Ciberdelincuentes aprovechan masivamente los dominios españoles para sus campañas fraudulentas

Los expertos en ciberseguridad han detectado un aumento explosivo del 1900% en el uso de dominios .es para campañas maliciosas, convirtiendo a la extensión española en la tercera más utilizada para phishing, solo por detrás de .com y .ru.

El dominio de nivel superior .es, reservado para España o sitios web dirigidos a audiencias de habla hispana, ha experimentado un crecimiento masivo en su uso fraudulento desde enero de 2025.

Cifras alarmantes del abuso de dominios españoles

Según los investigadores de Cofense, el abuso del dominio .es comenzó a incrementarse notablemente en enero. Para mayo de 2025, se identificaron 1.373 subdominios alojando páginas web maliciosas distribuidas en 447 dominios base .es.

Las estadísticas revelan que:

  • 99% de los casos se enfocaron en phishing de credenciales
  • 1% restante se dedicó a distribuir troyanos de acceso remoto (RAT) como ConnectWise RAT, Dark Crystal y XWorm
  • 95% de las campañas suplantaron la identidad de Microsoft

Características de las campañas fraudulentas

Los ciberdelincuentes distribuyen el malware principalmente a través de dos métodos:

  1. Nodos de comando y control (C2)
  2. Correos electrónicos maliciosos que suplantan marcas reconocidas

Los mensajes fraudulentos suelen estar temáticamente relacionados con asuntos laborales, como solicitudes de recursos humanos o peticiones de recepción de documentos. A diferencia de los típicos correos de phishing, estos mensajes están bien elaborados en lugar de ser esfuerzos de baja calidad.

Ejemplos de subdominios maliciosos

Los dominios .es que alojan contenido malicioso, como los falsos portales de inicio de sesión de Microsoft, son generalmente generados aleatoriamente en lugar de ser creados por humanos. Algunos ejemplos incluyen:

  • ag7sr[.]fjlabpkgcuo[.]es
  • gymi8[.]fwpzza[.]es
  • md6h60[.]hukqpeny[.]es
  • Shmkd[.]jlaancyfaw[.]es

Esta característica podría facilitar a los usuarios potenciales la identificación de URLs sospechosas de typosquatting.

¿Por qué los dominios .es son tan atractivos?

Aunque Cofense no aventuró explicaciones específicas sobre la popularidad del dominio .es, observaron que después de los dos dominios más abusados (.com y .ru), el resto tiende a fluctuar trimestre a trimestre.

Los investigadores señalan que el abuso de dominios .es se está convirtiendo en una técnica común entre un gran grupo de actores de amenazas, en lugar de ser utilizada por unos pocos grupos especializados.

«Si un solo actor de amenazas o grupo estuviera aprovechando los dominios .es, sería probable que las marcas suplantadas indicaran ciertas preferencias específicas. Esto no se observó, lo que sugiere que el abuso de dominios .es es una técnica adoptada por múltiples actores», explicaron los expertos.

Conexión con Cloudflare

Una similitud notable entre casi todos los dominios .es maliciosos es que el 99% estaban alojados en Cloudflare, y la mayoría de las páginas de phishing utilizaban CAPTCHA Cloudflare Turnstile.

«Aunque Cloudflare ha facilitado recientemente el despliegue rápido de páginas web a través de línea de comandos, no está claro si su movimiento reciente hacia hacer que los dominios alojados por ellos sean fáciles de desplegar ha atraído a los actores de amenazas», comentaron los investigadores.

Contexto de los dominios europeos

Los dominios de código de país (ccTLD) de la Unión Europea como .es típicamente se encuentran entre los menos abusados, según la Internet Corporation for Assigned Names and Numbers (ICANN).

Estos dominios generalmente vienen con más restricciones sobre quién puede registrar un ccTLD comparado con dominios genéricos (gTLD) como .top y .zip, y no admiten registros masivos, lo que los hace menos atractivos para quienes desean abusarlos en masa.

Recomendaciones de seguridad

Ante este incremento masivo en el uso fraudulento de dominios .es, los expertos recomiendan:

  • Verificar cuidadosamente las URLs antes de introducir credenciales
  • Prestar especial atención a subdominios generados aleatoriamente
  • Desconfiar de correos que soliciten credenciales, especialmente los que suplantan a Microsoft
  • Implementar sistemas de autenticación multifactor

Esta tendencia representa un cambio significativo en el panorama de amenazas cibernéticas, convirtiendo a los dominios españoles en un vector de ataque cada vez más popular entre los ciberdelincuentes internacionales.

Fuente

Artículos relacionadosMás del autor

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí