Nice Lizhi — la pesadilla de las empresas de TI: roba 200 millones de dólares y se burla de las sanciones estadounidenses en las redes sociales

En mayo de 2025, las autoridades de EE. UU. impusieron restricciones económicas contra un ciudadano chino acusado de crear una plataforma en la nube vinculada a la gran mayoría de los sitios involucrados en esquemas fraudulentos de inversión en criptomonedas reportados por el FBI. Sin embargo, según un nuevo informe, a pesar de las sanciones, el acusado continúa utilizando activamente cuentas en empresas tecnológicas estadounidenses, incluidas Facebook, GitHub, PayPal y X.

El 29 de mayo, el Departamento del Tesoro de EE. UU. anunció sanciones contra Funnull Technology Inc., registrada en Filipinas. Según las autoridades, la empresa proporcionaba infraestructura técnica para cientos de miles de sitios web relacionados con el fraude conocido como "cebo del cerdo" (pig butchering). Ya en enero de 2025, una investigación reveló que Funnull es, de hecho, una red de distribución de contenido destinada a ciberdelincuentes extranjeros que desean enrutar tráfico a través de servicios en la nube estadounidenses.

Junto con la empresa, también fue sancionado su supuesto propietario, un ciudadano chino de 40 años, Liu Lizhi, conocido también por los seudónimos "XXL4" y "Nice Lizhi". Según las autoridades estadounidenses, a través de Funnull ayudó a organizar esquemas financieros que causaron pérdidas de más de 200 millones de dólares a ciudadanos estadounidenses. Las operaciones de la empresa están vinculadas a la mayoría de los fraudes del tipo pig butchering registrados por el FBI.

Aunque por ley, las empresas estadounidenses tienen prohibido hacer negocios con personas sancionadas por el Departamento del Tesoro, en la práctica esta regla se ignora con frecuencia. En el caso de Liu Lizhi, esto es particularmente evidente: sus cuentas en las principales empresas tecnológicas continuaron existiendo incluso después de su inclusión oficial en la lista de sancionados.

Una de esas cuentas era su perfil en LinkedIn, activo durante 17 años bajo el nombre "Liulizhi". Incluso se indicaba en el perfil la fecha de nacimiento de Lizhi: el 13 de noviembre de 1984. Sin embargo, tras las consultas de los periodistas, el perfil fue eliminado. Los representantes de LinkedIn declararon que, de acuerdo con su política interna, la empresa no proporciona servicios de pago ni cuentas a personas u organizaciones sancionadas por EE. UU., aunque no especificaron si la cuenta de Lizhi era de pago o gratuita.

Sin embargo, su cuenta de PayPal bajo el nombre Liu Lizhi y el apodo "@nicelizhi", también mencionado en las sanciones, sigue activa. PayPal no respondió a las consultas de los periodistas. También sigue activa su cuenta de 15 años en X bajo el nombre "Lizhi", aunque no se actualiza desde hace tiempo y tiene pocos seguidores.

Los especialistas de Silent Push, que monitorizan la actividad de Funnull desde hace casi un año, detectaron que Lizhi también gestiona múltiples cuentas y grupos en Facebook, incluido un perfil personal y una página de turismo de la ciudad china de Ganzhou llamada "EnjoyGanzhou", mencionada en los documentos del Departamento del Tesoro de EE. UU. Lizhi desempeña un papel clave como administrador técnico de la infraestructura que respalda la mayoría de los sitios fraudulentos dirigidos a estadounidenses, lo que ha provocado pérdidas de cientos de millones de dólares. Según él, las grandes empresas tecnológicas prácticamente no han hecho nada para frenar sus actividades.

Las estadísticas del FBI confirman la magnitud del problema: en 2024, la agencia recibió unas 150.000 denuncias relacionadas con activos digitales, y las pérdidas totales superaron los 9.300 millones de dólares, un 66% más que el año anterior. La mayor parte correspondió a fraudes de inversión, que causaron pérdidas de unos 5.800 millones de dólares.

Los representantes de Meta informaron que la empresa toma medidas para cumplir con los requisitos legales, pero señalaron que las restricciones por sanciones son complejas y heterogéneas. Finalmente, Meta confirmó que el perfil de Lizhi, así como las páginas, grupos y eventos relacionados con él, fueron eliminados por violar las normas.

Los intentos de contactar a Lizhi a través de sus principales direcciones de correo electrónico en Hotmail y Gmail fueron infructuosos: los correos fueron devueltos como no entregados. También fue eliminado su canal de YouTube, activo durante 14 años.

Sin embargo, sigue activo en GitHub, donde aún están disponibles más de 140 repositorios de código registrados bajo los apodos NiceLizhi y XXL4, mencionados en las sanciones. Entre ellos se encuentra la página del proyecto NexaMerchant, presentada como una plataforma de pagos electrónicos compatible con instituciones financieras estadounidenses. Curiosamente, todos los seguidores de este perfil son, presumiblemente, otras cuentas de Lizhi, que ya aparecen como bloqueadas, aunque en sus páginas no se refleja tal información.

En GitHub explicaron que siguen el procedimiento de bloqueo de cuentas de personas en listas de sancionados, pero que mantienen el acceso abierto a sus repositorios públicos. La política de la empresa establece que esto es necesario para apoyar a la comunidad de desarrolladores, incluidos aquellos que se encuentran en países con restricciones.

Según los expertos, este enfoque solo complica la identificación de riesgos: el bloqueo formal no viene acompañado de advertencias visibles sobre el estatus sancionado del propietario de la cuenta ni sobre el peligro de utilizar su código.

Los abogados señalan que las instituciones financieras han implementado desde hace tiempo sistemas de verificación de las listas de sancionados del Departamento del Tesoro de EE. UU., mientras que las empresas tecnológicas son mucho menos activas en esta área, especialmente en lo que respecta a cuentas gratuitas.

En el verano de 2024, Funnull adquirió el dominio polyfill[.]io, que anteriormente pertenecía a un reconocido proyecto de compatibilidad para navegadores antiguos. Tras ello, más de 384.000 sitios se vieron implicados en una cadena de ataques que redirigían a los visitantes a recursos fraudulentos y de apuestas, algunos de los cuales están vinculados al blanqueo de dinero por parte de grupos criminales chinos.

El Departamento del Tesoro de EE. UU. afirmó que Funnull utiliza activamente generadores de dominios, programas que crean cientos de nombres de dominio únicos pero similares, lo que permite a los estafadores cambiar rápidamente de sitio y dirección IP en caso de bloqueos. La empresa también vende plantillas de sitios que facilitan la suplantación de marcas conocidas y el desarrollo de recursos fraudulentos.

Actualmente, según los expertos, Funnull está reestructurando activamente sus operaciones para mejorar la ocultación de su infraestructura. Si antes la empresa utilizaba unos 60 dominios para ocultar el tráfico, ahora esa cifra ha aumentado significativamente. Esto dificulta el seguimiento y desmantelamiento de la infraestructura fraudulenta, y los expertos instan a las empresas tecnológicas a controlar más estrictamente la actividad de tales estructuras.