Uno de cada cinco sitios web en Internet es una trampa: millones de dominios nuevos registrados en 2025 exclusivamente para phishing y estafas.
Expertos explican cómo el mercado de dominios se ha convertido en un instrumento de la delincuencia organizada.
Uno de cada cinco dominios nuevos puede servir a ciberdelincuentes. Así lo concluyeron los especialistas Interisle Consulting, que analizaron el mercado de nombres de dominio en 2025.
Según la estimación de los autores del informe, los atacantes registraron entre el 10% y el 20% de todos los dominios nuevos en las zonas genéricas de nivel superior. La cifra mínima confirmada ya resulta considerable. De casi 85 millones de dominios registrados en 2025, más de 8,5 millones después fueron incluidos en bases de datos de recursos maliciosos que usan los proveedores de soluciones de seguridad y las empresas de internet para bloquear el phishing, el fraude y neutralizar el software malicioso.
Los autores subrayan que la magnitud real puede ser mucho mayor. Muchos dominios maliciosos permanecen sin ser detectados durante largo tiempo, y una parte de las direcciones empieza a usarse solo meses después de su registro. Teniendo en cuenta cálculos adicionales, los especialistas estiman que el número de dominios comprados por los atacantes durante el año podría haber alcanzado 16,8 millones. Esa cifra corresponde aproximadamente al 20% de todo el mercado de nuevas inscripciones.
El estudio mostró que el problema está muy desigualmente distribuido. Cinco registradores suministraron alrededor de la mitad de todos los dominios que luego fueron detectados en actividades delictivas. En uno de los registradores, casi el 88% de las nuevas inscripciones acabaron en listas de bloqueo. En algunas zonas de dominio, más de la mitad de todas las direcciones nuevas se utilizaron después para fraude, phishing y otros esquemas delictivos.
El informe presta especial atención al grupo FUNNULL, que las autoridades estadounidenses vinculan con grandes estafas de inversión, campañas de phishing y la difusión de software malicioso. Según los autores, la organización podría haber registrado más de un millón de dominios para sostener su infraestructura delictiva. Incluso después de que EE. UU. impusieran sanciones en mayo de 2025, la actividad de FUNNULL no cesó y nuevos dominios continuaron apareciendo en distintos registradores.
Los autores ponen como ejemplo la zona de dominio .LOAN. En poco tiempo el número de direcciones registradas allí se multiplicó casi por veinte. El análisis mostró que más del 82% de los dominios en la zona podrían haberse utilizado para abusos. Muchas direcciones eran secuencias numéricas generadas automáticamente, creadas para operaciones masivas de fraude.
Los autores también detectaron una característica típica de esas zonas de dominio. Tras expirar el periodo de registro, los propietarios casi no renovaban las direcciones. En algunos casos la tasa de renovación caía hasta solo unos pocos por ciento, lo que indica un uso único de los dominios en esquemas delictivos.
Según Interisle, parte de los actores del mercado obtiene en la práctica beneficios financieros de las registraciones masivas, incluso si entre los clientes hay delincuentes. Los autores consideran que los mecanismos de control actuales no son suficientemente eficaces, y que si el mercado de zonas de dominio sigue expandiéndose sin medidas adicionales, el número de recursos fraudulentos aumentará y el daño para los usuarios y las empresas se intensificará.