En un inquietante giro para la seguridad digital en España, el dominio nacional .es ha entrado en el podio de los más utilizados por los ciberdelincuentes para lanzar ataques de phishing. Así lo revela un nuevo informe de la firma de ciberseguridad Cofense, que documenta un aumento de 19 veces en campañas maliciosas iniciadas desde dominios .es entre enero y mayo de 2025.

Este auge coloca al dominio español solo por detrás de los ya conocidos .com y .ru, tradicionalmente asociados con este tipo de ataques. Para los expertos, se trata de una señal preocupante de que los actores maliciosos están evolucionando, explorando nuevas vías para eludir controles de seguridad y llegar al usuario final con una apariencia más legítima.

Más de 1.300 subdominios .es comprometidos en solo cinco meses

Según los datos analizados por Cofense, 1.373 subdominios maliciosos operaban sobre 447 dominios base .es a finales de mayo de 2025. En el 99 % de los casos, el objetivo era el robo de credenciales mediante páginas falsas que suplantaban servicios legítimos, como portales de Microsoft (el más imitado, presente en el 95 % de las campañas). El resto se centraba en la distribución de troyanos de acceso remoto (RATs) como DarkCrystal RAT, XWorm o ConnectWise RAT.

El modus operandi es clásico pero efectivo: correos bien redactados, con temas laborales o administrativos (como solicitudes de recursos humanos, documentos fiscales o alertas de seguridad), que contienen enlaces hacia portales fraudulentos donde se solicita iniciar sesión con credenciales reales. Estos correos no presentan errores gramaticales evidentes ni diseños descuidados, lo que dificulta su detección por parte de los usuarios.

Cloudflare, infraestructura recurrente

Una de las características técnicas más llamativas de esta oleada de ataques es la dependencia de los ciberdelincuentes de la plataforma Cloudflare, usada por el 99 % de los dominios maliciosos detectados. Los atacantes emplean tanto la infraestructura de entrega de contenido (CDN) de Cloudflare como sus sistemas de protección y CAPTCHA, especialmente Turnstile, lo que otorga una capa de legitimidad adicional a los portales fraudulentos.

Según Cofense, esta facilidad de despliegue y la posibilidad de usar herramientas como [pages.dev] para crear sitios de forma rápida, podrían estar facilitando el abuso. Aunque Cloudflare ha afirmado públicamente su compromiso con la lucha contra el uso indebido de sus servicios, su rapidez de respuesta ante reportes de abuso sigue siendo motivo de debate entre los investigadores.

¿Por qué el dominio .es?

Hasta ahora, los dominios de primer nivel con código de país (ccTLDs) como .es habían estado relativamente a salvo de este tipo de abusos. A diferencia de los dominios genéricos como .top, .zip o .xyz, los ccTLDs suelen tener políticas de registro más restrictivas y no permiten compras masivas, lo que en teoría los hace menos atractivos para los cibercriminales.

No obstante, el informe de Cofense sugiere que esta percepción está cambiando. España tiene más de 2,2 millones de dominios .es activos, según datos de Red.es, y es uno de los ccTLDs más utilizados de Europa. La visibilidad y el reconocimiento del dominio entre hispanohablantes podría estar actuando como un factor adicional de atracción para los atacantes, al generar una falsa sensación de confianza entre los usuarios.

Además, la proliferación de registradores de dominios .es acreditados que ofrecen procesos rápidos y económicos de compra, sumado a una falta de verificación técnica y legal más estricta, podría haber rebajado el umbral de entrada para los actores maliciosos.

Ataque automatizado, URLs aleatorias

Las direcciones empleadas en las campañas son generalmente subdominios generados de forma aleatoria por scripts automatizados. No buscan parecerse a sitios legítimos (como «micr0s0ft.es»), sino evitar ser detectadas por sistemas de filtrado automático. Ejemplos analizados incluyen:

• ag7sr[.]fjlabpkgcuo[.]es
• gymi8[.]fwpzza[.]es
• md6h60[.]hukqpeny[.]es

Estas URLs son diseñadas para tener corta vida útil: muchas se crean, se usan durante unas horas o días, y se descartan. Esta dinámica dificulta su inclusión en listas negras por parte de proveedores de seguridad y correo electrónico.

No es un grupo aislado: es tendencia generalizada

Uno de los hallazgos más relevantes del informe es que la actividad no se limita a un grupo específico de cibercriminales, sino que múltiples actores están utilizando el dominio .es para lanzar sus campañas. Esto, según Cofense, indica que el uso de TLDs nacionales europeos, que tradicionalmente eran considerados seguros, se está normalizando como vector de ataque en la industria del cibercrimen.

«No observamos patrones de ataque que sugieran una campaña coordinada de un grupo especializado. La diversidad de objetivos, técnicas y niveles de sofisticación apunta a que el uso malicioso del dominio .es se ha extendido entre muchos actores con diferentes motivaciones», concluye Cofense.

¿Qué pueden hacer las autoridades y los usuarios?

La situación plantea un desafío doble: por un lado, reforzar los mecanismos de verificación y vigilancia sobre los dominios .es registrados; por otro, aumentar la conciencia ciudadana y empresarial frente al phishing. Expertos en ciberseguridad como Fernando Suárez, presidente del Consejo General de Colegios de Ingeniería Informática de España, llevan tiempo reclamando una reforma del sistema de registro de dominios, con mecanismos proactivos para detectar usos fraudulentos.

Desde INCIBE y Red.es, entidades responsables de la seguridad digital y la gestión del dominio .es en España, se han reforzado campañas de concienciación y monitorización. Sin embargo, los analistas coinciden en que la batalla será larga y requerirá cooperación público-privada, mejoras en detección automática, y una ciudadanía más crítica y vigilante.

Porque si algo nos enseña esta tendencia es que ningún dominio está libre de ser utilizado para el engaño, incluso aquellos que históricamente simbolizaban cercanía y fiabilidad. En la guerra digital, hasta el .es puede ser un caballo de Troya.

vía: The Register