España, justo detrás de Rusia: el dominio .es se convierte en el tercero más usado para phishing

España está de moda, pero no en un campo del que se pueda presumir. Un informe publicado por la empresa de ciberseguridad Cofense señala un drástico aumento del phishing que utiliza webs alojadas bajo el dominio .es para engañar a las víctimas. Esto es lo que se llama un dominio de nivel superior (TLD, por sus siglas en inglés), en este caso correspondiente a las webs de España, como .fr identifica a las francesas o .de a las alemanas. Esto supone que España se ha convertido en objetivo preferente de los cibercriminales para desarrollar estafas de phishing.

Según la investigación realizada por Max Gannon y Jacob Malimban, del equipo de inteligencia de Cofense, el uso del TLD .es en campañas de phishing se ha disparado entre el cuarto trimestre de 2024 y el primero de 2025. En concreto, 19 veces más respecto a lo que se venía registrando anteriormente. Este incremento llevó al dominio .es a posicionarse entre los tres TLD más abusados en campañas de phishing, solo por detrás de .com (global) y .ru (Rusia).

Hasta mayo de 2025, Cofense identificó 447 webs de phishing bajo un dominio .es que, a su vez, albergaban más de 1.373 subdominios maliciosos. Estos subdominios suelen utilizar nombres generados aleatoriamente con letras y números, que no son reconocibles o tienen un sentido semántico. Esto hace más difícil la detección del phishing por parte de los usuarios. Por ejemplo, ag7sr.fjlabpkgcuo.es o gymi8.fwpzza.es.

Este aumento no corresponde a la actividad de un grupo de actores maliciosos específico, sino que es una tendencia generalizada entre los cibercriminales. Hay que tener en cuenta que las campañas de phishing bajo este dominio no afectan solo a España, sino que están dirigidas a la audiencia hispanohablante en general.

De los diez dominios más abusados en phishing, solo tres son TLD geográficos. A .es le siguen .net, .dev, .org, .com.br, .app, .io y .me.

Estas webs que forman parte de campañas de suplantación de identidad están dirigidas, en un 99 %, al robo de credenciales haciéndose pasar por alguna empresa que resulte de confianza para el usuario. El 1 % restante corresponde a la distribución de malware. Según Cofense, abundan los troyanos de acceso remoto (Remote Access Trojan o RAT, que permiten el control de un sistema infectado), como ConnectWise RAT, Dark Crystal y XWorm.

La empresa más suplantada, de lejos, es Microsoft. Un 95 % de las campañas de phishing que utilizan dominios .es imitan servicios como Microsoft 365, Outlook, etc. Otras compañías objetivo de phishing, aunque con mucha menos frecuencia, incluyen Adobe, Google y Docusign.

Otro aspecto llamativo es que alrededor del 99 % de estos dominios están alojados en la infraestructura de Cloudflare y utilizan a menudo el CAPTCHA Cloudflare Turnstile para dar mayor apariencia de legitimidad. Esta es una alternativa de Cloudflare al CAPTCHA tradicional que se utiliza para discriminar humanos de bots cuando acceden a una web y su uso plantea dudas sobre el control que tiene Cloudflare sobre su plataforma.

Cofense advierte que las organizaciones deben estar alerta ante este nuevo patrón de abuso de dominios y adaptar sus estrategias de detección, prestando especial atención al seguimiento de subdominios y a una mejor detección de suplantaciones de marca.