Check Point Research (CPR), la división de inteligencia de amenazas de Check Point® Software Technologies Ltd. (NASDAQ: CHKP), pionera y líder mundial en soluciones de ciberseguridad, publicó su Ranking de Phishing de Marca para el cuarto trimestre de 2025. Los últimos resultados muestran que Microsoft volvió a ser la marca más suplantada, apareciendo en el 22 % de todos los intentos de phishing durante el trimestre. Esto continúa una tendencia que se ha extendido durante varios trimestres, en la que los atacantes abusan sistemáticamente de plataformas empresariales y de consumo ampliamente utilizadas para robar credenciales y obtener acceso inicial.
Google (13 %) y Amazon (9 %) ocuparon el segundo y tercer lugar, respectivamente. El ascenso de Amazon se debió principalmente a la actividad del Black Friday y la temporada navideña. Tras varios trimestres de ausencia, Facebook (Meta) volvió a entrar en el top 10 mundial, alcanzando el quinto puesto, lo que indica un mayor interés de los atacantes en el robo de cuentas en redes sociales y el robo de identidad.
Omer Dembinsky, director de investigación de datos de Check Point Research, afirma: ‘Las campañas de phishing son cada vez más sofisticadas, aprovechando imágenes pulidas, contenido generado por IA y dominios similares muy convincentes. El hecho de que Microsoft y Google sigan siendo los principales objetivos demuestra el valor que ha adquirido el acceso basado en la identidad para los atacantes. Mientras tanto, el regreso de marcas como Facebook y PayPal pone de manifiesto la rápida adaptación de los ciberdelincuentes, orientándose hacia plataformas donde se puede explotar la confianza y la urgencia. Para contrarrestar estas tácticas en constante evolución, las organizaciones deben adoptar un enfoque preventivo que combine la detección basada en IA con una autenticación robusta y la concienciación continua del usuario’.
Las 10 marcas más imitadas en el cuarto trimestre de 2025
- Microsoft – 22%
- Google – 13%
- Amazon – 9%
- Apple – 8%
- Facebook (Meta) – 3%
- PayPal – 2%
- Adobe – 2%
- Booking – 2%
- DHL – 1%
- LinkedIn – 1%
El dominio persistente de Microsoft y Google refleja su papel esencial en la identidad, la productividad y los servicios en la nube, lo que hace que las credenciales asociadas sean especialmente valiosas para los ciberdelincuentes.
Campañas de phishing observadas en el cuarto trimestre de 2025
Roblox: Phishing dirigido a niños y jugadores
En el cuarto trimestre de 2025, CPR identificó una campaña de phishing con temática de Roblox detectada a través de la actividad de navegación de los usuarios. El sitio malicioso estaba alojado en un dominio similar, robiox[.]com[.]af, que se diferenciaba del dominio legítimo roblox.com por una sutil sustitución de letras.
Página fraudulenta de juego de Roblox
La página de destino presentaba un juego falso de Roblox titulado ‘SKIBIDI Steal a Brainrot’, con imágenes realistas, valoraciones y un botón de ‘Jugar’ prominente. El contenido imitaba fielmente uno de los juegos más populares de Roblox y estaba claramente diseñado para atraer a los niños, un segmento clave de la base de usuarios de la plataforma.
Cuando los usuarios intentaban acceder al juego, eran redirigidos a una página de phishing de segunda etapa que replicaba la interfaz oficial de inicio de sesión de Roblox. Las credenciales introducidas en la página se extraían silenciosamente, mientras el usuario permanecía en la misma pantalla sin indicios visibles de vulnerabilidad.
Netflix: La recuperación de cuenta como señuelo
CPR también identificó un sitio de phishing que suplantaba la identidad de Netflix, alojado en netflix-account-recovery[.]com (actualmente inactivo). El dominio se registró en 2025, a diferencia del legítimo netflix.com, que data de 1997.
La página de phishing era muy similar a la interfaz oficial de inicio de sesión y recuperación de cuenta de Netflix, solicitando a los usuarios que ingresaran su correo electrónico o número de teléfono móvil y contraseña. El objetivo era claro: robar credenciales para apropiarse de la cuenta, lo que podría facilitar la reventa o cometer más fraudes.
Facebook (Meta): Robo de credenciales localizado
En otra campaña observada durante el cuarto trimestre de 2025, CPR detectó una página de phishing con temática de Facebook, distribuida por correo electrónico y alojada en facebook-cm[.]github[.]io. La página suplantaba el portal de inicio de sesión de Facebook y se presentaba completamente en español, con una imagen de marca, un diseño y solicitudes de autenticación familiares. Se solicitaba a los usuarios que ingresaran su dirección de correo electrónico, número de teléfono y contraseña, que posteriormente fueron recopilados por los atacantes para permitir el acceso no autorizado a la cuenta y posibles abusos posteriores.
¿Por qué el phishing de marca sigue teniendo éxito?
El phishing de marca sigue siendo eficaz porque aprovecha la confianza del usuario en servicios digitales familiares. Los atacantes recurren cada vez más a:
- Dominios similares con cambios sutiles de caracteres
- Páginas diseñadas profesionalmente que imitan flujos de inicio de sesión reales
- Rutas de engaño de varias etapas que parecen legítimas
- Desencadenantes emocionales como la urgencia, la recompensa o la familiaridad con la marca
A medida que la identidad se convierte en la principal superficie de ataque en los entornos actuales basados en la nube, el phishing continúa sirviendo como un vector de acceso inicial clave tanto para el fraude al consumidor como para las brechas de seguridad empresariales.
