Los especialistas en ciberseguridad han documentado un incremento del 1900% en campañas maliciosas que explotan dominios españoles .es durante 2025. Esta escalada sin precedentes ha posicionado a la extensión .es como la tercera más utilizada por ciberdelincuentes, superada únicamente por los dominios .com y .ru, según revela el último informe de Cofense.
Dimensiones del Problema de Seguridad en Dominios .es
El análisis de amenazas reveló que 447 dominios base .es y 1,373 subdominios albergan contenido malicioso activo hasta mayo de 2025. Esta infraestructura criminal representa una transformación radical en el panorama de amenazas digitales, donde los atacantes han migrado masivamente hacia esta extensión tradicionalmente asociada con sitios web españoles legítimos.
La distribución de amenazas muestra una concentración alarmante: el 99% de las páginas maliciosas identificadas ejecutan operaciones de phishing dirigidas al robo de credenciales. El porcentaje restante se dedica a la distribución de troyanos de acceso remoto (RAT), incluyendo variantes sofisticadas como ConnectWise RAT, Dark Crystal y XWorm.
Metodologías de Ataque y Técnicas de Ingeniería Social
Los ciberdelincuentes han perfeccionado sus técnicas de suplantación, con el 95% de las campañas imitando comunicaciones oficiales de Microsoft. Esta estrategia aprovecha la confianza inherente en la marca para maximizar las tasas de éxito en sus operaciones fraudulentas.
Las características distintivas de estas amenazas incluyen:
• Emails falsificados con contenido altamente convincente y diseño profesional
• Temáticas laborales específicas: recursos humanos, solicitudes documentales
• Generación aleatoria de nombres de dominio para evadir sistemas de detección
• Réplicas precisas de portales de autenticación Microsoft para captura de credenciales
Infraestructura Técnica y Servicios de Hosting
El análisis técnico revela que el 99% de los dominios .es maliciosos utilizan servicios de Cloudflare para hosting y protección DDoS. Esta preferencia no es casual: la mayoría de sitios de phishing integran el sistema CAPTCHA Cloudflare Turnstile, otorgando una apariencia de legitimidad que dificulta la identificación por parte de usuarios no especializados.
Las recientes simplificaciones en el despliegue de aplicaciones web mediante línea de comandos y la plataforma pages.dev han facilitado la adopción masiva de estos servicios entre actores maliciosos. Sin embargo, los investigadores continúan analizando los factores específicos que motivaron esta migración hacia dominios .es.
Perfil de Amenazas y Actores Involucrados
Los expertos de Cofense identifican que la diversidad de marcas suplantadas y tácticas empleadas sugiere la participación de múltiples grupos criminales independientes rather than una organización centralizada. Esta descentralización indica que el abuso de dominios .es se ha convertido en una práctica estándar dentro del ecosistema criminal.
Mientras que los dominios .com y .ru mantienen su popularidad constante entre ciberdelincuentes, otras extensiones experimentan fluctuaciones trimestrales basadas en factores operativos y de disponibilidad. La estabilidad del crecimiento en .es sugiere ventajas específicas que los atacantes han identificado y explotan sistemáticamente.
Esta evolución en el landscape de amenazas demanda una respuesta coordinada entre organizaciones, proveedores de seguridad y usuarios finales. Las empresas deben implementar filtros de email actualizados, intensificar el monitoreo de comunicaciones entrantes y desarrollar programas de concienciación específicos sobre phishing que utilice dominios .es y suplante servicios Microsoft. La detección temprana y la educación continua constituyen las defensas más efectivas contra esta amenaza emergente.
