Alerta: denuncian que GoDaddy transfirió un dominio de 27 años sin validaciones de seguridad
GoDaddy está investigando una denuncia que apunta a una transferencia de dominio sin validaciones en GoDaddy que habría entregado el control completo de un dominio con 27 años de antigüedad a otra persona, sin que se exigieran comprobaciones de autenticación o documentación de soporte, según el relato de los afectados. El incidente habría provocado pérdida de acceso al sitio web y al email corporativo durante varios días, elevando el riesgo de suplantación, phishing y Business Email Compromise (BEC).
Las alegaciones fueron atribuidas a Lee Landis, socio de la firma de TI Flagstream Technologies (Pensilvania), quien sostiene que el dominio de un cliente “desapareció” de su cuenta de GoDaddy sin aviso. La organización afectada —una non-profit estadounidense con unas 20 ubicaciones— pidió anonimato, pero describió el episodio como una interrupción operativa severa en plena agenda de recaudación de fondos.
transferencia de dominio sin validaciones en GoDaddy: qué se denuncia
Según un relato publicado por un tercero cercano al caso, la solicitud de recuperación y el cambio de control del dominio se habrían aprobado en cuestión de minutos, mientras que el restablecimiento efectivo del servicio habría derivado en varios días de caída y contingencias internas. El mismo relato afirma que la cuenta de GoDaddy contaba con dual two-factor authentication (código por email y app de autenticación) y que el dominio tenía activadas opciones de protección de titularidad, medidas que en teoría elevan la fricción ante cambios críticos.
Siempre según los afectados, los logs indicarían que el proceso se inició tras un aviso de “account recovery request” y que la transferencia se ejecutó por un “internal user”, sin requerir la finalización de los factores de autenticación habituales. El supuesto tiempo total del flujo de transferencia se sitúa alrededor del mediodía del 18 de abril (sábado), lo que aumentó la incertidumbre operativa al producirse fuera de horarios habituales.
Downtime y superficie de ataque: DNS y correo como punto único de fallo
El control de un dominio no solo implica DNS: normalmente es el ancla de identidades corporativas (MX, SPF/DKIM/DMARC, SSO y flujos de recuperación de cuentas). La pérdida del dominio puede impactar en restablecimientos de contraseña, códigos de MFA por email, y habilitar campañas de suplantación de marca o interceptación de comunicaciones si un atacante modifica registros o configura servicios de correo. Los afectados mencionan que el riesgo principal era que el dominio hubiera caído en manos de un actor malicioso capaz de “weaponize” la situación.
Durante el incidente, el equipo habría tomado medidas de contención desconectando direcciones corporativas de servicios sensibles (banca, nómina y otras plataformas) ante la posibilidad de abuso. Este tipo de respuesta busca reducir el radio de impacto cuando la cadena de confianza del dominio está comprometida.
Soporte y trazabilidad: 32 llamadas y 17 hilos de email
Los denunciantes afirman que, tras detectar la pérdida del dominio, realizaron 32 llamadas (más de nueve horas en total) y participaron en 17 cadenas de email con direcciones genéricas, sin responsable nominal asignado ni devoluciones de llamada. También sostienen que recibieron instrucciones inconsistentes y que, en un momento, el caso se cerró sin una resolución efectiva, acompañándolo con una declaración en la que GoDaddy habría dado por válida la documentación aportada para el cambio de cuenta.
El punto crítico del relato es que tanto la empresa de TI como la persona que terminó recibiendo el dominio afirman que no se aportó documentación efectiva para justificar el traspaso. La receptora —identificada con un nombre ficticio en el relato público— habría intentado recuperar un dominio distinto asociado a un ex empleado, y una posible confusión por referencias a subdominios en su firma de correo habría contribuido a un traspaso erróneo del dominio “padre”.
El giro inesperado: la receptora colaboró para revertir el control
El restablecimiento del dominio, según el relato, fue posible porque la persona que recibió el control detectó que no era el dominio esperado y colaboró con el equipo afectado para ejecutar un account-to-account transfer que habría tardado pocos minutos. Paralelamente, Flagstream habría iniciado una migración de emergencia hacia otro dominio y nuevas identidades de correo para recuperar continuidad, con el coste operativo y de reputación que implican este tipo de cambios.
El equipo también habría explorado vías legales para recuperar el dominio en tribunales, pero consideró que los tiempos potenciales (meses) eran inasumibles para una organización con actividad diaria y compromisos de comunicación.
GoDaddy responde: niega falta de documentación y revisa procesos
Consultada por el caso, la compañía no confirmó detalles de cuentas específicas, pero indicó que revisó sus protocolos y que, según su posición, se recibió la documentación y autorización adecuadas y se siguieron procedimientos estándar. Aun así, señaló que aprovechará la situación para reforzar procesos que ayuden a identificar “miscommunications” entre clientes y representantes antes de que escalen.
Para entender el marco general de transferencias y cambios de registrante, el sector se apoya en políticas y mecanismos de la industria coordinados por ICANN, incluyendo reglas para cambios de registrant y transferencias entre registrars. Más información: ICANN Transfer Policy.
Desde la perspectiva del proveedor, GoDaddy documenta parte de sus controles y funcionalidades relacionadas con cuentas, dominios y seguridad en su centro de ayuda y recursos corporativos: GoDaddy Help Center.
Por qué este caso preocupa a la industria
Aunque el incidente descrito está en disputa, el relato pone el foco en un vector especialmente sensible: la gobernanza de cambios de titularidad y recuperaciones de cuenta en registrars y hosting providers. Si se produce una transferencia de dominio sin validaciones en GoDaddy (o en cualquier registrar) el dominio puede convertirse en un punto único de fallo para identidad digital, continuidad de negocio y seguridad del correo, con consecuencias inmediatas para organizaciones que dependen de email y web como canales críticos.
El caso permanece bajo investigación por GoDaddy. Mientras tanto, la organización afectada asegura que, pese a haber recuperado el control, persiste el temor interno a que una combinación de error operacional y soporte ineficiente vuelva a detonar una interrupción similar. Y el debate de fondo continúa: hasta qué punto los flujos de recovery y cambio de registrante están aislados de la autenticación fuerte, y qué evidencias auditables deberían exigirse para evitar que una transferencia de dominio sin validaciones en GoDaddy vuelva a convertirse en un incidente de alto impacto.
