En un inquietante giro para la seguridad digital en España, el dominio nacional .es se ha convertido en uno de los más utilizados por ciberdelincuentes para lanzar ataques de phishing. Un reciente informe de la firma de ciberseguridad Cofense revela un aumento de 19 veces en las campañas maliciosas iniciadas desde dominios .es entre enero y mayo de 2025.
Este auge coloca al dominio español solo por detrás de los .com y .ru, tradicionalmente asociados con este tipo de ataques. Para los expertos, se trata de una señal preocupante de que los actores maliciosos están evolucionando, buscando nuevas formas de evadir los controles de seguridad y llegar al usuario final con una apariencia más legítima.
Según Cofense, 1.373 subdominios maliciosos operaban sobre 447 dominios base .es a finales de mayo de 2025. En el 99% de los casos, el objetivo era el robo de credenciales a través de páginas falsas que imitaban servicios legítimos, especialmente portales de Microsoft. El resto se centraba en distribuir troyanos de acceso remoto (RATs) como DarkCrystal RAT, XWorm o ConnectWise RAT.
El modus operandi de estos ataques es clásico pero efectivo: correos bien redactados con temas laborales o administrativos que contienen enlaces hacia portales fraudulentos donde se solicita iniciar sesión con credenciales reales. Estos correos no presentan errores gramaticales evidentes ni diseños descuidados, haciendo más difícil su detección por los usuarios.
Una de las características más llamativas de esta oleada de ataques es el uso predominante de la plataforma Cloudflare. Según el informe, el 99% de los dominios maliciosos detectados emplean tanto la infraestructura de entrega de contenido (CDN) de Cloudflare como sus sistemas de protección, lo que añade una capa de legitimidad a los portales fraudulentos.
Hasta ahora, los dominios de primer nivel con código de país (ccTLDs) como .es se habían visto relativamente a salvo de estos abusos. Sin embargo, el informe sugiere que esta percepción está cambiando. España cuenta con más de 2,2 millones de dominios .es activos y la facilidad para registrar estos dominios puede estar atrayendo a los atacantes.
Las direcciones empleadas en las campañas suelen ser subdominios generados de forma aleatoria para evitar ser detectados por sistemas de filtrado. Estas URLs tienen una corta vida útil, complicando su inclusión en listas negras por parte de los proveedores de seguridad.
Cofense destaca que la actividad no se limita a un grupo específico de cibercriminales, sino que múltiples actores utilizan el dominio .es para sus campañas, señalando una tendencia generalizada en el cibercrimen.
Ante esta situación, se plantea el desafío de reforzar los mecanismos de vigilancia sobre los dominios .es y aumentar la conciencia frente al phishing. Expertos en ciberseguridad urgen una reforma en el sistema de registro de dominios, mientras entidades como INCIBE y Red.es ya han reforzado campañas de monitorización y concienciación.
La batalla será larga y requerirá la cooperación público-privada, mejoras en detección automática y una ciudadanía más crítica y vigilante. Esta tendencia enseña que ningún dominio está libre de ser utilizado para el engaño; incluso aquellos que históricamente simbolizaban fiabilidad, como el .es, pueden ser un caballo de Troya.
