Check Point Research (CPR), la división de inteligencia de amenazas de Check Point Software Technologies Ltd., publicó recientemente su Ranking de Phishing de Marca correspondiente al cuarto trimestre de 2025. Los datos obtenidos por la consultora internacional confirmaron que Microsoft volvió a ser la marca más suplantada, apareciendo en el 22 por ciento de todos los intentos de phishing registrados durante ese período. Este fenómeno mantuvo una tendencia que se extendió durante varios trimestres, en la cual los atacantes abusaron sistemáticamente de las plataformas empresariales y de consumo más utilizadas del mercado para robar credenciales de acceso inicial.

En el podio de las marcas más afectadas, Google ocupó el segundo lugar con el 13 por ciento de las incidencias, mientras que Amazon alcanzó el tercer puesto con un nueve por ciento. Según explicaron los analistas, el ascenso de la firma de comercio electrónico se debió principalmente a la intensa actividad comercial vinculada al Black Friday y la temporada de compras navideñas. Asimismo, tras varios trimestres de ausencia, la red social Facebook (Meta) volvió a ingresar en el top diez mundial y alcanzó el quinto puesto, lo que indicó un renovado interés de los atacantes en el robo de cuentas de redes sociales y la suplantación de identidad personal.

El ranking se completó con Apple en el cuarto lugar con un ocho por ciento, seguida por Facebook con el tres por ciento. En los últimos puestos de la lista se ubicaron PayPal, Adobe y Booking, cada una con un dos por ciento de los ataques, mientras que las firmas de logística y servicios profesionales DHL y LinkedIn cerraron el listado con un uno por ciento cada una. Los especialistas señalaron que el dominio persistente de Microsoft y Google reflejó su papel esencial en la gestión de la identidad, la productividad y los servicios en la nube, factores que convirtieron a sus credenciales en activos de alto valor para el cibercrimen organizado.

Las tácticas de los ciberdelincuentes y el impacto de la tecnología

Omer Dembinsky, director de investigación de datos de Check Point Research, analizó el panorama actual y aseguró que las campañas de phishing se volvieron extremadamente sofisticadas. Según el directivo, los delincuentes comenzaron a aprovechar imágenes pulidas y contenido generado por inteligencia artificial para crear dominios similares que resultan muy convincentes para el usuario promedio. El experto enfatizó que el hecho de que Microsoft y Google continuaran como objetivos principales demostró el valor estratégico que adquirió el acceso basado en la identidad para los perpetradores de estos ataques en entornos corporativos y domésticos.

Dembinsky puntualizó que el regreso de marcas como Facebook y PayPal a los primeros puestos puso de manifiesto la capacidad de rápida adaptación de los ciberdelincuentes. Estos actores se orientaron hacia plataformas donde la confianza y el sentido de urgencia pueden ser explotados con mayor facilidad. Para el director de investigación, las organizaciones y los usuarios particulares debieron enfrentar tácticas en constante evolución, lo que exigió la adopción de un enfoque preventivo que combinara la detección basada en tecnología de punta con medidas de seguridad tradicionales.

En este contexto, el especialista recomendó que las instituciones y empresas implementaran una autenticación robusta y programas de concienciación continua para sus integrantes. La sofisticación de las páginas de destino, que a menudo imitan fielmente los portales legítimos, hizo que la detección visual ya no fuera suficiente para garantizar la seguridad. La identidad digital se transformó en la principal superficie de ataque, especialmente en entornos que dependen de servicios en la nube para su funcionamiento cotidiano.

Finalmente, el informe de la división de inteligencia subrayó que las rutas de engaño ahora constan de varias etapas que parecen legítimas a los ojos de una persona desprevenida. Los atacantes recurrieron a desencadenantes emocionales como la urgencia por un supuesto problema técnico, la promesa de una recompensa o la simple familiaridad con una marca de uso diario. De esta manera, el phishing continuó sirviendo como un vector de acceso inicial clave, tanto para el fraude contra el consumidor final como para las brechas de seguridad que afectaron a grandes infraestructuras empresariales durante el cierre del año pasado.

Campañas dirigidas: de los videojuegos al streaming

Durante el cuarto trimestre de 2025, la división de inteligencia identificó diversas campañas específicas que ilustraron la diversidad de las víctimas buscadas. Uno de los casos más alarmantes fue el de la plataforma Roblox, donde se detectó una campaña de phishing dirigida a niños y jugadores jóvenes. El sitio malicioso se alojó en un dominio similar, denominado sutilmente para engañar a la vista, que se diferenciaba del original por el cambio de una sola letra. La página presentaba un juego falso con imágenes realistas y valoraciones que imitaban a los títulos más populares de la plataforma para atraer al público infantil.

El mecanismo de estafa en este caso funcionaba mediante una redirección. Cuando los usuarios intentaban acceder al juego falso, eran enviados a una segunda etapa que replicaba de forma exacta la interfaz oficial de inicio de sesión de Roblox. Las credenciales introducidas allí eran extraídas silenciosamente por los atacantes, mientras que el usuario permanecía en la pantalla sin recibir ninguna señal de que su seguridad había sido vulnerada. Este tipo de ataques demostró una falta de escrúpulos al apuntar a un segmento vulnerable como el de los menores de edad.

Por otro lado, la industria del entretenimiento también fue blanco de estos delitos. Los investigadores identificaron un sitio de phishing que suplantaba la identidad de Netflix bajo el pretexto de una supuesta "recuperación de cuenta". El dominio utilizado fue registrado en 2025, a diferencia del legítimo que data de 1997, pero la interfaz era tan similar que resultaba difícil distinguirla. El objetivo de los atacantes era recolectar correos electrónicos y contraseñas para la posterior reventa de perfiles en el mercado negro o para cometer fraudes financieros adicionales utilizando la información obtenida.

En el ámbito regional, se observó una campaña de Facebook (Meta) especialmente diseñada para el público hispanohablante. Los ciberdelincuentes distribuyeron correos electrónicos que dirigían a los usuarios a un portal de inicio de sesión presentado íntegramente en español. Esta localización del ataque aumentó las probabilidades de éxito, ya que el uso de una marca familiar y el idioma nativo reforzaron la apariencia de autenticidad. Los atacantes recopilaron direcciones de correo, números de teléfono y claves, lo que les permitió el acceso no autorizado a miles de cuentas personales en pocos meses.

Sobre el autor

El Eco IA

La inteligencia Artificial de El Eco, motorizada por Gemini