Expertos advierten sobre un gran número de ciberataques provenientes de un dominio inesperado.
El dominio .es se ha convertido en el tercer dominio de nivel superior más utilizado en actividades maliciosas.
Expertos en ciberseguridad han detectado un aumento significativo del 1900% en el uso de dominios .es para campañas maliciosas durante el periodo que abarca el cuarto y quinto trimestre de 2024. Este incremento posiciona a los dominios .es como el tercer dominio de nivel superior (TLD) más abusado, solo por detrás de .com y .ru. Los dominios .es son comúnmente utilizados por empresas y organizaciones en España, así como por audiencias hispanohablantes.
Entre enero y mayo, los investigadores localizaron cerca de 1,400 subdominios maliciosos en aproximadamente 450 dominios base .es. La mayoría de estas campañas, con un abrumador 99%, estaban relacionadas con el phishing de credenciales, mientras que el 1% restante se refería a troyanos de acceso remoto, como ConnectWise RAT, Dark Crystal y XWorm.
El uso de dominios .es en ataques de phishing ha crecido, pero los métodos de ataque utilizados no han cambiado. Se observó que el malware era distribuido a través de nodos de comando y control o correos electrónicos falsificados, siendo Microsoft la marca más impersonada, representando el 95% de los ataques. Adobe, Google, Docusign y la Administración de Seguridad Social se encontraban entre las otras marcas frecuentemente suplantadas. Las trampas de correo electrónico a menudo imitaban solicitudes relacionadas con recursos humanos y documentos.
Curiosamente, los subdominios maliciosos .es eran generados de manera aleatoria, sin un diseño manual, lo que facilitaba su identificación como fraudulentos. Ejemplos de esto incluyen ag7sr[.]fjlabpkgcuo[.]es y gymi8[.]fwpzza[.]es. Aunque los investigadores señalaron que no se podían establecer relaciones entre ataques y un mismo grupo, el 99% de los dominios maliciosos .es estaban alojados en Cloudflare.
Los expertos de Cofense informaron que "significativas restricciones" en el uso de dominios .es estuvieron vigentes hasta 2005. La reciente proliferación de ataques relacionados con .es podría ser preocupante, ya que indica una nueva tendencia que explota la autoridad que los TLD relacionados con países tienen, aunque de forma no oficial.
