Ciberseguridad

El Dominio .es de España: Su Reciente Ascenso al Dominio Malicioso

Home / Ciberseguridad / El Dominio .es de España: Su Reciente Ascenso al Dominio Malicioso

El Dominio .es de España: Su Reciente Ascenso al Dominio Malicioso

Resumen Ejecutivo

Los actores de amenazas han encontrado un nuevo favorito en el dominio de nivel superior (TLD) de España. Según la investigación de Cofense Intelligence, el abuso del TLD .es experimentó un aumento meteórico de 19 veces desde el cuarto trimestre de 2024 hasta el primer trimestre de 2025, posicionándose como el tercer TLD más abusado para phishing de credenciales.

Puntos Clave del Análisis

  • Estadísticas Alarmantes:
    • Los dominios .es ahora aparecen aproximadamente dos veces más que los dominios .dev en campañas maliciosas
    • Más del 99% de los dominios analizados estaban relacionados con phishing de credenciales
    • El 95% de las campañas suplantaban la marca Microsoft
  • Características Técnicas:
    • La mayoría de las páginas de phishing se alojan en subdominios aparentemente generados aleatoriamente
    • Aproximadamente el 99% de los dominios .es maliciosos están alojados en Cloudflare
    • Se identificaron 1,373 subdominios que alojaban phishing de credenciales en 447 dominios base .es.

Contexto del TLD .es

El “.es” es el código de país TLD (ccTLD) para España, derivado de la palabra española “España”. Hasta 2005, este TLD tenía restricciones significativas de uso, lo que resultó en una menor cantidad de dominios legítimos de larga duración comparado con otros TLDs como “.com.”

Evolución del Abuso

Antes de 2025: El abuso del .es se asociaba principalmente con ubicaciones de comando y control (C2) de malware, especialmente FormBook.

2025 en adelante: Cambio dramático hacia el alojamiento de páginas de phishing de credenciales, con un enfoque en subdominios pseudo-dinámicamente generados.

Características de las Campañas

  • Contenido completamente desarrollado en lugar de mensajes simples
  • Temas y asuntos muy variados
  • Páginas de phishing convincentes que suplantan principalmente Microsoft Outlook
  • Subdominios con apariencia aleatoria como ag7sr.fjlabpkgcuo.es y gymi8.fwpzza.es

Implicaciones de Seguridad

Este aumento sugiere que el abuso de dominios .es se está convirtiendo en una técnica común entre un gran grupo de actores de amenazas en lugar de unos pocos grupos especializados. La consistencia en las marcas suplantadas indica una adopción generalizada de esta táctica.

¿Quieres conocer más y aprender a protegerte de estafas y suplantaciones? Suscríbete ahora a nuestro Newsletter.