En los últimos meses, los expertos en ciberseguridad han detectado un incremento sin precedentes —¡19 veces más!— en el uso de dominios .es para crear páginas maliciosas de phishing.

Tradicionalmente relegado a webs legítimas de España y países de habla hispana, el TLD .es se ha colado en el podio de los dominios más se abusa, sólo por detrás de .com y .ru.

Un informe de Cofense, desde enero hasta mayo de 2025 se han identificado 1 373 subdominios maliciosos repartidos en 447 dominios .es distintos. El 99 % de ellos se dedicaba a robar credenciales —con réplicas muy conseguidas de portales de inicio de sesión de Microsoft— y el 1 % restante servía para distribuir troyanos de acceso remoto como ConnectWise RAT, Dark Crystal o XWorm.

Lo curioso es que, pese al tema geográfico, los atacantes no han diseñado URLs “humanas” ni parecidas a marcas conocidas, sino que optan por cadenas alfanuméricas aleatorias (por ejemplo, gymi8.fwpzza.es o md6h60.hukqpeny.es), lo que paradójicamente facilita a algunos usuarios identificar rápidamente un enlace sospechoso.

La mayoría de estas estafas se envían por correo electrónico simulando comunicaciones de Recursos Humanos o solicitudes de documentos, y aprovechan infraestructuras de Cloudflare (con Turnstile CAPTCHA) para ocultar sus alojamientos. Esto ha llevado a preguntarse si la sencillez de desplegar un sitio estático en .es –y la rapidez con que Cloudflare lo propaga– está atrayendo a los atacantes.

Aunque no hay una explicación definitiva, la realidad es que el TLD .es, históricamente poco elegido por los ciberdelincuentes, se está convirtiendo en un vector de ataque recurrente. Si trabajas en una empresa con usuarios de habla hispana, presta atención a cualquier enlace .es inesperado y refuerza tus filtros de phishing con esta nueva tendencia en mente.