España en alerta: dominio .es es el tercero más usado para realizar estafas

Un informe de Cofense, empresa de ciberseguridad especializada en la defensa contra el phishing, puso en evidencia el aumento del uso del dominio .es para la elaboración de campañas de phishing y otras formas de fraude en línea.

El crecimiento de esta situación ha llevado a que el dominio, usado para identificar páginas en España, se posicione como el tercero a nivel mundial entre los más utilizados para lanzar ataques digitales, precedido solo por .com y .ru.

Cómo el dominio .es se convirtió en foco de estafas

Durante años, las extensiones nacionales como .es se percibieron como menos expuestas a la ciberdelincuencia. Los controles en el proceso de registro, la imposibilidad de adquirirlos de manera masiva y la baja incidencia de incidentes graves avalaban esta fama.

Sin embargo, entre el cuarto trimestre de 2024 y el primer trimestre de 2025, este escenario cambió totalmente. Cofense reporta una multiplicación por 19 en el volumen de ataques de phishing que emplean .es para engañar a empresas y usuarios particulares.

“El uso del .es TLD en campañas de phishing de credenciales se disparó de forma drástica hasta alcanzar un puesto en el podio de los más abusados a escala global", detalla el informe.

El estudio, basado en datos obtenidos hasta mayo de 2025, identificó más de 1.373 subdominios maliciosos repartidos en alrededor de 447 dominios base .es. Esta cifra refleja una explotación sistemática y creciente por parte de bandas y actores criminales de diversa procedencia.

Cómo operan las trampas digitales que usan este dominio

El 99% de las páginas bajo dominio .es detectadas en campañas recientes actúan como trampas para robar credenciales. Los ciberdelincuentes crean sitios web falsos que a menudo imitan portales corporativos o servicios reconocidos, con el objetivo de obtener nombres de usuario y contraseñas.

De acuerdo con Cofense, la marca más suplantada es Microsoft, presente en aproximadamente el 95% de los ataques. Los perpetradores se valen de réplicas de páginas de acceso a Outlook, Microsoft 365 y portales empresariales. El resto de los ataques simula servicios de Adobe, Google y DocuSign, aunque en proporciones mucho menores.

Estos intentos no se limitan a la simple suplantación de imagen: los mensajes que llegan a los usuarios suelen estar perfectamente redactados y se camuflan entre comunicaciones legítimas, como solicitudes de recursos humanos, avisos de facturación o requerimientos documentales urgentes. El correo electrónico es el canal predilecto de distribución.

Aunque el foco principal es el phishing de credenciales, aproximadamente el 1% de las campañas detectadas aprovecha la plataforma para distribuir programas maliciosos como troyanos de acceso remoto (RATs), entre ellos ConnectWise RAT, Dark Crystal y XWorm.

Una vez instalado, este tipo de malware concede a los atacantes el control total del dispositivo afectado, abriendo la puerta a acciones más dañinas como el espionaje, el secuestro de datos o el robo de información estratégica.

Por qué aumentó el uso del dominio .es en fraudes

El atractivo repentino del dominio .es entre los actores maliciosos se debe a varios factores combinados. Por un lado, la elevada demanda internacional de credenciales robadas justifica que los criminales inviertan más recursos y tiempo en vulnerar dominios nacionales, aunque presenten mayores restricciones de acceso que los genéricos como .com.

Por otro lado, la configuración de la ciberseguridad en España muestra puntos débiles considerables. Un estudio de EasyDMARC revela que solo el 4,7% de los 146.050 dominios .es activos han implementado la política DMARC más estricta, una de las principales herramientas para blindarse frente a phishing y suplantación de identidad.

Esto deja a una gran mayoría de sitios españoles expuestos y convierte al ecosistema digital español en un blanco apetitoso.

El factor lingüístico amplifica esta vulnerabilidad: el español, con más de 590 millones de hablantes a nivel mundial, constituye uno de los mayores mercados digitales globales. Esta amplitud convierte cualquier campaña exitosa en el entorno .es en una posible mina de oro para quienes operan en la sombra digital.

Según Cofense, “el abuso de dominios .es ya no está restringido a grupos con motivaciones y preferencias específicas. Indica más bien una técnica común y en crecimiento entre una gran diversidad de actores maliciosos”.