Echamos un vistazo a las extensiones de dominio que han encabezado los rankings de peligrosidad en 2025.
Table of Contents
El phishing sigue siendo rentable. Así lo muestran las cifras. En 2025, se han reportado como phishing un 38% más de dominios y es el vector inicial del 16% de las brechas de seguridad (y en parte responsable del 22% de brechas por abuso de credenciales), según reportan los informes de Interisle Consulting Group y Verizon.
Las pérdidas, directas e indirectas, asociadas al phishing se estiman en más de 1 billón de dólares a nivel global.
New gTLDs, el foco del cibercrimen
Pot tipología de extensión de dominio, los nuevos gTLDs son los que concentran más dominios registrados usados para phishing. Y esta tendencia no para de crecer: sin en 2024 tenían una cuota de registros del 9% y un 21% del total registrados eran fraudulentos, en 2025 ha subido a un 11% de cuota y a un fraude del 51%. Dicho de otro modo, hay más ngTLDs registrados y más de la mitad son fraudulentos.
Por el contrario, el .com y .net (agrupados como tipología por ser de los primeros disponibles y, por tanto, con mayor cuota de mercado) y las extensiones territoriales o ccTLDs han perdido 5 y 4 puntos respectivamente en porcentaje de dominios fraudulentos.
Los TLDs más usados para el fraude
Podemos analizar el ranking de dominios de riesgo de dos maneras: mirando el número absoluto de dominios fraudulentos registrados por cada extensión o calculando el porcentaje que representan respecto al total.
Si miramos las cifras absolutas, vemos lo siguiente:
.com y .net están en el top 10, concretamente en primera y décima posición. Las posiciones intermedias están ocupadas básicamente por ngTLDs, por este orden: .top, .bond, .xyz, .shop, .xin y .online.
En este top 10 solo se “cuela” un ccTLD, el .cn correspondiente a China, que se sitúa en octava posición.
Algunas de estas extensiones ya aparecían en el ranking anterior o han sido protagonistas durante múltiples ediciones del ranking. Son el caso del .com, .top, .xyz, .bond y .cn.
Si miramos el porcentaje de dominios fraudulentos respecto al total registrados por cada extensión, vemos lo siguiente:
El top 10 lo encabezan ngTLDs que principalmente son minoritarias en términos de total de dominios registrados (menos de 100.000 registros): .world, .monster, .xin, .help, .win, .cfd, .support, .top y .lol.
De estos destacan .world y .monster, con unos porcentajes del 49% y 32% respectivamente.
En esta lista vuelven a haber algunos repetidores: .monster, .support y el .lol.
Hay que destacar los 2 TLDs que se encuentran en ambas listas como los de mayor riesgo: .top y .xin.
En el top 5 de 2025 aparecen TLDs que ya han estado al menos un año anterior en este ranking, por lo que son TLDs consolidados en cuanto a su uso por parte de cibercriminales y los que deberíamos tener ya controlados.
Dominios maliciosos
El estudio de Interisle Consulting Group diferencia entre dominios maliciosos, aquellos registrados con el objetivo de realizar con ellos una actividad ilícita, de los dominios usados para el phishing.
Si observamos el número de registro de dominios maliciosos por extensión, nos encontramos a los mismos protagonistas: .com, .top, .xyz, .xin, .shop, .cfd y el .lol. Pero aparecen en escena otras extensiones: .info (5º), .vip (6º) y el .ru (8º). Destaca que solo 2 TLDs en el top 20 de dominios maliciosos son territoriales: el .ru (Rusia) y el .cc (Islas Coco, en 11ª posición).
Más allá de la décima posición, encontramos a los sospechosos habituales: .net, .bond, .online, y otros ya presentes también en la edición anterior, como el .icu (20º), y uno de los protagonistas de este año, el .world (16º).
Si hacemos el mismo ejercicio de mirar el porcentaje respecto al total de registrados, el ranking queda de la siguiente manera: .world, .bond, .xin, .cfd, .top, .lol, .vip, .pro, .xyz, .cc.
Dominios maliciosos vs dominios comprometidos
El porcentaje de dominios maliciosos ha disminuido en todas las tipologías de dominio salvo los ccTLDs, para los que ha incrementado un 15%, por lo que deberemos estar atentos.
Los 5 ccTLDs con mayor porcentaje de dominios maliciosos por dominio de phishing son: .cc (91%), .ru (82%), .us (74%), .co (72%) y .de (68%). Cabe destacar que el único nuevo en este top 5 es el .de, que tiene que haber subido al menos 15 puntos desde el ranking de 2024 para haber logrado entrar en esta edición. También destaca el crecimiento del .us, que ha pasado del 53% al 74%, 21 puntos.
Los más registrados
Según Domain Name Industry Brief, el Q3 de 2025 cerró con 378,5 millones de registros de nombres de dominio, lo que supone 16,2 millones más y un crecimiento del 4,5% respecto 2024.
La tipología de dominio más registrada ha sido los gTLDs, con 7,4 millones de registros, seguida de los ccTLDs, con 4,8 millones de registros. Si nos fijamos en el porcentaje de crecimiento entre 2024 y 2025, los gTLDs encabezan de nuevo el ranking, con un crecimiento del 21%, seguido de los legacy, con un 9,3%.
Estos datos confirman lo siguiente:
- Los gTLDs son actualmente las extensiones de dominio de mayor riesgo.
- Otras extensiones legacy, a parte del .com y el .net, tienen relieve en el escenario del cibercrimen, lo vemos en el .info, por ejemplo.
Namecheap ha publicado también su ranking de extensiones más registradas en 2025. Es interesante por dos razones: por un lado, porque Namecheap es el cuarto Registrador con mayor número de dominios de phishing; y segundo, porque podemos ver cómo se trasladan los resultados del informe de Interisle a la realidad.
Comparando los ranking observamos que 9 de las extensiones mencionadas en el informe de phishing se encuentran en el top 20 de Namescheap: .com, .info, .shop, .xyz, .online, .net, .pro, .co y .us. Además, destaca precisamente la subida de registros del .info, mientras que el resto son los “habituales” que se mantienen estable en el ranking.
Otro ejercicio que hemos realizado es seleccionar una fecha de 2025 aleatoriamente (26 de junio) y observar qué dominios se registraron más. Esto son los resultados: .com, .top, .xyz, .shop, .vip, .au, .cn, .org, .online y .de hacen el top 10 y 9 de ellos están marcados en los rankings de phishing.
¿Cómo eligen los estafadores la extensión?
Hay básicamente 3 factores clave:
Facilidad de registro
Como ya hemos mencionado en artículos anteriores, el factor fundamental para el uso de una extensión de dominio con objetivos fraudulentos es, principalmente, la falta de requisitos y mecanismos de validación de la titularidad a hora de registrar un dominio.
Esto depende de las políticas que establece cada Registro, por lo tanto, hay una relación directa entre los requisitos de registro de una extensión y el porcentaje de fraude asociado a esa extensión.
Registro masivo
Cuando los Registradores permite realizar registros masivos, los ciberdelincuentes lo aprovechan. Según Interlisle, al menos el 37% de los dominios usados para phishing se registraron mediante registros masivos.
4 de los 5 Registradores que acumulan más dominios fraudulentos están relacionados con el mayor número de correos de phishing registrados en masa.
Coste
Cuanto más barata es la extensión de dominio, más registros fraudulentos. Es por eso que debemos tener en cuenta este factor en nuestra estrategia de registros preventivos.
Generalmente, apunta el informe de Interisle, las extensiones con un coste de registro inferior a 2 euros son las que acumulan más dominios fraudulentos. Hay algunas excepciones, como el .finance que, a pesar de tener un coste superior, está en una órbita parecida en cuanto a volumen.
Esto significa que no debemos pasar por alto las temáticas especialmente sensibles.
Resumen: las extensiones de mayor riesgo
La siguiente tabla recoge todos los TLDs mencionados, con los indicadores de riesgo asociados. De rojo y gris hemos señalado los más relevantes de acuerdo con los datos del ranking de Interlise.
| TLD | Más usado para phishing | Mayor % de fraude | Estables del cibercrimen | Más dominios maliciosos | Mayor % de dominios maliciosos | Popularidad |
|---|---|---|---|---|---|---|
| .com | x | x | x | x | ||
| .top | x | x | x | x | x | x |
| .xyz | x | x | x | x | ||
| .net | x | x | x | x | ||
| .bond | x | x | x | |||
| .shop | x | x | x | |||
| .xin | x | x | x | |||
| .online | x | x | ||||
| .cn | x | |||||
| .world | x | x | ||||
| .monster | ||||||
| .help | ||||||
| .win | ||||||
| .cfd | x | x | ||||
| .support | x | |||||
| .lol | x | x | ||||
| .info | x | x | ||||
| .vip | x | x | ||||
| .ru | x | x | ||||
| .cc | x | x | ||||
| .pro | x | x | ||||
| .de | x | x | ||||
| .us | x | x | ||||
| .co | x | x |
Conclusiones
- Los nuevos gTLDs deben estar en el punto de mira de nuestra estrategia de Protección de Marca Online, esto implica estar atentos a nuevos lanzamientos.
- Hay que prestar atención a las extensiones .top, .bond, .shop y .info, que ya estaban presentes en anteriores rankings pero han crecido o están creciendo con fuerza.
- En cuanto a ccTLDs, aumenta el porcentaje de registros maliciosos. Hay que prestar atención al .cc, .de y .us, debido a su crecimiento de un año a otro, y a los habituales .cn, .ru y .com.
- Destaca un gTLD que aparece por primera vez y con mucha fuerza, el .xin.
- Hay que analizar e identificar los gTLDs que por temática y sensibilidad sectorial representan una amenaza, como el .finance para el sector Banca y Finanzas.
¿Necesitas ayuda contra el fraude online?
Escríbenos con tu consulta, nos pondremos en contacto contigo pronto.