Em uma reviravolta preocupante para a segurança digital na Espanha, o domínio nacional .es se tornou um dos mais utilizados por cibercriminosos para lançar ataques de phishing. Um relatório recente da empresa de cibersegurança Cofense documenta um aumento de 19 vezes nas campanhas maliciosas iniciadas a partir de domínios .es entre janeiro e maio de 2025.
Esse crescimento coloca o domínio espanhol apenas atrás dos mais conhecidos .com e .ru, tradicionalmente associados a esse tipo de ataque. Especialistas consideram isso como um sinal alarmante de que os atores maliciosos estão se adaptando e explorando novas formas de contornar os controles de segurança para alcançar o usuário final de maneira mais legítima.
Mais de 1.300 subdomínios .es comprometidos em cinco meses
Os dados analisados pela Cofense mostram que 1.373 subdomínios maliciosos estavam ativos sobre 447 domínios base .es até o final de maio de 2025. Em 99% dos casos, o foco era o roubo de credenciais por meio de páginas falsas que se faziam passar por serviços legítimos, como portais da Microsoft, que foi o mais imitado, presente em 95% das campanhas. O restante concentrou-se na distribuição de Trojans de Acesso Remoto (RATs), como DarkCrystal RAT, XWorm ou ConnectWise RAT.
Cloudflare, infraestrutura recorrente
Uma das características técnicas mais notáveis desta onda de ataques é a dependência dos cibercriminosos na plataforma Cloudflare, utilizada por 99% dos domínios maliciosos detectados. Os atacantes fazem uso tanto da infraestrutura de entrega de conteúdo (CDN) da Cloudflare quanto de seus sistemas de proteção e CAPTCHA, especialmente o Turnstile, que confere uma camada de legitimidade adicional aos portais fraudulentos.
Por que o domínio .es?
Até agora, os domínios de primeiro nível com código de país (ccTLDs), como .es, estavam relativamente protegidos contra esse tipo de abuso. Ao contrário de domínios genéricos como .top, .zip ou .xyz, os ccTLDs geralmente têm políticas de registro mais restritivas e impedem compras em massa, o que, em teoria, os torna menos atraentes para cibercriminosos.
Entretanto, o relatório da Cofense sugere que essa percepção está mudando. A Espanha possui mais de 2,2 milhões de domínios .es ativos, segundo dados da Red.es, tornando-se um dos ccTLDs mais utilizados da Europa. A visibilidade e o reconhecimento do domínio entre falantes de espanhol podem estar contribuindo como um fator adicional de atração para os atacantes, gerando uma falsa sensação de confiança entre os usuários.
Ataque automatizado, URLs aleatórias
As URLs utilizadas nas campanhas geralmente são subdomínios gerados aleatoriamente por scripts automatizados, evitando a semelhança com sites legítimos. Exemplos incluem:
ag7sr.fjlabpkgcuo.esgymi8.fwpzza.esmd6h60.hukqpeny.es
Esses endereços são projetados para ter uma vida útil curta: muitos são criados, utilizados por algumas horas ou dias e, em seguida, descartados. Essa dinâmica dificulta sua inclusão em listas negras por provedores de segurança e e-mail.
Não é um grupo isolado: é uma tendência generalizada
Um dos achados mais importantes do relatório é que a atividade não se limita a um grupo específico de cibercriminosos, mas sim múltiplos atores estão usando o domínio .es para lançar suas campanhas. Isso, segundo a Cofense, indica que o uso de TLDs nacionais europeus, que tradicionalmente eram considerados seguros, está se normalizando como vetor de ataque na indústria do cibercrime.
O que podem fazer as autoridades e os usuários?
A situação impõe um desafio duplo: por um lado, reforçar os mecanismos de verificação e vigilância sobre os domínios .es registrados; por outro, aumentar a conscientização cidadã e empresarial em relação ao phishing. Especialistas em cibersegurança defendem uma reforma do sistema de registro de domínios, com mecanismos proativos para detectar usos fraudulentos.
Entidades responsáveis pela segurança digital na Espanha têm reforçado campanhas de conscientização e monitoramento, mas analistas concordam que a batalha será longa e exigirá cooperação público-privada, melhorias na detecção automática e uma cidadania mais crítica e vigilante.
A crescente utilização do domínio .es por cibercriminosos nos ensina que nenhum domínio está livre de ser utilizado para engano, mesmo aqueles que historicamente simbolizavam proximidade e confiabilidade. Na guerra digital, até o .es pode se tornar um verdadeiro cavalo de Troia.
