El uso de todo tipo de dominios de forma maliciosa por parte de los ciberdelincuentes en muchas de las campañas es algo muy extendido desde hace años. Incluso algunos usuarios han aprendido a no fiarse de ciertos dominios, en base a malas experiencias pasadas o informarse sobre las tendencias de las ciberamenazas.
Sin embargo, un estudio reciente de la empresa de ciberseguridad Cofense, especializada en sistemas de seguridad contra el phishing ha obtenido una especial relevancia al anunciar un considerable aumento del uso de dominios .ES por parte de los ciber delincuentes durante la primera mitad de 2025.
Según este estudio, los dominios .ES, principalmente usados por todo tipo de empresas, organismos y particulares españoles, han experimentado un notable aumento de su uso en campañas orquestadas por ciberdelincuentes y, más concretamente, para preparar webs fraudulentas de suplantación de identidad o phishing. Los datos de Cofense indican que los dominios .ES estarían ya en la tercera posición de los más usados por los ciberdelincuentes, solo por detrás de los dominios .COM y .RU.
Este aumento de los dominios españoles para alojar webs fraudulentas ha sorprendido a muchos, más aun cuando las razones no parecen estar del todo claras. Lo que sí parece confirmarse es el elevado uso para campañas de phishing que se les está dando a la gran mayoría de dominios .ES fraudulentos o comprometidos por los atacantes.
Una de las finalidades principales es el robo de credenciales de todo tipo de servicios online aunque las suplantaciones de identidad de servicios como MS365 de Microsoft suelen estar entre las más usadas por los ciberdelincuentes. Estas webs fraudulentas, a las que se suele acceder tras pulsar un enlace recibido en un email, tratan de robar las credenciales de acceso de los usuarios, credenciales que serán luego vendidas o usadas en otras campañas más dirigidas.
Pero los delincuentes no siempre utilizan plantillas para suplantar servicios de Microsoft. A menudo nos encontramos con casos en los que no se esfuerzan tanto en suplantar la identidad de una empresa reconocida pero la finalidad es la misma. Que consigan robar credenciales aun en estos casos demuestra que queda mucho trabajo por hacer a nivel de concienciación.
Los datos proporcionados por Cofense resultan muy interesantes, pero es importante validarlos con otras fuentes para confirmar este aumento del uso malicioso de dominios .ES: Así pues, usando datos de la telemetría de ESET comprobamos como, por ejemplo, el phishing fue la amenaza más detectada en la primera mitad del año en España y muchos otros países, a bastante distancia del segundo puesto.
A pesar del dato mostrado en la gráfica anterior, es posible que los casos de phishing se alojen en dominios que no fueran españoles. Para tratar de arrojar un poco de luz en este asunto, veamos a continuación el número de detecciones de casos de phishing en dominios españoles, de acorde a la telemetría de ESET y cubriendo los seis primeros meses de 2025.
Tal y como podemos observar en el gráfico, el uso de los dominios .ES por parte de los ciberdelincuentes era prácticamente inexistente principios de año, y así lo siguió siendo hasta el mes de abril, donde se observa un primer pico de detecciones. Pero es en mayo donde se observa como los delincuentes abusaron notablemente de los dominios españoles para alojar sus campañas de phishing, para luego decrecer de nuevo y observar otros picos de actividad a mediados de junio y principios de julio.
Además, a continuación, podemos ver un listado con los dominios que fueron más utilizados por los ciberdelincuentes para suplantar la identidad de empresas reconocidas y robar credenciales. En este listado con los 10 primeros registros podemos observar como se han generado dominios de forma aleatoria, a la vez que también se han registrado dominios lo suficientemente creíbles para engañar a los usuarios que accedan a ellos.
Además, también podemos observar como algunos de los dominios pertenecen a webs legítimas que, en algún momento, fueron vulneradas por los delincuentes y usadas para alojar alguna campaña de phishing en su interior.
El incremento de las campañas de phishing no es algo único que se haya producido en nuestro país. En otras regiones también se han observado importantes picos que, además, coinciden bastante en el tiempo con las detecciones observadas de los dominios .ES siendo usados para la suplantación de identidad de empresas y organizaciones.
Esto demuestra que estamos ante una campaña global por parte de los ciberdelincuentes para hacerse con el mayor número de credenciales posibles, credenciales que luego serán usadas para nuevas campañas o incluso lanzar ataques más dirigidos.
Independientemente de donde se encuentre alojada una campaña de phishing, es importante contar con las medidas de seguridad adecuadas tanto para evitar acceder a las webs fraudulentas como para mitigar una posible filtración de credenciales. El incremento de la utilización de los dominios .ES puede ser debido a varios motivos (y no necesariamente ligados al aumento de la actividad de los ciberdelincuentes en nuestro país), motivos que, junto a las tácticas, técnicas y procedimientos usados por los atacantes, debemos analizar para prepararnos mejor ante este tipo de amenazas.