Redacción Digital Inside España
Check Point Research, la división de inteligencia de amenazas de Check Point Software Technologies, concluye que los ciberdelincuentes siguen recurriendo a la suplantación de marcas conocidas y que Microsoft continúa siendo el señuelo más utilizado. En el cuarto trimestre de 2025, Microsoft concentró el 22% de todos los intentos de phishing de marca registrados en el periodo, manteniéndose como la empresa más atacada a escala global.
Tras Microsoft, el informe sitúa a Google en segunda posición con un 13% y a Amazon en tercer lugar con un 9%. En el caso de Amazon, el ascenso se asocia en gran medida a la actividad vinculada a Black Friday y la temporada navideña. Un contexto que suele generar comunicaciones y compras urgentes y, con ello, más oportunidades para el engaño. Apple aparece a continuación con un 8% y, tras varios trimestres sin figurar entre los diez primeros, Facebook (Meta) vuelve al “top 10” global y se coloca en la quinta posición con un 3%, un movimiento que el informe interpreta como un aumento del interés por el control de cuentas en redes sociales y el robo de identidad.
Eusebio Nieva, director técnico de Check Point Software para España y Portugal, afirma: “las campañas de phishing son cada vez más sofisticadas, aprovechando elementos visuales pulidos, contenido generado por IA y dominios muy convincentes que imitan a los legítimos. El hecho de que Microsoft y Google sigan siendo los principales objetivos demuestra lo valioso que se ha vuelto el acceso basado en la identidad para los atacantes. Mientras tanto, el regreso de marcas como Facebook y PayPal subraya cómo los ciberdelincuentes se adaptan rápidamente, desplazándose hacia plataformas en las que la confianza y la urgencia pueden ser explotadas. Para contrarrestar estas tácticas en evolución, las organizaciones deben adoptar un enfoque preventivo que combine detección impulsada por IA con una autenticación sólida y una concienciación continua de los usuarios”.
Tres campañas observadas durante el trimestre
En el cuarto trimestre de 2025, Check Point Research identificó una campaña con temática de Roblox dirigida a atraer a niños y jugadores mediante un dominio imitador. El sitio malicioso estaba alojado en robiox[.]com[.]af, un dominio que se diferencia del legítimo roblox.com por un cambio sutil de letras. La página de entrada mostraba un supuesto juego titulado “SKIBIDI Steal a Brainrot”, con elementos visuales realistas, valoraciones y un botón de “Play” destacado, imitando de cerca uno de los juegos más populares de la plataforma para maximizar el atractivo. Al intentar acceder, el usuario era conducido a una segunda etapa: una página que replicaba el inicio de sesión oficial de Roblox. Las credenciales introducidas se recolectaban de forma silenciosa mientras el usuario permanecía en la misma pantalla, sin señales visibles de que se hubiera producido la captura.
El informe también documenta un intento de suplantación de Netflix que utilizaba la recuperación de cuentas como gancho para recolectar credenciales. El sitio se alojaba en netflix-account-recovery[.]com, actualmente inactivo, y el dominio fue registrado en 2025, frente al dominio legítimo netflix.com, que data de 1997. La página reproducía de forma muy similar los flujos de inicio de sesión y recuperación de cuenta, pidiendo correo electrónico o número de móvil y contraseña. El objetivo, según el análisis, era facilitar la toma de control de cuentas, con posibles usos posteriores como la reventa o el fraude.
En paralelo, Check Point Research detectó una campaña con temática de Facebook distribuida por correo electrónico y alojada en facebook-cm[.]github[.]io. La página suplantaba el portal de acceso de Facebook y estaba íntegramente en español, con elementos de marca, diseño y mensajes de autenticación familiares. Se solicitaba al usuario correo electrónico, número de teléfono y contraseña, que eran posteriormente recolectados para permitir accesos no autorizados y un posible abuso posterior.
El phishing de marca mantiene su eficacia porque se apoya en la confianza del usuario y en técnicas de imitación cada vez más convincentes, desde dominios con cambios mínimos de caracteres hasta recorridos de engaño en varias etapas que parecen legítimos. A ello se suman desencadenantes emocionales (urgencia, recompensa o simple familiaridad) que empujan a actuar sin verificar. Con la identidad como superficie de ataque predominante en entornos impulsados por la nube, el phishing continúa funcionando como un vector clave de acceso inicial, tanto en fraudes al consumidor como en brechas con impacto empresarial.
