El Robo de Sex.com: La Carta Falsificada que Robó el Dominio Más Valioso de Internet
En 1995, un estafador llamado Stephen Cohen le robó sex.com a su legítimo propietario Gary Kremen con una sola carta falsificada enviada a Network Solutions. La lucha de años para recuperarlo terminó en una sentencia de $65 millones, un fugitivo en México y un fallo histórico que estableció que los dominios son propiedad.
- domains
- security
- dns
- domain-security
En 1995, la dirección más valiosa de internet cambió de manos gracias a una sola hoja de papel.
No hubo allanamiento, ni rescate, ni exploit sofisticado. Un estafador escribió una carta, la firmó con un nombre que no era el suyo y la envió por fax a un registrador de dominios en Virginia. El registrador la leyó, la creyó y entregó sex.com — un dominio que generaría un negocio de, según se informó, un cuarto de billón de dólares — a un hombre que no tenía ningún derecho sobre él. El propietario legítimo se enteró solo después del hecho, y luego pasó casi una década luchando para recuperarlo.
Este es el primer gran robo de dominio de la historia, y sigue siendo la respuesta más clara a una pregunta que todo propietario de dominio debería hacerse: ¿qué, exactamente, impide que alguien simplemente se apodere de mi nombre? En 1995, la respuesta resultó ser casi nada.
Bienvenido a Domain Mayday / 域名浩劫 — análisis en profundidad sobre los incidentes de seguridad que moldearon cómo pensamos sobre ser dueño de un nombre en línea. Episodio 02: la carta falsificada que robó sex.com.
Cuánto valía sex.com
A principios de 1994, el emprendedor Gary Kremen — quien también fundó Match.com — observó el incipiente internet comercial y vio lo obvio. Los registros judiciales fijan la fecha de registro con precisión: Gary Kremen registró el nombre de dominio sex.com con Network Solutions, Inc. el 9 de mayo de 1994. En ese momento, los dominios eran gratuitos, se registraban con un correo electrónico rápido, y casi nadie entendía lo que llegarían a valer. El Noveno Circuito más tarde abrió su opinión sobre el caso con el chiste que sobrevoló toda la saga: "¿Sexo en Internet?" decían todos. "Eso nunca va a dar dinero."
Dio dinero. Después de que el dominio fue robado, el ladrón lo convirtió en una máquina: un sitio repleto de publicidad que recibía hasta 25 millones de visitas al día, que según se informaba generaba entre $50,000 y $500,000 al mes por clics y otra publicidad. Según algunos relatos, el dominio robado se convirtió en la base de un negocio de $250,000,000 durante los años en que tuvo control ilícito del nombre de dominio sex.com. Este era un dominio que, en palabras de un observador de la industria, según algunos relatos podría valer más que cualquier nombre de dominio vendido hasta la fecha.
Un nombre tan valioso, protegido por la seguridad de los registradores de los años 90, era un cofre del tesoro con cerradura de papel.
El robo: una sola carta falsificada
El hombre que forzó esa cerradura fue Stephen Michael Cohen, y no era un delincuente primerizo. Tanto el Noveno Circuito como Wikipedia señalan que llegó a sex.com recién salido de prisión: Stephen M. Cohen, quien había completado recientemente una condena de prisión tras ser declarado culpable de fraude. Miró sex.com y vio exactamente lo que vio Kremen — una fortuna — y decidió apoderarse de ella.
El mecanismo era casi insultantemente simple. Cohen engañó a Network Solutions con una carta falsa de un ejecutivo inexistente en la empresa de Kremen, Online Classifieds, autorizando la transferencia de Sex.com a Cohen. En palabras directas de la misma fuente, Cohen robó el nombre de dominio de Gary Kremen, sex.com, simplemente enviando una carta de transferencia falsa al registrador de dominios Network Solutions con una firma falsificada.
El 18 de octubre de 1995, Network Solutions transfirió, sin permiso, el dominio a Stephen M. Cohen, un hombre que, en palabras de Wikipedia, había intentado hacerse con el control del dominio durante algún tiempo mediante falsedades, usando llamadas telefónicas, correos electrónicos y cartas falsificadas. El nombre más valioso de internet tenía un nuevo "propietario", y el verdadero ni siquiera lo sabía.
La "carta Dimmick" falsificada
La falsificación en sí merece una pausa, porque no era una obra maestra. Era un fax, y uno descuidado.
Según el expediente del tribunal de primera instancia, en una carta con fecha del 15 de octubre de 1995, Sharon Dimmick, supuestamente en nombre de Online Classified, informó a Stephen Cohen que Online Classified había "decidido abandonar el nombre de dominio sex.com." El autor de la carta tenía un problema real que resolver: ¿cómo "abandona" una empresa un dominio para que un extraño pueda tomarlo? La respuesta de Cohen, citada en la opinión de apelación, fue hacer que la carta explicara que Como no tenemos una conexión directa a internet, le solicitamos que notifique al registro de internet en nuestro nombre para eliminar nuestro nombre de dominio sex.com. Una empresa dedicada a administrar sitios web afirmando que no tenía forma de acceder a internet — y Network Solutions nunca parpadeó.
La "Sharon Dimmick" cuyo nombre aparecía en la carta era una persona real, pero no tenía nada que ver con abandonar nada. Como informó The Globe and Mail, Network Solutions recibió una carta a fines de 1995 aparentemente firmada por Sharyn Dimmick, quien entonces era compañera de cuarto del Sr. Kremen. Cohen había tomado prestado el nombre de la compañera de habitación de Kremen para hacerse pasar por la propia empresa de Kremen.
Y se equivocó con el nombre. Como registra sin rodeos un resumen del caso, Cohen escribió mal la firma de Dimmick en la carta falsificada. El periodista que posteriormente escribió un libro sobre el caso fue aún más lapidario, describiendo el documento como uno en el que la persona que supuestamente lo envió no podía escribir correctamente su propio nombre; el membrete parece haber sido hecho con una imprenta casera John Bull por un alumno analfabeto de kínder.
Ese es el detalle que hace que esta historia escueza. La cerradura que protegía el dominio más valioso de internet era tan débil que podía ser forzada por una falsificación en la que su propia "autora" no sabía escribir su nombre — y el registrador la aceptó como legítima y cedió el control.
La larga lucha por recuperarlo
Robar sex.com tomó una carta. Recuperarlo tomó años de litigios, y Kremen tuvo que luchar en dos frentes a la vez: contra Cohen y contra el registrador que regaló su dominio.
Contra Cohen, los hechos eran condenatorios, y Cohen lo sabía. Respondió como lo hacen los estafadores — fabricando más papeles. Falsificó documentos para demostrar que siempre había sido dueño del dominio y que tenía una marca registrada sobre sex.com, construyendo una historia ficticia para defender el robo. El tribunal no se dejó engañar. El juez James Ware declaró nula la transferencia: el tribunal de distrito dictaminó que Cohen había cometido fraude y declaró nula su propiedad de sex.com porque había adquirido el nombre de dominio mediante una carta fraudulenta. El registro del veredicto de morelaw establece el resultado con sencillez — fallo a favor del demandante con una orden de que sex.com sea devuelto al demandante. Kremen, a quien el juez declaró verdadero propietario de sex.com, finalmente recuperó su nombre.
La lucha más difícil fue contra Network Solutions, y es la parte que importó para todos los demás. Kremen argumentó que el registrador debería ser responsable por convertir su propiedad — por entregarla. Network Solutions argumentó que un dominio no era "propiedad" en absoluto, solo un servicio que prestaba, y un tribunal inferior inicialmente estuvo de acuerdo. En apelación, el juez Kozinski no estuvo de acuerdo y colocó los dominios firmemente dentro del derecho de propiedad: el nombre de dominio de Kremen está protegido por la ley de conversión de California. Su analogía fue directa al hueso — entregar un dominio a la persona equivocada mediante una carta falsificada, escribió, es igual que hacer a una corporación responsable cuando entrega las acciones de alguien bajo las mismas circunstancias. El caso se resolvió extrajudicialmente después, pero el principio se mantuvo: un nombre de dominio es propiedad que se puede poseer, perder y sobre la cual se puede litigar.
La sentencia de $65 millones — y la huida de Cohen
La cifra asociada al robo fue enorme para su época. El tribunal declaró a Cohen responsable por fraude y falsificación por la suma de $40 millones en compensación por lucro cesante y $25 millones en daños punitivos — un total que el Noveno Circuito resumió como una sentencia en la que el tribunal otorgó $40 millones en daños compensatorios y otros $25 millones en daños punitivos. The Register lo resumió claramente: la batalla finalmente terminó en abril de 2001 cuando se le devolvió el dominio a Kremen y se le otorgaron $65 millones.
Cobrarlos fue otra historia. Cohen no tenía intención de pagar. Ignoró la orden y transfirió grandes sumas de dinero a cuentas en el extranjero, lo que llevó al juez, en palabras de la propia opinión, a quitarse los guantes: declaró a Cohen fugitivo de la justicia, firmó una orden de arresto y envió a los Alguaciles de los EE. UU. tras él. Para entonces, Cohen ya había desaparecido. Cuando se emitió la orden de arresto, Cohen huyó a México, convirtiéndose en lo que The Globe and Mail llamó el primer fugitivo de dominio de internet, buscado por la policía en los Estados Unidos y México. Declaró la quiebra personal y se fugó a México, donde eludió su captura durante varios años hasta que las autoridades mexicanas lo deportaron por violaciones de inmigración en 2005.
Kremen ganó el dominio y la sentencia. Nunca llegó a cobrar ni cerca de los $65 millones completos. La lección ahí es sombría pero importante: un veredicto en papel solo vale tanto como tu capacidad de ejecutarlo contra alguien dispuesto a huir.
Cómo los registradores permitieron esto en los años 90
Es tentador leer esto como un registrador negligente, un evento aislado. No lo fue. Fue el resultado predecible de cómo funcionaba realmente la propiedad de dominios en 1995.
En esa época, la "prueba" de que eras dueño de un dominio era un registro en la base de datos de un registrador y un contacto administrativo — y la forma de cambiarlo era pidiendo, generalmente con una carta o un fax. No había firma criptográfica, ni confirmación de doble factor, ni notificación automática al propietario existente antes de que se procesara una transferencia. El sistema funcionaba en base a la confianza y a la suposición de que nadie simplemente mentiría. Network Solutions, ante la carta de Cohen, no hizo ningún esfuerzo por contactar a Kremen y, como resume Wikipedia, aceptó la carta fraudulenta de Cohen como legítima y no realizó ninguna diligencia debida para encontrar errores en el razonamiento de Cohen ni para contactar a Kremen y verificar que había abandonado el nombre de dominio.
Dos fallas estructurales se acumulan aquí:
- Autorización por suplantación. El registrador autenticó un documento, no a una persona. Cualquiera que pudiera producir una carta de aspecto plausible en el "nombre" correcto de la empresa podía mover un dominio. La identidad era un disfraz.
- Sin notificación al verdadero propietario. El único control que habría detenido esto de inmediato — decirle a Kremen "alguien está intentando transferir tu dominio" antes de actuar — simplemente no existía. La víctima fue la última en enterarse.
Esos no son fallos de Cohen. Son los fallos de un sistema que trataba los nombres más valiosos del mundo como si fueran tarjetas de biblioteca.
Lo que esto enseña sobre la propiedad de dominios
El robo de sex.com tiene treinta años, pero sus lecciones son eternas porque la arquitectura subyacente de la propiedad de dominios ha cambiado menos de lo que podrías pensar.
- Tu dominio es propiedad — y la propiedad se roba. El legado más duradero de Kremen v. Cohen es el fallo de que un dominio es propiedad protegida por la ley de conversión. Eso es una buena noticia (tienes derechos) y una advertencia (algo con valor y un propietario es algo que vale la pena robar).
- El eslabón más débil es el proceso de transferencia, no la contraseña. Cohen nunca adivinó una contraseña. Atacó el camino administrativo — el proceso humano para cambiar quién es dueño de un nombre. La mayoría de los secuestros de dominios siguen apuntando a esa costura: el soporte del registrador, las autorizaciones de transferencia, los cambios en los registros de contacto.
- La confianza en papel no es seguridad. "Parecía oficial" es como el dominio más valioso de la tierra salió por la puerta. Una firma, un membrete, una historia plausible — ninguna de estas cosas prueba nada sobre quién está realmente autorizado.
- La notificación y la verificación no son negociables. El único control que habría evitado todo el robo era confirmar la solicitud con el verdadero propietario antes de actuar. Cualquier sistema que pueda mover tu dominio sin involucrarte a ti de forma comprobable es un sistema que puede perder tu dominio.
- Una sentencia no es recuperación. Kremen ganó $65 millones y recuperó mucho menos. La prevención supera al litigio en todo momento, porque no puedes demandar para recuperar un dominio que un fugitivo ya monetizó y que un tribunal no puede encontrar.
El ángulo Namefi
Deja de lado la huida a México y los ingresos del imperio pornográfico, y el robo de sex.com es una historia sobre una sola cosa: no había ningún registro resistente a manipulaciones y controlado por el propietario sobre quién era dueño del nombre. La propiedad vivía en una base de datos privada, y podía ser reescrita por cualquiera que pudiera engañar al empleado con una carta falsificada firmada con un nombre mal escrito.
Namefi parte de la premisa opuesta. Cuando un dominio se tokeniza, la propiedad se ancla a claves criptográficas que tú controlas, y cada transferencia es una acción on-chain que está autorizada, es visible y es auditable — no un fax que alguien "acepta como legítimo." No hay empleado que engañar, no hay canal administrativo secundario donde una carta convincente supere al verdadero propietario, y no hay transferencia silenciosa que el propietario descubra meses después. El control es demostrable, las transferencias son firmadas por el propietario y el rastro de auditoría es público por construcción — todo mientras permanece compatible con el DNS del que depende el resto de internet.
La carta falsificada de Cohen funcionó porque lo único que estaba entre él y sex.com era la disposición de alguien más de creer un trozo de papel. El objetivo de la propiedad verificable y resistente a manipulaciones es hacer que ese ataque sea imposible de intentar: no puedes suplantar una clave privada de la misma manera que puedes suplantar una firma. La lección más valiosa del primer gran robo de dominio de internet es que quién es dueño de este nombre debería ser un hecho que puedes probar — no una historia que un extraño puede contar.
Fuentes y lecturas adicionales
- Wikipedia — Sex.com
- Wikipedia — Kremen v. Cohen
- Tribunal de Apelaciones de los EE. UU., Noveno Circuito — Kremen v. Cohen / Online Classifieds v. Network Solutions, 325 F.3d 1035 (opinión completa, PDF)
- MoreLaw — Gary Kremen v. Stephen Michael Cohen, et al. (registro del caso)
- CircleID — Domain Name Theft, Fraud And Regulations
- The Globe and Mail — The fugitive, the Cupid and sex.com
- The Register — Sex.com: read it if you dare (reseña del libro de Kieren McCarthy)
- Studicata — Kremen v. Cohen — Case Brief Summary
- Kieren McCarthy — The lowdown on the Sex.com case
- CircleID — Book Review: Sex.com by Kieren McCarthy
Sobre quienes escriben
Guías relacionadas
- El Minuto de $12: Cuando Alguien Compró Google.com en SilencioEn septiembre de 2015, un exempleado de Google compró google.com a través de Google Domains por $12 y tuvo el control administrativo del dominio más valioso del mundo durante aproximadamente un minuto. La historia de Sanmay Ved, la recompensa de $6,006.13 y lo que un minuto de propiedad revela sobre quién controla realmente un dominio.
- Domain Mayday EP03: El hackeo de cuentas de Bitcoin en Twitter en 2020El 15 de julio de 2020, unos atacantes se introdujeron por teléfono en Twitter, secuestraron las cuentas verificadas de Obama, Biden, Musk, Gates, Apple y Uber, y ejecutaron una estafa de duplicación de Bitcoin que les reportó unos 118.000 dólares. Un análisis en profundidad de cómo se robó el control de una identidad en línea y qué nos enseña sobre ser dueño de un nombre.
- Domain Mayday EP05: El secuestro masivo de dominios DeFi en Squarespace en 2024En julio de 2024, una migración de registrador de Google Domains a Squarespace convirtió una autenticación predeterminada débil en una superficie de ataque masiva. Los atacantes secuestraron los dominios de proyectos cripto y DeFi — Compound Finance, Celer Network, Pendle, Unstoppable Domains — y los redirigieron a sitios de phishing que vaciaban carteras. Así es como una migración "sin fricciones" dejó cientos de puertas sin cerrar, y lo que eso nos enseña sobre la seguridad del registrador y el MFA.
- El ataque al front-end de BadgerDAO: $120M drenados a través de un solo script inyectadoEn diciembre de 2021, atacantes comprometieron la cuenta de Cloudflare de BadgerDAO e inyectaron un script malicioso en el front-end de su sitio web. Los contratos inteligentes auditados nunca fueron tocados — sin embargo, ~$120M salieron por la puerta a través de aprobaciones de billeteras que los usuarios firmaron sin saberlo. Un análisis profundo sobre por qué el sitio web forma parte de tu superficie de seguridad.