutinio: Spamhaus informa de que el dominio de nivel superior .TOP (frecuentemente utilizado de forma abusiva por los estafadores) recibió una carta formal de la ICANN a finales de 2024 debido a su «deficiente gestión de los abusos».

Desmantelamiento de importantes botnets: Mientras tanto, las fuerzas del orden y los socios del sector han logrado algunos éxitos al desmantelar infraestructuras delictivas. Un ejemplo destacado fue la operación multinacional contra la botnet Qakbot en 2023, que supuso la incautación de servidores maliciosos y docenas de dominios de botnets. El desmantelamiento de Qakbot tuvo una amplia difusión y su impacto fue evidente: el número de dominios de comando y control relacionados con Qakbot rastreados en las listas de bloqueo de DNS se redujo en más de un 41 % inmediatamente después. Estos desmantelamientos demuestran el potencial de la acción coordinada, pero también ponen de relieve el reto que supone el juego del gato y el ratón. Cuando se desmantela una botnet o una campaña de phishing, los atacantes suelen reagruparse y registrar nuevos dominios a través de los mismos registradores laxos, a menos que se presione a esos registradores para que endurezcan sus políticas.

¿Están surtiendo efecto estas medidas? Hasta ahora, los datos son contradictorios. Por un lado, vemos una aplicación de la ley sin precedentes y una cierta reducción en las métricas específicas de abuso tras acciones de gran repercusión. Por otro lado, el abuso general de los dominios sigue siendo generalizado. Solo en el periodo comprendido entre octubre de 2024 y marzo de 2025, Spamhaus observó 2,9 millones de dominios maliciosos recién detectados (un ligero aumento con respecto a periodos anteriores), lo que sugiere que los delincuentes siguen encontrando muchos dominios nuevos para sus planes. Los registradores y registros fraudulentos no se han reformado en su totalidad; siguen actuando como refugios seguros (legales) para actividades ilícitas, incluso cuando la red se estrecha a su alrededor.

Políticas y leyes globales: RGPD, NIS2 y más

La lucha contra el abuso de dominios requiere un enfoque global, y varios marcos legales internacionales determinan ahora cómo deben operar los registradores. Se trata de un delicado equilibrio entre privacidad, seguridad y responsabilidad.

• RGPD y privacidad de WHOIS: El Reglamento General de Protección de Datos (RGPD) de la UE (en vigor desde 2018) revolucionó la privacidad de los datos y tuvo un profundo efecto en los datos de registro de dominios. En virtud del RGPD, los registradores y los registros eliminaron la información personal de los registros públicos de WHOIS para proteger la privacidad de los usuarios europeos. Si bien esto supuso una victoria para la privacidad, también tuvo consecuencias no deseadas para la ciberseguridad.
  
  Los investigadores y los equipos de lucha contra el abuso perdieron de repente el acceso rápido a los datos de propiedad que les ayudaban a atar cabos entre los dominios maliciosos. Una encuesta realizada a 327 profesionales de la ciberseguridad (llevada a cabo por M³AAWG y APWG) reveló que las redacciones de WHOIS impulsadas por el RGPD «impiden las investigaciones de delitos cibernéticos», eliminando intervenciones preventivas cruciales y permitiendo a los delincuentes esconderse detrás de registros de dominios anónimos. Las solicitudes de datos WHOIS no públicos a menudo se deniegan o se retrasan, incluso para investigadores de seguridad legítimos.
  
  En resumen, el RGPD introdujo una disyuntiva entre privacidad y seguridad: protegió los datos de las personas que cumplen la ley, pero también protegió a los malos actores del escrutinio. La comunidad de dominios sigue lidiando con este desafío explorando soluciones equilibradas (como el acceso acreditado para investigadores acreditados) para restaurar cierta visibilidad sin violar las leyes de privacidad.
  
  
• Directiva NIS2 de la UE (2022/2023): La Directiva NIS2 de la Unión Europea, que los Estados miembros están aplicando actualmente, se centra directamente en algunas de las lagunas de anonimato que explotan los ciberdelincuentes. La NIS2 amplía el alcance de la normativa sobre ciberseguridad para incluir a los proveedores de servicios de nombres de dominio (registros, registradores, operadores de DNS) como entidades «esenciales» o «importantes». Es fundamental señalar que el artículo 28 de la NIS2 impone estrictos requisitos de «conozca a su cliente» a los registradores de dominios. Los registradores de la UE (o que prestan servicios a clientes de la UE) deben recopilar y mantener datos precisos y completos sobre el registro de dominios y verificar la identidad de quienes registran nombres de dominio. La información de contacto falsa o ficticia ya no será aceptable en virtud de esta ley. Además, los registradores estarán obligados a proporcionar acceso oportuno a los datos de registro a los solicitantes legítimos, por ejemplo, las fuerzas del orden o los investigadores de ciberseguridad, previa solicitud adecuada. En efecto, la NIS2 pretende reducir el anonimato del que han disfrutado los registros «fraudulentos». El titular de un dominio deberá ser una persona u organización real y verificable, lo que dificultará que los delincuentes puedan simplemente desaparecer tras datos WHOIS falsos. Se trata de un avance significativo: al aplicar el KYC en los registros de dominios, la UE espera disuadir el abuso (menos identidades desechables) y ayudar en las investigaciones (un rastro fiable hasta el registrante). Los registradores tendrán que adaptar sus procesos para cumplir con la normativa, reforzando la verificación de la identidad en el momento de la compra y realizando comprobaciones periódicas de los datos de los registrantes.
  
  
• Ley CLOUD de EE. UU.: Al otro lado del Atlántico, Estados Unidos ha aprovechado herramientas legales como la Ley de Aclaración del Uso Legal de Datos en el Extranjero (Ley CLOUD) para facilitar las investigaciones transfronterizas de delitos cibernéticos. Promulgada en 2018, la Ley CLOUD de EE. UU. permite a las fuerzas del orden federales obligar a los proveedores de tecnología y servicios con sede en EE. UU. a entregar los datos que obran en su poder, independientemente del lugar en el que estén almacenados. Para los registradores de dominios y los proveedores de DNS, esto significa que, si están sujetos a la jurisdicción de los Estados Unidos (por ejemplo, una empresa con sede o activos en los Estados Unidos), deben cumplir con las órdenes judiciales o mandamientos válidos para revelar los datos de los clientes o incluso ejecutar incautaciones de dominios, incluso si los dominios o los usuarios se encuentran fuera de los Estados Unidos.
  
  Esto ha permitido un desmantelamiento más ágil de los dominios y contenidos delictivos: Las agencias estadounidenses pueden exigir a un registrador o registro que desconecte un dominio malicioso sin tener que pasar por largos procesos de asistencia jurídica mutua. Sin embargo, la Ley CLOUD también plantea preocupaciones jurisdiccionales y de privacidad a nivel internacional. Otros países se preocupan por la extralimitación de los Estados Unidos, mientras que las empresas deben lidiar con leyes potencialmente contradictorias (por ejemplo, cumplir con una solicitud de datos de los Estados Unidos sin violar el RGPD en Europa). Para abordar esta cuestión, el marco de la Ley CLOUD incluye disposiciones para acuerdos bilaterales y acuerdos «recíprocos» de intercambio de datos entre Estados Unidos y gobiernos extranjeros de confianza. Para los profesionales de la ciberseguridad, la Ley CLOUD es un arma de doble filo: agiliza la recopilación de pruebas y la intervención de dominios a través de las fronteras, pero también obliga a los proveedores a gestionar cuidadosamente la gobernanza y la transparencia de los datos, sabiendo que cualquier dato bajo la influencia de Estados Unidos puede ser obtenido por las autoridades en determinadas condiciones.
  
  
• Otras medidas internacionales: Los gobiernos de todo el mundo están tomando conciencia del abuso de los servicios de registro de dominios y están proponiendo nuevas leyes para combatirlo. Por ejemplo, a principios de 2025, el Reino Unido introdujo una legislación (el Crime and Policing Bill) que facultaría a las autoridades británicas a ordenar el cierre de dominios a nivel mundial que se utilicen en delitos graves. Si se aprueba, esta ley otorgaría a la policía británica la capacidad sin precedentes de obligar a cualquier registro o registrador (incluso a los que se encuentran fuera del Reino Unido) a suspender o eliminar un nombre de dominio involucrado, por ejemplo, en fraude, malware o contenido terrorista, esencialmente afirmando su jurisdicción sobre los dominios que afectan a víctimas británicas.
  
  Este enfoque agresivo pone de relieve la frustración de las fuerzas del orden ante la lentitud de las medidas voluntarias y la cooperación internacional; también presagia posibles conflictos si otros países afirman poderes extraterritoriales similares. A nivel multilateral, marcos como el Convenio de Budapest sobre la Ciberdelincuencia e iniciativas a través de Europol/Interpol siguen facilitando la colaboración transfronteriza en casos de abuso de dominios, pero estos funcionan mediante el consenso y el intercambio de información, en lugar de mediante leyes vinculantes.
  
  La tendencia es clara: el abuso de dominios está ahora en el punto de mira de los reguladores, y los registradores deben navegar por una matriz de leyes en constante evolución, desde la privacidad de los datos hasta las directivas de ciberseguridad, o se arriesgan a multas, prohibiciones legales o la pérdida de la licencia.

Aplicación de la ley en la práctica: responsabilizar a los registradores

Las medidas de aplicación de la ley en el mundo real ilustran tanto los avances como los retos que se plantean a la hora de controlar a los registradores deshonestos:

• Notificaciones de cumplimiento y incumplimiento de la ICANN: Como se ha señalado, el departamento de Cumplimiento Contractual de la ICANN ha comenzado a emitir avisos de incumplimiento a los registradores que no cumplen con sus obligaciones de mitigación de abusos. El caso WebNic de 2025 es un buen ejemplo de ello. WebNic, un registrador consolidado con más de 800 000 dominios bajo su gestión, fue denunciado públicamente por «hacer la vista gorda» ante las denuncias de abusos. Los dominios de phishing bajo el ala de WebNic fueron denunciados por investigadores de seguridad, pero el registrador supuestamente retrasó la acción durante semanas, pidiendo repetidamente a los denunciantes pruebas innecesarias y sin tener en cuenta la información fácilmente disponible sobre los ataques. Solo después de la intervención de la ICANN, WebNic suspendió los dominios infractores, un patrón de comportamiento que la ICANN consideró inaceptable. La notificación de incumplimiento dio a WebNic hasta agosto de 2025 para cumplir con la normativa o enfrentarse a la rescisión. Esta medida coercitiva pública es un terreno nuevo para la ICANN, que históricamente ha sido criticada por su enfoque poco estricto en la supervisión de los registradores. El mensaje ahora es que los registradores deben vigilar de forma proactiva los abusos en sus plataformas o enfrentarse a graves consecuencias. En casos graves, las autoridades gubernamentales pueden emprender acciones legales contra los registradores o sus operadores. Aunque es poco frecuente, ha habido casos en los que la dirección de un registrador se ha visto implicada en la facilitación de delitos (por ejemplo, ayudando deliberadamente a ciberdelincuentes o negándose a eliminar dominios delictivos con fines lucrativos). En un incidente notable, un registrador que ignoró las órdenes judiciales de eliminar contenidos relacionados con el terrorismo vio cómo sus ejecutivos se enfrentaban a responsabilidades personales en virtud de las leyes antiterroristas (lo que le obligó a cumplir). Sin embargo, lo más habitual es que la amenaza de perder la acreditación o el negocio sea suficiente para ejercer presión. Las grandes empresas y las firmas de protección de marcas evitan a los registradores conocidos por sus abusos, lo que significa que los registradores deshonestos no solo se arriesgan a sufrir medidas reguladoras, sino también a dañar su reputación y perder ingresos si no ponen orden en sus asuntos. También hemos visto cómo grupos industriales como el Grupo de Trabajo Anti-Phishing (APWG) y el Grupo de Trabajo contra el Abuso de Mensajes Maliciosos Móviles (M3AAWG) nombran oficialmente a los registradores problemáticos en sus informes, lo que presiona a esas empresas a responder o ser rechazadas por sus socios.
  
  
• Acciones de los operadores de red y la comunidad: La comunidad de infraestructura de Internet en general también desempeña un papel importante. Por ejemplo, los principales proveedores de alojamiento web y los mantenedores de listas de bloqueo antispam (como Spamhaus) marcan o bloquean los dominios de los registradores que cometen abusos de forma crónica. La clasificación de Spamhaus de los «10 registradores más abusivos» ha llamado históricamente la atención sobre los registradores con altos porcentajes de dominios maliciosos, lo que ha avergonzado a esas empresas y las ha obligado a abordar los problemas. En casos extremos, un registro de Internet (que asigna direcciones IP) o un registro de dominios podría imponer restricciones.
  
  Un ejemplo histórico es el colapso del modelo de negocio de Freenom: Freenom gestionaba varias extensiones de dominio gratuitas (como .TK, .ML) que se vieron tan inundadas de malware y sitios fraudulentos que sus proveedores y socios cortaron sus vínculos, lo que llevó a una limpieza drástica en 2023. Sirve como advertencia: si un registrador o un registro se convierte en sinónimo de abuso, la comunidad puede reaccionar de formas que pongan en riesgo ese negocio (desde el bloqueo técnico hasta la pérdida de contratos).
  
  
• Aplicación de la ley y operaciones internacionales: Como se ha mencionado, operaciones como el desmantelamiento de la botnet Qakbot, así como otras como la interrupción de la botnet Emotet y la incautación de cientos de dominios de phishing por parte del Centro Europeo de Ciberdelincuencia de Europol, demuestran el creciente poder de las fuerzas del orden en el ámbito de los dominios. Estas acciones suelen implicar órdenes judiciales a los registradores/registros para que entreguen o desactiven los dominios. En Estados Unidos, las agencias federales han aprovechado el sistema judicial para confiscar docenas de dominios maliciosos a la vez, especialmente cuando los dominios se encuentran en gTLD como .COM o .ORG (que son operados por registros con sede en Estados Unidos). En Europa, las iniciativas de las nuevas Unidades Cibernéticas Conjuntas de la UE animan a las autoridades de los Estados miembros a coordinar el cierre de dominios cuando ven que se abusa de la infraestructura a gran escala. Sin embargo, los delincuentes se adaptan a la presión en determinados TLD o registradores y migran a otros más offshore u oscuros. Por eso se presta cada vez más atención a los propios registradores: para evitar el juego del gato y el ratón, los registradores que permiten abusos repetidos deben cambiar sus prácticas o ser expulsados del sector.
  
  

Hacia un ecosistema de dominios más seguro

La batalla contra el abuso de dominios y los registradores deshonestos está lejos de haber terminado, pero hay signos prometedores de cambio. La colaboración entre múltiples partes interesadas —en la que participan grupos del sector, responsables políticos, fuerzas del orden y registradores/registros— se está cohesionando en torno a la idea de que una Internet más segura comienza en el nivel del DNS. Una conclusión clave es que los problemas sistémicos requieren soluciones sistémicas:

• Barreras de entrada más estrictas para los malos actores: Los expertos abogan por la adopción generalizada de una verificación rigurosa de la identidad para el registro de dominios, especialmente en el caso de las compras masivas. Al dificultar a los atacantes la simple generación de nuevas identidades y dominios a su antojo, se puede reducir el número de dominios «descartables». Los requisitos de NIS2 KYC son un paso en esta dirección, e incluso fuera de la UE, muchos registradores están considerando la posibilidad de aplicar voluntariamente el KYC para prevenir los abusos. Estándares de notificación y respuesta ante abusos: La comunidad está desarrollando estándares para la notificación de abusos, como un formato común de notificación de abusos y un sistema de tickets, para que los registradores puedan tramitar las quejas de forma más eficiente. Iniciativas como el Servicio de Solicitud de Datos de Registro (RDRS) propuesto por la ICANN y los programas "Trusted Reporter" del sector tienen como objetivo agilizar la gestión de las notificaciones de abusos creíbles, lo que permite la rápida suspensión de los dominios que están claramente involucrados en delitos cibernéticos. Cuanto más rápido se pueda eliminar un dominio malicioso, menos daño podrá causar.
  
  
• Incentivos y sanciones: Existe un consenso cada vez mayor en que las meras directrices voluntarias no son suficientes, sino que se necesitan mecanismos de aplicación. Esto puede incluir sanciones para los proveedores de servicios que «suministran de forma sistemática y desproporcionada recursos de ataque a los ciberdelincuentes». En la práctica, esto podría significar sanciones económicas, pérdida de acreditación o responsabilidad civil por negligencia grave por parte de los registradores. Por el contrario, los incentivos positivos (como prestaciones de seguros o reconocimiento público) podrían recompensar a aquellos registradores que mantengan un historial ejemplar en la lucha contra el abuso.
  
  
• Mejora del intercambio de información sobre amenazas: Los equipos de ciberseguridad comparten cada vez más datos sobre dominios maliciosos y sus fuentes de registro. Proyectos como el Domain Abuse Activity Reporting (DAAR) de la ICANN y el APWG eCrime Exchange proporcionan paneles de control con las tendencias de abuso por registrador y TLD. Al sacar a la luz el problema, estos informes empujan a los registradores a actuar o a enfrentarse a la presión del mercado. Además, se están empleando los avances en inteligencia artificial y aprendizaje automático para detectar registros de dominios maliciosos incluso antes de que se utilicen, mediante el análisis de patrones de nomenclatura y otras señales de riesgo. Aunque no son infalibles, estas herramientas pueden ayudar a los registradores a marcar los pedidos sospechosos para su revisión manual (especialmente los de clientes sin historial previo).

Conclusión

A medida que nos acercamos a 2025, la lucha contra el abuso de dominios se encuentra en un punto de inflexión. Los reguladores de Europa, América y Asia están subiendo la apuesta con leyes que exigen una mayor responsabilidad por parte de los registradores. La ICANN y los organismos del sector han dejado claro que se ha acabado el «business as usual»: la seguridad ya no puede ser una cuestión secundaria en el sector de los nombres de dominio. Se está denunciando a los actores deshonestos por su nombre y su margen de inacción se está reduciendo. Sin embargo, solo se producirá un cambio duradero si existe un compromiso amplio entre todas las partes interesadas (registradores, registros, proveedores de alojamiento, CERT y fuerzas del orden) para dar prioridad a la seguridad e integridad del DNS. Esto significa no solo reaccionar ante los abusos, sino reducir de forma proactiva las oportunidades de que se produzcan.

Para los profesionales de la ciberseguridad, la conclusión es mantenerse informados sobre qué proveedores toleran los abusos y ejercer presión (a través de políticas corporativas o asesoramiento a los clientes) para evitarlos. También es fundamental apoyar y utilizar las herramientas emergentes para el intercambio de datos y la verificación de identidad en el espacio de los dominios. Las perspectivas para 2025 dan motivos para un optimismo cauteloso: con normas más estrictas y una mayor concienciación, esperamos que los peores registradores se reformen o salgan del escenario. Sin duda, los malos actores de Internet buscarán nuevas lagunas, pero la comunidad está más preparada que nunca para cerrarles la puerta. Combinando soluciones técnicas con políticas aplicables y cooperación global, por fin podremos poner en aviso a los «registradores deshonestos» y frenar el abuso de dominios que ha plagado durante demasiado tiempo los bajos fondos de Internet.

Referencias:

• Interisle Consulting Group, Cybercrime Supply Chain 2024: documenta un aumento interanual del 54 % en los ciberataques y 8,6 millones de dominios utilizados en 2023.
• Interisle Consulting Group, Criminal Abuse of Domain Names: identifica cuatro registradores con registros abusivos concentrados y confirma el registro masivo como herramienta para la ciberdelincuencia.
• Domain Name Wire: informa de que el 45 % de los dominios de NiceNIC fueron incluidos en la lista negra por phishing.
• Estudio académico (UCL, 2025): concluye que NameSilo y NiceNIC son los registradores más utilizados para los nuevos dominios de phishing y señala que los delincuentes se aprovechan de los registradores que ofrecen pagos criptográficos anónimos.
• Encuesta conjunta de M3AAWG/APWG: describe cómo la privacidad de WHOIS impulsada por el RGPD obstaculiza las investigaciones de delitos cibernéticos, lo que reduce la capacidad de los investigadores para identificar a los malos actores.
• Excedo Networks: Navigating NIS2 (2024) describe los nuevos requisitos de la UE para el KYC en los registros de dominios (artículo 28 de NIS2).
• Blog de la ICANN / Nominet (2024): detalla las modificaciones del contrato de la ICANN de 2024 sobre el abuso del DNS y los primeros seis meses de aplicación: 192 medidas de cumplimiento, 2700 dominios suspendidos.
• Domain Incite (agosto de 2025): registrador criticado por presunto descuido en el abuso de criptomonedas, en relación con la notificación de incumplimiento de la ICANN a WebNic por no actuar ante las denuncias de abuso de phishing.
• Spamhaus Intelligence: actualización de la reputación de los dominios (octubre de 2024-marzo de 2025), en la que se observan 2,9 millones de nuevos dominios maliciosos en 6 meses, y carta al registro .TOP sobre la gestión del abuso; Actualización sobre amenazas de botnets, en la que se señala una caída del 41 % en los C2 de Qakbot tras su desmantelamiento.
• Domain Incite (febrero de 2025): el Reino Unido presenta una ley global de desmantelamiento de dominios, sobre las competencias propuestas por el Reino Unido para la incautación extraterritorial de dominios.
• ArchTIS Blog (mayo de 2025): explicación de la disposición de la ley CLOUD de EE. UU. sobre el acceso transfronterizo a los datos por parte de las fuerzas del orden, que obliga a los proveedores estadounidenses a cumplirla independientemente de la ubicación de los datos.
• Grupos de trabajo Interisle/Anti-Abuse: recomendaciones para penalizar a los proveedores que facilitan de manera desproporcionada los delitos cibernéticos y llamamientos a una amplia acción de las partes interesadas.