Según el Brand Phishing Report de Check Point Research correspondiente al tercer trimestre de 2025, el 40% de todos los intentos de suplantación de marca durante el periodo se dirigieron a Microsoft, que se mantiene, por un amplio margen, como la empresa más atacada a nivel global.
Sin duda, las principales corporaciones tecnológicas siguen siendo los blancos preferidos de las operaciones de Brand phishing. Google se situó en la segunda posición, con un 9% de los intentos de suplantación de identidad asociados a marcas, mientras que Apple le siguió con un 6%. En total, estas tres compañías constituyeron más de la mitad de toda la actividad de phishing documentada durante el trimestre.
Después de varios periodos fuera del ranking, PayPal y DHL han vuelto a ubicarse dentro de las diez marcas más suplantadas, alcanzando el sexto y el décimo puesto, respectivamente. Su retorno indica un renovado interés por parte de los delincuentes cibernéticos en las plataformas de servicios financieros y en las empresas de mensajería, áreas donde la confianza y la percepción de urgencia son fácilmente influenciables.
El ámbito de la tecnología fue el más afectado por suplantaciones en general, seguido por las redes sociales y el comercio minorista. Esto evidencia que los criminales cibernéticos utilizan los servicios digitales de los cuales la gente depende en su vida cotidiana. Las diez marcas más suplantadas durante el tercer trimestre de 2025 son:
· Microsoft: 40%.
· Google: 9%.
· Apple: 6%.
· Spotify: 4%.
· Amazon: 3%.
· PayPal: 3%.
· Adobe: 3%.
· Booking: 2%.
· LinkedIn: 2%.
· DHL: 2%.
Los investigadores de Check Point detectaron recientemente una página web fraudulenta hospedada en dhl-login-check[. ]org, con la intención de simular el verdadero portal de inicio de sesión de DHL, replicando incluso su logo y diseño. La meta era evidente: generar una fachada convincente que incitara a los usuarios a ingresar sus datos, incluyendo credenciales, correos electrónicos, números de teléfono y direcciones físicas. Para las personas afectadas, la situación parecía casi rutinaria, semejante a una forma de rastrear un paquete, mientras que su información personal era extraída sin que se dieran cuenta.
En una situación comparable, Check Point Research detectó otro portal de phishing en paypal-me[.]icu, que pretendía ser un servicio legítimo de PayPal. Los delincuentes cibernéticos utilizaron tácticas de manipulación social para ofrecer recompensas ficticias, incitando a los usuarios a hacer clic y proporcionar sus credenciales, contraseñas e incluso información de sus tarjetas de crédito.
Al mezclar la imagen reconocible de marcas en las que se confía con elementos emocionales como la necesidad de actuar rápidamente o la oferta de un beneficio, los delincuentes cibernéticos siguen desdibujando la línea que separa lo auténtico de lo engañoso en el entorno digital.
Mientras las tácticas de brand phishing se tornan más elaboradas y engañosas, es fundamental anticiparse a la acción de los ciberdelincuentes. Las personas y las organizaciones pueden reducir su riesgo siguiendo las siguientes recomendaciones:
- Activar la autenticación multifactor (MFA) en todas las cuentas para agregar una capa crítica de seguridad adicional.
- Revisar minuciosamente las direcciones URL y los remitentes de correo electrónico antes de hacer clic o facilitar información personal, aunque el mensaje parezca provenir de una marca conocida.
- Capacitar a los trabajadores a través de programas periódicos de concienciación sobre phishing, que les ayuden a identificar correos engañosos y páginas falsas de inicio de sesión.
- Aplicar herramientas de protección avanzadas, como Check Point Harmony Email & Collaboration, que utiliza Inteligencia Artificial para bloquear los correos de phishing antes de que lleguen a la bandeja de entrada.
