En mayo de 2025, el gobierno de los Estados Unidos sancionó a un nacional chino por operar un proveedor de la nube vinculado a la mayoría de los sitios web de estafadores de inversión de divisas virtuales informados al FBI. Pero un nuevo informe considera que el acusado continúa operando una serie de cuentas establecidas en las empresas tecnológicas estadounidenses, incluidas Facebook, Github, PayPal y Twitter/X. El 29 de mayo, el Departamento de Tesoro de los Estados Unidos anunció sanciones económicas contra Funnull Technology Inc., una compañía con sede en Filipinas que presenta infraestructura para cientos de miles de sitios web involucrados en estafas de inversión de divisas virtuales conocidas como «carnicería de cerdo». En enero de 2025, Krebsonsecurity detalló cómo Funnull fue diseñado como una red de entrega de contenido que atendía a los ciberdelincuentes extranjeros que buscaban enrutar su tráfico a través de proveedores de nubes con sede en los Estados Unidos. El Tesoro también sancionó al presunto operador de Funnull, un ciudadano chino de 40 años llamado Liu «Steve» Lizhi. El gobierno dice que Funnull facilitó directamente esquemas financieros que resultan en más de $ 200 millones en pérdidas financieras por parte de los estadounidenses, y que las operaciones de la compañía estaban vinculadas a la mayoría de las estafas de carnicería de cerdos reportados al FBI. Generalmente es ilegal para las empresas o individuos estadounidenses realizar transacciones con personas sancionadas por el Tesoro. Sin embargo, como deja en claro el caso del Sr. Lizhi, solo porque alguien está sancionado no necesariamente significa que las grandes empresas tecnológicas van a suspender sus cuentas en línea. El gobierno dice que Lizhi nació el 13 de noviembre de 1984 y usó los apodos «XXL4» y «Nice Lizhi». Sin embargo, la cuenta de 17 años de Steve Liu en LinkedIn (en el nombre «Liulizhi») tenía cientos de seguidores (el perfil de Lizhi de Lizhi confirma útilmente su cumpleaños) hasta hace poco: la cuenta se eliminó esta mañana, solo unas horas después de que Krebsonsecurity solicitó comentarios de LinkedIn. La cuenta de LinkedIn del Sr. Lizhi se suspendió en algún momento en las últimas 24 horas, después de que Krebsonsecurity buscó comentarios de LinkedIn. En una respuesta enviada por correo electrónico, un portavoz de LinkedIn dijo que la «política de países prohibidos de los países» de la compañía establece que LinkedIn «no vende, licencia, apoyo o pone a disposición sus cuentas premium u otros productos y servicios remunerados a individuos y empresas sancionadas por el gobierno de los Estados Unidos». LinkedIn se negó a decir si el perfil en cuestión era una cuenta premium o gratuita. El Sr. Lizhi también mantiene una cuenta de PayPal que trabaja bajo el nombre de Liu Lizhi y el nombre de usuario «@nicelizhi», otro apodo que figura en las sanciones del Tesoro. PayPal no respondió a una solicitud de comentarios. Una cuenta de Twitter/X de 15 años llamada «Lizhi» que vincula al dominio personal del Sr. Lizhi sigue activo, aunque tiene pocos seguidores y no ha publicado en años. Estas cuentas y muchas otras fueron marcadas por la firma de seguridad Silent Push, que ha estado rastreando las operaciones de Funnull durante el año pasado y llamando a proveedores de nubes estadounidenses como Amazon y Microsoft por no obtener más rápidamente los la compañía. La cuenta de PayPal de Liu Lizhi. En un informe publicado hoy, Silent Push descubrió que Lizhi todavía opera numerosas cuentas y grupos de Facebook, incluida una cuenta privada de Facebook bajo el nombre de Liu Lizhi. Otra cuenta activa de Facebook claramente conectada a Lizhi es una página de turismo para Ganzhou, China, llamada «Disfrinzhou» que fue nombrada en las sanciones del Departamento del Tesoro. «Este tipo es el administrador técnico de la infraestructura que organiza la mayoría de las estafas dirigidas a personas en los Estados Unidos, y cientos de millones se han perdido en base a los sitios web que ha estado alojando», dijo Zach Edwards, investigador senior de amenazas en Silent Push. «Es una locura que la gran mayoría de las grandes compañías tecnológicas no hayan hecho nada para cortar los lazos con este tipo». El FBI dice que recibió casi 150,000 quejas el año pasado que involucraron activos digitales y $ 9.3 mil millones en pérdidas, un aumento del 66 por ciento respecto al año anterior. Las estafas de inversión fueron los principales crímenes relacionados con la criptografía reportados, con $ 5.8 mil millones en pérdidas. En un comunicado, un portavoz de Meta dijo que la compañía toma continuamente medidas para cumplir con sus obligaciones legales, pero que las leyes de sanciones son complejas y variadas. «Las sanciones a menudo están dirigidas a la naturaleza y no siempre prohíben a las personas tener presencia en nuestra plataforma», dice el comunicado. «Si la actividad específica está restringida por sanciones o términos y políticas de Meta depende de los hechos específicos». Los intentos de comunicarse con el Sr. Lizhi a través de sus direcciones de correo electrónico principales en Hotmail y Gmail rebotaron como imprevisto. Del mismo modo, su canal de YouTube de 14 años parece haber sido eliminado recientemente. Sin embargo, cualquier persona interesada en ver o usar los 146 repositorios de código de computadora del Sr. Lizhi no tendrá problemas para encontrar cuentas activas de GitHub para él, incluida una registrada bajo los apodos de NiCelizhi y XXL4 mencionados en las sanciones del Tesoro. Uno de los múltiples perfiles activos de GitHub utilizados por Liu «Steve» Lizhi, quien usa el apodo XXL4 (un apodo que figura en las sanciones del Tesoro para el Sr. Lizhi). El Sr. Lizhi también opera una página de GitHub para una plataforma de comercio electrónico de código abierto llamada Nexamerchant, que se anuncia como una pasarela de pago que trabaja con numerosas instituciones financieras estadounidenses. Curiosamente, la página de «seguidores» de este perfil muestra varias otras cuentas que parecen ser las de Lizhi. Todos los seguidores de la cuenta están etiquetados como «suspendidos», aunque ese mensaje suspendido no se muestra cuando uno visita esos perfiles individuales. En respuesta a las preguntas, Github dijo que tiene un proceso para identificar cuándo los usuarios y los clientes son ciudadanos especialmente designados u otras partes denegadas o bloqueadas, pero que bloquea esas cuentas en lugar de eliminarlas. Según su política, Github se encarga de que los usuarios y los clientes no sean afectados más allá de lo que la ley requiere la ley. Todas las cuentas de seguidores para la cuenta de GitHub xxl4 parecen ser las de Lizhi, y han sido suspendidas por GitHub, pero su código aún es accesible. «Esto incluye mantener repositorios públicos, incluidos los de proyectos de código abierto, disponibles y accesibles para apoyar las comunicaciones personales que involucran a los desarrolladores en regiones sancionadas», dice la política. «Esto también significa que Github abogará por los desarrolladores en regiones sancionadas para disfrutar de un mayor acceso a la plataforma y el acceso completo a la comunidad global de código abierto». Edwards dijo que es genial que Github tenga un proceso para manejar cuentas sancionadas, pero que el proceso no parece comunicar el riesgo de manera transparente, señalando que el único indicador en las cuentas bloqueadas es el mensaje: «Este repositorio ha sido archivado por el propietario. No es solo lectura». «Es un mensaje extraño que no se comunica, ‘Esta es una entidad sancionada, no desembolsas este código o lo uses en un entorno de producción'», dijo Edwards. Mark Rasch es un ex fiscal federal de delitos cibernéticos que ahora se desempeña como abogado de la firma de consultoría de seguridad con sede en la ciudad de Nueva York Unidad 221B. Rasch dijo que cuando la Oficina de Control de Activos Extranjeros (OFAC) del Tesoro sanciona a una persona o entidad, se vuelve ilegal que las empresas u organizaciones realizan transacciones con la parte sancionada. Rasch dijo que las instituciones financieras tienen sistemas muy maduros para separar las cuentas vinculadas a las personas que quedan sujetas a las sanciones de AAC, pero que las empresas tecnológicas pueden ser mucho menos proactivas, particularmente con cuentas libres. “Los bancos han establecido formas de verificar [U.S. government sanctions lists] Para las entidades sancionadas, pero las compañías tecnológicas no necesariamente hacen un buen trabajo con eso, especialmente para los servicios que puede hacer clic e inscribirse «, dijo Rasch.» Es potencialmente un riesgo y responsabilidad para las empresas tecnológicas involucradas, pero solo en la medida de AAC está dispuesta a hacer cumplirlo «. Liu Lizhi opera numerosas cuentas y grupos activos de Facebook, incluida esta para una entidad especificada en las sanciones de OFAC: la página de turismo de «disfrutar de Ganzhou» para Ganzhou, China: Silent Push.[.]IO, la casa desde hace mucho tiempo de un proyecto de código abierto legítimo que permitió a los sitios web asegurarse de que los dispositivos que usan navegadores heredados aún puedan generar contenido en formatos más nuevos. Después de que el dominio polyfill cambió de manos, al menos 384,000 sitios web quedaron atrapados en un ataque de cadena de suministro que redirigió a los visitantes a sitios maliciosos. Según el Tesoro, Funnull utilizó el código para redirigir a las personas a los sitios web de estafa y los sitios de juego en línea, algunos de los cuales estaban vinculados a las operaciones de lavado de dinero criminal chino. El gobierno de EE. UU. Dice que Funnull proporciona nombres de dominio para sitios web en sus direcciones IP compradas, utilizando algoritmos de generación de dominio (DGA), programas que generan grandes cantidades de nombres similares pero únicos para sitios web, y que vende plantillas de diseño web a ciberdulinales. «Estos servicios no solo facilitan que los ciberdelincuentes se supliquen a las marcas de confianza al crear sitios web de estafas, sino que también les permiten cambiar rápidamente a diferentes nombres de dominio y direcciones IP cuando los proveedores legítimos intentan derribar los sitios web», dice una declaración del Tesoro. Mientras tanto, Funnull parece estar transformando casi todos los aspectos de su negocio a raíz de las sanciones, dijo Edwards. «Mientras que antes de que pudieran haber usado 60 dominios DGA para esconder y rebotar su tráfico, estamos viendo mucho más ahora», dijo. «Están tratando de hacer que su infraestructura sea más difícil de rastrear y más complicada, por lo que por ahora no van a ir, sino más simplemente cambiar lo que están haciendo. Y muchas más organizaciones deberían mantener sus pies al fuego».