Estafas, información sobre amenazas

Los correos electrónicos falsos sobre la renovación de dominios engañan a los propietarios de sitios web para que paguen a los estafadores

por Stefan Dasic | 25 de junio de 2026
Ingeniería social
Añadir como fuente preferida en Google

Recibes un correo electrónico en el que se te advierte de que el nombre de dominio de tu página web está a punto de caducar. «Renueva ahora», dice, «o tu página web y tu correo electrónico podrían dejar de funcionar». Al hacer clic en el enlace, se abre una página de aspecto profesional que ya conoce tu nombre de dominio, muestra tu registrador y la fecha de caducidad, y pone en marcha una cuenta atrás.

Se percibe como algo urgente y personal, por lo que parece real.

La página web, conocida como Renovarix, no renueva dominios. En su lugar, redirige a los visitantes a una serie de páginas en las que se recopila información personal y, finalmente, datos de pago.

Dominio de renovación falsa

Cómo funciona la estafa

Los nombres de dominio caducan de verdad, y perder uno puede suponer un grave problema. Para muchas personas y empresas, un dominio es más que una dirección web. Es tu marca, tu correo electrónico, tu posicionamiento en los buscadores y el nombre que los clientes escriben cuando quieren encontrarte. Si caduca, tu página web y tu correo electrónico pueden dejar de funcionar. Si otra persona lo registra antes de que puedas recuperarlo, la recuperación puede resultar difícil o imposible. Es mucho lo que se puede perder, y los estafadores lo saben.

Esta estafa se aprovecha de ese miedo mediante un proceso de renovación falso muy convincente.

El correo electrónico y la página web son falsos. Los «datos de registro en tiempo real» solo son reales en parte. Al hacer clic en «Renovar ahora» no se renueva tu dominio. En cambio, te redirige a una serie de páginas web que, en primer lugar, recopilan tu nombre, dirección, número de teléfono y correo electrónico, y luego te solicitan los datos de pago.

Si has borrado el correo electrónico, no hay nada de qué preocuparse. Si has hecho clic en el enlace, simplemente cierra la página. Si has introducido datos personales o de pago, sigue las instrucciones anteriores.

El correo electrónico que lo inicia todo

La estafa comienza con un correo electrónico, aunque la forma en que se presenta varía. Algunos son muy burdos: un simple «Recordatorio de renovación de dominio» enviado por una empresa genérica llamada «Domain Services Inc.», con un número de factura y un importe a pagar.

Correo electrónico falso sobre la renovación

Otros tienen un aspecto mucho más profesional: utilizan la marca Renovarix, un número de referencia y una dirección comercial en Londres que inspira confianza.

Correo electrónico falso sobre la renovación

Pero tienen un punto en común. El aviso «oficial» de renovación de Renovarix se envió desde una dirección normal de Gmail. Es poco probable que una empresa que afirma tener una oficina en Londres y ofrecer asistencia las 24 horas del día, los 7 días de la semana, envíe avisos de facturación desde Gmail. Cuando la imagen de marca parece profesional, pero el remitente no concuerda, eso es una señal de alarma importante.

Una página que sabe demasiado

El enlace abre una página que realiza inmediatamente una «búsqueda» y va informando de su progreso con mensajes como «conectando con el registro» y «obteniendo los registros WHOIS», antes de mostrar tu nombre de dominio, el registrador y la fecha de caducidad.

Dominio de renovación falsa

Esto da la impresión de que la página web ha consultado el registro oficial de dominios. Es posible que parte de la información proceda de registros públicos auténticos, pero gran parte de lo que hace que la página parezca fidedigna es inventado. Por ejemplo, el «ID de registro» que se muestra no se ha obtenido de ningún registro. Se genera localmente en tu navegador a partir de tu nombre de dominio y su única finalidad es dar una apariencia oficial.

Todo está pensado para que te entre el pánico

Una vez que se carga ese panel de control, toda la página se convierte en un embudo diseñado para meterte prisa.

Un banner rojo afirma que tu dominio caduca en «03 días», independientemente de su fecha real de caducidad. Una segunda cuenta atrás indica que un «precio especial» de 2,00 €, rebajado de 9,99 €, caduca en quince minutos. Si intentas cerrar la página, aparece una ventana emergente con el mensaje de advertencia: «¡Espera! Tu dominio está en peligro», junto con un botón para cerrarla en el que se lee: «No, gracias, me arriesgaré».

Falsa urgencia de renovación

Los registradores legítimos no recurren a contadores de tiempo ni a ventanas emergentes que provocan sentimientos de culpa. La presión es, en sí misma, la estafa.

La «renovación» no renueva nada

Esta es la señal más clara de que algo va mal: al hacer clic en «Renovar ahora» no se contacta con tu registrador ni se procesa la renovación. Simplemente redirige tu navegador a otra página web.

Algunas versiones llegan incluso a mostrar un alegre mensaje de confirmación que dice «¡Renovación completada!», con una nueva fecha de caducidad, un número de confirmación y un mensaje en el que se indica que se ha enviado un recibo por correo electrónico. Nada de esto refleja una transacción real. Todo se genera en tu navegador.

¿A dónde van realmente tus datos?

El botón te redirige, a través de un enlace de marketing de afiliados, a una página llamada «Pago seguro».

Realizar el pago para recopilar datos

En la página se te pide el nombre, la dirección, el código postal, la ciudad, el número de teléfono y la dirección de correo electrónico. Una vez enviados los datos, se te redirige a otras páginas en las que, finalmente, se te solicita el pago.

Realizar el pago para recopilar datos

Hay dos detalles que sugieren que se trata de una plantilla de estafa reutilizada y no de un servicio de dominios auténtico. Es capaz de rellenar automáticamente tus datos a partir del enlace en el que has hecho clic, y sus falsas reseñas de cinco estrellas siguen haciendo referencia a «HappyPrizes» y a lo fácil que fue «ganar algo bonito»: texto que ha quedado de una estafa anterior relacionada con premios que utilizaba la misma plantilla.

Por qué la gente cae en la trampa

La estafa funciona porque se aprovecha de una preocupación real. La estafa parte de una premisa creíble. Las renovaciones de dominios son algo habitual en la gestión de una página web, por lo que un aviso de caducidad no parece fuera de lugar. Los estafadores aprovechan eso con una imagen de marca convincente, información de dominio público y una urgencia inventada.

Además, da la sensación de ser algo personal. Mucha gente se pregunta cómo es que los estafadores conocían su dominio concreto. La respuesta es que no te conocen personalmente. Todos los dominios registrados aparecen en los registros públicos de WHOIS/RDAP, que incluyen el nombre de dominio, el registrador, fechas importantes y, a veces, una dirección de correo electrónico de contacto. Los estafadores recopilan esta información de forma masiva y, a continuación, generan enlaces que te muestran los detalles de tu propio dominio. Ver información que te resulta familiar hace que la página parezca legítima, aunque proceda de registros públicos.

Por último, la estafa crea una sensación de urgencia. Los temporizadores de cuenta atrás , las advertencias de que tu dominio está en peligro y una «oferta especial» de 2,00 € están pensados para que actúes antes de que te pares a comprobar lo que te dicen. El objetivo no es el bajo precio, sino tus datos personales y tus datos de pago.

Nada de esto significa que la víctima sea descuidada. Simplemente la convierte en un ser humano, en el punto de mira de personas que saben cómo reacciona el propietario de una página web preocupado.

Qué hacer

Si recibes un correo electrónico como este, simplemente elimínalo. La forma más segura de gestionar la renovación de cualquier dominio es muy sencilla:

  • No hagas clic en el enlace del correo electrónico. Accede a la página de tu proveedor de registro a través de tus propios marcadores o escribiendo la dirección tú mismo, y comprueba allí la fecha de caducidad real. Si has hecho clic en el enlace, cierra la página. El simple hecho de verla no pone en riesgo tu dominio.
  • Averigua quién es tu registrador. La renovación se realiza a través de la cuenta que ya tienes, no en una página web de la que nunca has oído hablar.
  • Considera la urgencia como una señal de alerta, no como una razón para apresurarte. Las renovaciones auténticas no son emergencias de quince minutos.
  • Comprueba quién es el remitente. Los avisos de facturación procedentes de una dirección de Gmail o con un nombre de marca que no coincida con el de tu proveedor real son señales de alerta.
  • Malwarebytes Browser Guard es gratuito y puede ayudarte a bloquear páginas fraudulentas y de phishing mientras navegas.

Si ya has introducido datos personales (como tu nombre, dirección, número de teléfono o dirección de correo electrónico):

  • Prepárate para posibles estafas posteriores. Los estafadores pueden ponerse en contacto contigo por teléfono o correo electrónico, haciéndose pasar por tu registrador o haciendo referencia a tu dominio, a un «pedido» o a una «renovación».
  • No confíes en llamadas ni correos electrónicos no solicitados, aunque parezcan conocer detalles sobre tu dominio.
  • Si necesitas ponerte en contacto con tu registrador o con tu banco, utiliza los datos de contacto que figuran en su página web oficial, no los que aparecen en el correo electrónico o en la página fraudulenta.

Si has introducido los datos de tu tarjeta de pago:

Activa las alertas de transacciones para que se te avise en cuanto se utilice tu tarjeta.

Ponte en contacto con tu banco o con la entidad emisora de la tarjeta inmediatamente. Explícales que has introducido los datos de tu tarjeta en una página web fraudulenta y pregúntales si te recomiendan bloquear y sustituir la tarjeta, aunque todavía no hayas detectado ningún cargo no autorizado.

Vigila tu cuenta de cerca. A veces, los estafadores realizan pequeños cargos «de prueba» antes de intentar transacciones de mayor cuantía.

Indicadores de compromiso

  • renovarix[.]org — página falsa de renovación de dominio
  • xe54ghj[.]com — redireccionador
  • paysuccessful[.]site — página de registro de datos personales
  • molipy8trk[.]com — redireccionador
  • topprogressstores[.]online — Página de destino de la oferta final

No nos limitamos a informar de las amenazas: las eliminamos

Los riesgos de ciberseguridad nunca deben propagarse más allá de un titular. Mantenga las amenazas alejadas de sus dispositivos descargando Malwarebytes hoy mismo.

Acerca del autor

Stefan Dasic

Stefan Dasic

Apasionado de las soluciones antivirus, Stefan ha participado desde muy joven en pruebas de malware y control de calidad de productos antivirus. Como parte del equipo de Malwarebytes , Stefan se dedica a proteger a los clientes y garantizar su seguridad.

ÚLTIMOS ARTÍCULOS

Bichos
PixelSmash

La vulnerabilidad «PixelSmash» convierte los archivos de vídeo en herramientas de ataque

Junio 24, 2026

Unos investigadores han descubierto un fallo crítico en FFmpeg que podría permitir a los atacantes utilizar un archivo de vídeo malicioso para comprometer sistemas vulnerables.

Producto
Un lobo con piel de cordero

Ten cuidado con las estafas de renovación que se hacen pasar por Malwarebytes

Junio 24, 2026

Los estafadores están enviando avisos falsos de renovación de software en los que afirman que se te ha cobrado una suscripción. Algunos incluso se hacen pasar por Malwarebytes.

Estafas
Un joven se sentó con la cabeza en una mano y sosteniendo un teléfono en la otra.

Total a todos tus dispositivos». Los estafadores especializados en sextorsión vuelven a la carga

Junio 24, 2026

Afirman que tienen vídeos, malware y control total sobre tus dispositivos. A continuación te explicamos cómo analizar un correo electrónico de sextorsión como un investigador de seguridad, en lugar de como una víctima.

Añadir como fuente preferida en Google

Artículos relacionados

Icono de colaborador

Colaboradores

Icono del Centro de Amenazas

Centro de amenazas

Icono Podcasts

Podcast

Icono del glosario

Glosario

Icono de estafa

Estafas