Nunca compres un dominio .online

 (0xsid.com)
7 puntos por GN⁺ 2026-02-26 | 1 comentarios | Compartir por WhatsApp
  • Un desarrollador que había operado principalmente con .com usó un dominio .online mediante una promoción gratuita y terminó sufriendo bloqueo del sitio y suspensión del dominio
  • El dominio .online recibido gratis de Namecheap pasó a estado inaccesible después de recibir la advertencia de “sitio peligroso” de Google Safe Browsing
  • Al consultar WHOIS, aparecía con estado serverHold, lo que confirmó que el registro (Radix) había suspendido el dominio
  • El proceso de verificación de Google y las condiciones del registro para levantar la suspensión se entrelazaron, provocando un “dilema de verificación” que hacía imposible recuperar el dominio
  • El dominio .com sigue siendo el estándar de oro, y usar TLD no estándar implica riesgos

La promoción gratuita de .online de Namecheap

  • Namecheap lanzó una promoción que ofrecía gratis dominios .online o .site
    • El autor eligió un dominio .online para un pequeño proyecto de app
    • Pagó solo la tarifa de ICANN de 0.20 dólares y abrió el sitio conectándolo con Cloudflare y GitHub Pages
  • Al principio funcionó con normalidad, pero después Google y los navegadores empezaron a mostrar advertencias de “sitio peligroso”, bloqueando el acceso

Bloqueo del sitio y suspensión del dominio

  • Tanto en Firefox como en Chrome aparecía una página de advertencia a pantalla completa, impidiendo el acceso a los visitantes
    • El sitio solo incluía enlaces a App Store, capturas de pantalla y una breve descripción
  • En la consulta WHOIS, el estado del dominio aparecía como serverHold, confirmando que el registro (Radix) lo había suspendido directamente
  • Al ejecutar el comando dig NS, la información de nameservers aparecía vacía, mientras que la configuración de Cloudflare seguía normal

Intentos de recuperación y el dilema de verificación

  • El autor contactó por separado a Namecheap y a Radix, pero no era posible recuperar el dominio sin que se levantara la inclusión en la lista negra de Google Safe Browsing
  • En Google Search Console era necesario demostrar la propiedad del dominio para poder solicitar una revisión, pero
    • como el dominio estaba suspendido, no era posible agregar registros DNS, por lo que la verificación fallaba desde el inicio
  • Google solo devolvía la respuesta: “no valid page submitted”
  • El autor intentó reportar el falso positivo por varias vías, como Safe Browsing, Safe Search y reportes de phishing, pero sin resultado

La causa del problema y la lección

  • El autor señala tres errores
    • usar un TLD no estándar (.online)
    • no registrar el dominio en Google Search Console
    • no configurar monitoreo de disponibilidad
  • Tanto Radix como Google son criticados por la opacidad de sus bloqueos automáticos y de los procedimientos de recuperación
  • La causa no está clara, pero se menciona un posible problema de confianza del TLD .online o un falso positivo

Conclusión y medidas posteriores

  • Después, el sitio fue eliminado de la lista negra de Safe Search de Google y también se levantó el serverHold de Radix, por lo que el sitio se recuperó
  • El autor afirma que “.com sigue siendo el estándar de oro” y que no volverá a comprar otro TLD
  • El caso se presenta como una advertencia sobre los riesgos que pueden surgir al usar TLD baratos o gratuitos

Lecturas relacionadas

1 comentarios

 
GN⁺ 2026-02-26
Opiniones de Hacker News

  • Los bucles interminables de verificación de cuentas de las grandes empresas son un problema realmente doloroso
    Cuando recibes un correo que dice “por favor verifica tu cuenta”, es absurdo que ni siquiera exista una opción para hacer clic en “este no soy yo”
    No sé si la gente que diseña estos sistemas no entiende su trabajo, o si sus objetivos están completamente desalineados con los del consumidor

    • En nuestra empresa pasó algo parecido. La persona que administraba la cuenta de desarrollador de Apple se fue de repente, y desde entonces llevamos meses en un intercambio interminable de correos con soporte de Apple
      Piden documentos, luego no envían el enlace seguro, después toca esperar otra semana, luego vuelven a pedirlos porque falta una sola frase en el documento…
      Nos pidieron una tarjeta de presentación, así que tuve que mandar a hacer una nueva por primera vez en 20 años. A estas alturas, un estafador pasaría más rápido por ese proceso
    • A mí también me tocó ese tipo de bucle con Google. Gmail me pidió 2FA, pero como no tenía número de teléfono usé el correo de recuperación → ese correo de recuperación también pedía 2FA → y el correo de recuperación del correo de recuperación era una dirección sbcglobal.net que ya no existía
      Al final, el problema era que Google había usado mal el correo de recuperación como método de 2FA, y para resolverlo tuve que contactar a AT&T. Básicamente tuve que pedir que actualizaran información de cliente de hace 20 años
    • Incluso cuando sí existe un botón de “este no soy yo”, casi nunca cambia nada en la práctica
      En la mayoría de los casos, la otra persona no logra completar la verificación por correo y ya no puede hacer nada más, y el sitio tampoco vuelve a enviar más mensajes
      El problema es que en ese estado yo no puedo crear una cuenta nueva con ese mismo correo. Pero al final sí puedo apropiarme de esa cuenta a través del proceso de “restablecer contraseña”
    • Alguien sigue agregando mi dirección de Gmail como correo de respaldo de su cuenta
      Cada vez que Gmail me avisa, lo elimino, pero me preocupa si dejar eso sin atender podría implicar riesgo de secuestro de cuenta
    • Hace tiempo alguien vinculó mi correo a una cuenta bancaria de Santander UK
      Intenté contactarlos, pero la única opción era una llamada internacional o una carta en papel, así que me rendí y simplemente empecé a filtrar esos correos aparte

  • Es impactante que un registrador de dominios suspenda un dominio basándose en Google Safe Browsing
    Si hacen eso, todo ese TLD pasa a ser poco confiable

    • Los TLD como .online suelen costar 1 dólar para registrarlos, pero la renovación sube a 30 o 35 dólares
      Esa política de precios funciona como una señal para distinguir entre TLD serios y TLD para estafas de corto plazo
    • El problema es el registro. También lo menciono en la página de explicación sobre riesgo de dominios de tldrisk.com
      Por la falta de supervisión de ICANN, los registros cambian políticas a su antojo, y al final la gente solo termina confiando en TLD con larga trayectoria como .com y .org
      Personalmente, creo que solo se puede confiar en .com y .ca
    • La conclusión es que hay que evitar los dominios administrados por Radix
    • Safe Browsing funciona a nivel de sitio web, pero Radix usa eso como motivo para suspender toda la cuenta
      No tiene sentido congelar una cuenta completa por algo que podría resolverse bloqueando solo un subdominio
    • Tal vez el modelo de negocio de Radix ni siquiera esté orientado a un “uso serio” desde el principio

  • El propietario del TLD en este caso era Radix
    Opera .store, .online, .tech, .site, .fun, .pw, .host, .press, .space, .uno, .website, entre otros
    radix.website

    • Estos TLD suelen estar asociados con sitios fraudulentos con frecuencia
      Quizá sería mejor bloquear por completo todo el TLD
    • Yo también he usado un dominio .tech como correo personal desde hace años, y no sabía que pertenecía a un registro así
    • En el DNS de mi casa tenía bloqueados 66 TLD y todos los ccTLD IDN, pero este se me había pasado
      Ahora uso el feed de inteligencia de amenazas hagezi rpz para bloquear la mayoría de los dominios raros

  • Que “suspendieron un dominio por la blacklist de Google Safe Browsing” es la pendiente resbaladiza de la censura sobre la que vengo advirtiendo desde hace 10 años
    No haberlo registrado en Google Search Console fue un gran error. Al final, eso solo reforzó aún más la influencia monopólica de Google

    • Esto no es culpa de Google, sino de Radix
      Está bien que Google y Microsoft mantengan listas de sitios maliciosos, pero el problema es usar eso como criterio absoluto para suspender dominios
      No es que Google haya tomado el poder; Radix se lo entregó voluntariamente
    • Google puede tener una opinión, pero eso debería estar separado de las acciones de suspensión del registrador
    • Claramente la culpa es de Radix
    • Es como disolver una empresa porque tiene mala calificación en BBB. Es totalmente absurdo
    • No entiendo por qué suspenden dominios basándose en la blacklist de un tercero
      Por otro lado, también pasa muchas veces que denuncias un sitio fraudulento y no lo eliminan

  • Si esto puede pasar por no estar registrado en Google Search Console, entonces debería llevar a una investigación antimonopolio
    Eso convierte a Google en el guardián mismo de la existencia en internet

  • Parece que Radix creó un bucle de retroalimentación negativa
    Desde la perspectiva de Google, ver que después de entrar en Safe Browsing desaparece el DNS podría interpretarse erróneamente como “conducta fraudulenta”

  • El problema no es que .online sea “raro”, sino que era gratis
    Los TLD gratuitos atraen a spammers y estafadores, y al final quedan marcados como señal de fraude
    Claro que también hay muchos dominios buenos fuera de .com

    • .online, .top, .xyz, .info y .shop están entre los TLD más usados por sitios fraudulentos
      Son demasiado baratos, así que se usan para phishing de corto plazo. Si vas a crear un dominio nuevo, conviene evitar esos TLD
    • Probablemente el dominio del OP fue abusado en el pasado, o quedó clasificado automáticamente como de alto riesgo por el estigma de los TLD baratos
      Lo gratis suena bien, pero a veces trae riesgos fatales

  • En mi experiencia, los dominios vanity suelen ser bloqueados con frecuencia por sistemas de seguridad corporativos
    El dominio .homes de un amigo estuvo bloqueado durante 6 meses en quad9 y en redes de seguridad empresariales
    A mí también me pasó que, cuando compré un TLD nuevo, algunos ISP me bloquearon el acceso durante un mes por sus funciones de “navegación segura”
    Lo que aprendí al final es que los dominios nuevos no reciben confianza por defecto

    • Lo mismo pasa con TLD de países poco comunes. Mi dominio .vg tiene SPF, DKIM y DMARC configurados, y aun así termina seguido en spam
    • Fortinet bloquea dominios nuevos por defecto. Por eso hoy en día ni siquiera puedo revisar sitios de proyectos nuevos
    • Este tipo de políticas sí tiene cierto efecto real en la seguridad
      La mayoría de los enlaces fraudulentos que recibía mi abuela usaban dominios .top. Al bloquear en DNS todos los sitios registrados hace menos de 90 días, desaparecieron por completo los clics en estafas
      Por eso yo también excluyo todos los TLD de 1 dólar cuando compro dominios
    • Al final, la base de la seguridad web sigue siendo una estructura que confía en el nombre de dominio
      Como el TLD va al final, a la gente se le hace fácil pasarlo por alto

  • Los correos enviados desde dominios como .online tienen muchas más probabilidades de irse a spam
    Se ve claramente en las estadísticas de Spamhaus sobre tasas de malware por TLD

  • Hace tiempo Google me suspendió toda la cuenta de apps de Android sin explicarme el motivo
    Era una app sencilla de fitness, pero nunca supe por qué ni hubo forma de recuperarla. Después de eso, dejé por completo el desarrollo para Android

    • El negocio de un familiar también tiene las reseñas de Google congeladas desde hace años. Aunque presentaron apelaciones, nunca hubo respuesta
      Al final, los pequeños negocios dependen del humor de Silicon Valley
    • Parece que Google quiere que en el futuro la distribución de apps de Android solo se permita en su propia plataforma
    • A mí me pasó algo parecido. Un día, de la nada, mi cuenta de Google fue bloqueada y toda mi vida digital quedó encerrada
      Después de eso, me desgoogleé por completo