Check Point Research (CPR) publicó su Ranking de Phishing de Marca para el cuarto trimestre de 2025.
Los resultados muestran que Microsoft volvió a ser la marca más suplantada, presente en el 22% de los intentos de phishing.
Los atacantes continúan abusando de plataformas empresariales y de consumo para robar credenciales y obtener accesos iniciales.
Google (13%) y Amazon (9%) ocuparon el segundo y tercer lugar. El ascenso de Amazon estuvo vinculado al Black Friday y la temporada navideña.
Tras varios trimestres de ausencia, Facebook volvió al top 10, señal de mayor interés en robo de cuentas y de identidad.
Omer Dembinsky, director de investigación de datos de Check Point Research, afirma: «Las campañas de phishing son cada vez más sofisticadas, aprovechando imágenes pulidas, contenido generado por IA y dominios similares muy convincentes. El hecho de que Microsoft y Google sigan siendo los principales objetivos demuestra el valor que ha adquirido el acceso basado en la identidad para los atacantes».
«Mientras tanto, el regreso de marcas como Facebook y PayPal pone de manifiesto la rápida adaptación de los ciberdelincuentes, orientándose hacia plataformas donde se puede explotar la confianza y la urgencia. Para contrarrestar estas tácticas en constante evolución, las organizaciones deben adoptar un enfoque preventivo que combine la detección basada en IA con una autenticación robusta y la concienciación continua del usuario», argegó.
Las 10 marcas más imitadas en el cuarto trimestre de 2025
- Microsoft – 22%
- Google – 13%
- Amazon – 9%
- Apple – 8%
- Facebook – 3%
- PayPal – 2%
- Adobe – 2%
- Booking.com – 2%
- DHL – 1%
- LinkedIn – 1%
El dominio de Microsoft y Google refleja su rol en identidad, productividad y nube, lo que vuelve muy valiosas sus credenciales para los ciberdelincuentes.
Campañas detectadas
Roblox: phishing dirigido a niños y jugadores
CPR identificó una campaña alojada en un dominio similar a Roblox. La página mostraba un juego falso titulado «SKIBIDI Steal a Brainrot», con estética y valoraciones realistas para atraer a menores.
Al intentar jugar, los usuarios eran redirigidos a una página de inicio de sesión falsa donde se robaban credenciales.
Netflix: recuperación de cuenta como señuelo
Se detectó un sitio que imitaba la recuperación de cuenta de Netflix para capturar correos, teléfonos y contraseñas, con fines de apropiación y reventa de cuentas.
Facebook: robo de credenciales localizado
Otra campaña distribuyó correos con enlaces a páginas falsas alojadas en GitHub, completamente en español, solicitando datos de acceso para tomar control de cuentas.
¿Por qué el phishing de marca sigue funcionando?
- Dominios con cambios sutiles de caracteres
- Páginas que imitan flujos reales de inicio de sesión
- Engaños en múltiples etapas
- Uso de urgencia, recompensa y familiaridad de marca
Con la identidad como principal superficie de ataque en entornos en la nube, el phishing sigue siendo un vector clave de acceso inicial para fraudes y brechas empresariales.
