La lucha contra el phishing y el fraude online lleva años apoyándose en una lógica reactiva: detectar el dominio malicioso cuando ya está activo, verificar el abuso y pedir su retirada lo más rápido posible. Netcraft quiere mover esa frontera un poco antes. La compañía ha anunciado Preemptive Domain Disruption, una nueva capacidad con la que pretende identificar y desactivar dominios controlados por atacantes antes de que se utilicen en campañas de phishing o en fraudes de Business Email Compromise (BEC), es decir, suplantaciones ligadas al correo corporativo.
La idea no es menor. Según explica la propia empresa, muchos atacantes registran dominios con días, semanas o incluso meses de antelación respecto al momento en que lanzan la campaña. Ese margen temporal, que hasta ahora quedaba en gran parte fuera del foco operativo de muchas defensas, es el que Netcraft dice querer aprovechar con esta nueva función: actuar en la ventana que va desde el registro hasta la activación del dominio.
Más allá del anuncio comercial, el movimiento refleja un cambio relevante en ciberseguridad. El problema ya no es solo detectar la infraestructura maliciosa cuando empieza a alojar una web fraudulenta o a enviar correos, sino tratar de desmontarla antes de que llegue a entrar en producción. En un momento en el que la automatización y la IA están ayudando a los atacantes a montar campañas más rápidas y más escalables, adelantarse unas horas o unos días puede marcar la diferencia entre contener una amenaza o llegar tarde.
Del derribo reactivo a la interrupción preventiva
Netcraft sostiene que su nuevo sistema se apoya en agrupaciones de datos, indicadores verificados de ataque y correlación de huellas compartidas entre campañas. En lugar de analizar señales aisladas, afirma que cruza elementos como infraestructura compartida, patrones de registro, configuraciones técnicas y otros rastros asociados a campañas de fraude y suplantación. Cuando reúne pruebas suficientes, la compañía asegura que trabaja directamente con proveedores de infraestructura de Internet para desactivar esos dominios y, al mismo tiempo, distribuir señales de alto riesgo a operadores DNS, sistemas de reputación de correo y otras plataformas antifraude.
Dicho de forma sencilla, el enfoque consiste en no esperar a que el dominio publique contenido malicioso visible para empezar a actuar. La empresa presenta este salto como un movimiento “más a la izquierda” en la cadena de ataque, una expresión bastante habitual en seguridad para referirse a intervenir antes de que el riesgo llegue al usuario final. En la práctica, eso sitúa el valor de la herramienta no tanto en la detección tradicional, sino en su capacidad para convertir patrones preparatorios en acciones de interrupción antes de que haya víctimas.
Netcraft acompaña el anuncio con cifras que conviene leer como datos aportados por la propia compañía, no como métricas auditadas públicamente. Asegura que, en resultados iniciales con clientes, aproximadamente el 90 % de los dominios controlados por ciberdelincuentes fueron retirados en menos de 24 horas, y que una implantación empresarial llegó a superar las 21.000 retiradas en tres meses. Son números llamativos, aunque por ahora no van acompañados de una metodología pública detallada que permita evaluar en qué tipos de campañas se obtuvieron, con qué umbral de certeza o con qué posible tasa de falsos positivos.
Por qué este anuncio importa ahora
El anuncio llega en un contexto en el que el ecosistema defensivo está intentando adaptarse a atacantes cada vez más rápidos. La propia Netcraft lleva tiempo advirtiendo de que la IA también está cambiando la superficie del fraude online, no solo porque facilita la generación de contenido convincente, sino porque acelera procesos como la creación de dominios, la suplantación de marcas o la preparación de campañas. En un análisis publicado en 2025, la compañía ya alertaba de que los modelos de lenguaje estaban llegando incluso a recomendar sitios de phishing en determinadas consultas, un síntoma de que el problema no se limita al correo o a la web tradicional, sino que se extiende a nuevas capas del ecosistema digital.
Desde ese punto de vista, la apuesta de Netcraft tiene lógica. Si el fraude se industrializa más, la respuesta también necesita ser más industrial y más temprana. No basta con reaccionar rápido; hay que detectar preparativos, identificar patrones y cortar infraestructura antes de que el ataque sea visible. Eso acerca esta propuesta al terreno de la protección digital del riesgo, una categoría que en los últimos años intenta ir más allá del simple monitoreo para actuar directamente sobre dominios, apps falsas, suplantaciones sociales o canales usados en campañas de engaño.
Netcraft, además, no parte de cero en este posicionamiento. La compañía afirma realizar derribos sobre cerca de un tercio de los sitios de phishing del mundo y ha venido ampliando su cartera de servicios con propuestas como la interrupción de estafas telefónicas, además de sus guías y servicios de protección frente a phishing, fraude y abuso de marca. Esa trayectoria le da cierto contexto a este nuevo paso, aunque la clave será ver si la capacidad preventiva se traduce en una ventaja real y sostenida frente a otros proveedores del sector.
También es relevante el respaldo público que la iniciativa ha recibido desde el entorno del Anti-Phishing Working Group (APWG). En el comunicado, Peter Cassidy, cofundador de la organización, afirma que Netcraft aportará datos de esta nueva capacidad a una subcategoría de dominios predesplegados dentro del eCrime eXchange del APWG. Es un detalle importante porque sugiere que la conversación sobre dominios maliciosos ya no se centra solo en los que están activos, sino también en los que todavía no han sido “armados” pero presentan señales claras de preparación para el abuso.
En todo caso, habrá que seguir la evolución de esta propuesta con cierta cautela. En ciberseguridad, adelantarse al ataque es siempre una aspiración deseable, pero hacerlo bien exige mucha precisión. Si el sistema acierta, puede reducir de forma muy notable la exposición al phishing y al BEC. Si se equivoca, entra en un terreno delicado donde la desactivación preventiva de dominios exige pruebas sólidas, coordinación con proveedores y un equilibrio fino entre rapidez y fiabilidad. Esa será, probablemente, la verdadera prueba de fuego de esta nueva fase.
Preguntas frecuentes
¿Qué es Preemptive Domain Disruption de Netcraft?
Es una nueva capacidad anunciada por Netcraft para identificar y desactivar dominios controlados por atacantes antes de que se utilicen en campañas de phishing o fraude BEC.
¿Qué problema intenta resolver esta tecnología?
Busca aprovechar el tiempo que transcurre entre el registro de un dominio malicioso y su uso real en una campaña, con la idea de desmontar esa infraestructura antes de que haya víctimas.
¿Qué significa BEC en este contexto?
BEC significa Business Email Compromise, una modalidad de fraude basada en la suplantación o manipulación de comunicaciones corporativas por correo electrónico.
¿Netcraft ha dado datos sobre la eficacia de esta nueva función?
Sí, pero son cifras comunicadas por la propia empresa: habla de alrededor del 90 % de dominios maliciosos retirados en 24 horas y de más de 21.000 retiradas en tres meses en una implantación empresarial.
vía: Netcraft
