Un nuevo informe de la firma de ciberseguridad Cofense ha encendido las alarmas: los dominios .es, tradicionalmente considerados seguros, están siendo utilizados de forma masiva por cibercriminales. En tan solo unos meses, se ha registrado un incremento de 19 veces en campañas de phishing que parten desde páginas web con extensión .es, convirtiendo a este dominio —propio de España— en el tercer más utilizado del mundo para fines maliciosos, solo por detrás de .com y .ru.
Detrás de esta tendencia no hay una técnica sofisticada, sino una combinación de ingeniería social, automatización y un cambio estratégico por parte de los atacantes, que han encontrado en el .es un nuevo campo fértil para sus actividades.
Más de mil dominios .es comprometidos
Según los datos recogidos hasta mayo de 2025, se han identificado 1.373 subdominios maliciosos asociados a 447 dominios base .es. La gran mayoría de estos sitios fraudulentos están dedicados al phishing de credenciales, es decir, a suplantar portales legítimos (sobre todo de Microsoft) para robar nombres de usuario y contraseñas. El 99 % de los ataques siguen este patrón, mientras que el 1 % restante se centra en la distribución de troyanos de acceso remoto (RATs), como ConnectWise RAT o XWorm.
El contenido malicioso suele presentarse mediante correos electrónicos muy elaborados, que imitan mensajes empresariales reales: solicitudes de recursos humanos, confirmaciones de documentación o notificaciones de seguridad. Los enlaces incluidos llevan al usuario a páginas web con apariencia oficial, que piden iniciar sesión con sus credenciales.
Una fachada de legitimidad
Un detalle llamativo de estas campañas es que la mayoría de las páginas maliciosas están alojadas en la infraestructura de Cloudflare, uno de los servicios más usados para acelerar y proteger sitios web. Estas páginas fraudulentas incluso incorporan CAPTCHAs de Cloudflare Turnstile, lo que otorga una sensación adicional de legitimidad al usuario desprevenido.
Las direcciones web utilizadas suelen ser subdominios de apariencia aleatoria, generados por scripts automatizados. Por ejemplo:
ag7sr.fjlabpkgcuo.esgymi8.fwpzza.esmd6h60.hukqpeny.es
Este tipo de URLs no buscan parecerse a marcas conocidas, sino evitar los filtros automáticos de los proveedores de correo y confundir al ojo humano.
¿Por qué el dominio .es?
Tradicionalmente, los dominios nacionales europeos como el .es han estado menos expuestos a este tipo de abusos, debido a sus restricciones de registro más estrictas y la imposibilidad de comprar dominios en masa. Sin embargo, en los últimos meses, los atacantes parecen haber cambiado de estrategia. Aunque no hay una explicación única, Cofense sugiere que la facilidad actual para desplegar sitios web mediante servicios como [pages.dev] y la aparente falta de control efectivo ante los abusos han convertido al .es en una opción atractiva.
La firma de seguridad también descarta que se trate de un grupo específico aprovechando esta táctica. Por el contrario, los datos apuntan a una adopción generalizada entre múltiples actores maliciosos, lo que agrava la amenaza y complica su contención.
Qué podemos hacer
Para los usuarios, la principal defensa sigue siendo la precaución y la verificación constante. Ante cualquier correo que solicite iniciar sesión, cambiar contraseñas o confirmar datos personales, es vital comprobar cuidadosamente la dirección del remitente y la URL del sitio al que dirige el enlace.
También es recomendable activar la autenticación en dos pasos en todas las cuentas importantes y evitar introducir credenciales desde enlaces recibidos por correo electrónico. En caso de duda, siempre es mejor acudir directamente a la web oficial de la empresa o servicio.
España se enfrenta ahora a una amenaza silenciosa pero creciente, que aprovecha su propio dominio nacional como herramienta de engaño. Lo que antes era símbolo de confianza se ha convertido, en manos equivocadas, en una puerta trasera para el fraude. La respuesta, como siempre, estará en la combinación de tecnología, vigilancia y educación digital.
vía: The Register
