En estos momentos, hay más de 2,1 millones de dominios '.es' registrados. Se trata del dominio de nivel superior geográfico de nuestro país, aquel que identifica a negocios y organizaciones españolas en internet. Son la norma habitual en nuestras vidas, un símbolo de confianza y cercanía en la presencia online de cualquier enseña que se precie. Y, sin embargo, ese halo positivo es también un atractivo innegable para los ciberdelincuentes.
España no sólo se convierte en un destino vacacional para millones de turistas: también en el reclamo perfecto para lanzar campañas delictivas con nuestra marca nacional como excusa perfecta. Así lo demuestra un estudio de Cofense, que ha detectado un aumento de x19 en el uso de dominios españoles para lanzar campañas de phishing. Tanto es así que nos hemos convertido en el tercer país en estas peculiares lides, tras el ubicuo '.com' o el sospechoso habitual '.ru' (Rusia).
No es un detalle menor que el nombre de nuestro país esté ahora en esa lista.
Podríamos apelar a que los ciberdelincuentes estén aprovechando sus vacaciones en la costa patria para seguir trabajando de cuando en cuando. Sin embargo, suena más a la razón esgrimida por cualquier cuñado en una barbacoa, más que a una razón real y con mínimo sentido común. Los motivos subyacentes a este fenómeno son mucho más dispares, complejos y con menos gracia.
Durante décadas, el dominio .es ha representado no solo una marca digital nacional, sino también una cierta confianza implícita para los usuarios hispanohablantes. Pero esa confianza, precisamente, es lo que ahora está siendo explotado. Los atacantes han entendido que un dominio '.es' da apariencia de cercanía y legitimidad. Y eso lo convierte en la puerta perfecta para colarse en buzones corporativos con correos que imitan solicitudes de recursos humanos o entregas de documentos internos. El anzuelo, como siempre, es la rutina. El riesgo, como nunca, es masivo.
Lo más inquietante es que no hablamos de campañas altamente sofisticadas ni de grupos élite de ciberespionaje. Se trata de ataques masivos, automatizados, que generan subdominios aleatorios como “ag7sr.fjlabpkgcuo.es” o “md6h60.hukqpeny.es”. No buscan precisión quirúrgica, sino volumen y verosimilitud. Suplantan marcas como Microsoft —presente en el 95% de los casos detectados— y utilizan mensajes bien escritos, sin errores ortográficos ni esos descuidos que antaño delataban un intento de phishing. El fraude, en 2025, ha aprendido ortografía, protocolo corporativo y geolocalización gracias a la inteligencia artificial.
Es cierto que los propios autores del informe reconocen que la tercera posición de este disuctible podio suele ir variando entre distintos países. Los ciberdelincuenets buscan que no se les asocie a un comportamiento predecible, pero asociándose con la imagen de confianza de diferentes países. Ahora nos ha tocado a España, pero ¿estamos preparados como país para afrontar las implicaciones reputacionales y de ciberseguridad de que nuestro identificador digital nacional se convierta en territorio abonado para el crimen?