Apple (11%) y Google (9%) ocuparon el segundo y tercer lugar respectivamente, reflejando el creciente valor de las credenciales asociadas a servicios de identidad y plataformas cloud. Amazon (7%) y LinkedIn (6%) completan el top 5, con este último destacando por el creciente interés de los atacantes en cuentas profesionales y accesos corporativos. En conjunto, las cuatro marcas más suplantadas concentraron cerca del 50% de todos los intentos observados durante el trimestre.

Emmanuel Ruiz director de canales Latam en Check Point, afirma: “los ataques de phishing siguen evolucionando tanto en escala como en sofisticación, aprovechando interfaces cada vez más realistas, manipulación sutil de dominios y una suplantación de marca altamente convincente. El hecho de que Microsoft, Apple y Google encabecen la clasificación demuestra lo crítico que se ha vuelto el acceso basado en la identidad y la nube para los atacantes. Al mismo tiempo, el auge de plataformas como LinkedIn subraya el interés creciente en entornos profesionales. Para hacer frente a estas amenazas, las organizaciones deben adoptar un enfoque preventivo que combine inteligencia de amenazas impulsada por IA con protección proactiva en correo electrónico, web y herramientas de colaboración”.

Las diez marcas más suplantadas en el primer trimestre de 2026 han sido:

1. Microsoft – 22%
2. Apple – 11%
3. Google – 9%
4. Amazon – 7%
5. LinkedIn – 6%
6. Dropbox – 2%
7. Facebook – 2%
8. WhatsApp – 1%
9. Tesla – 1%
10. YouTube – 1%

El protagonismo constante de las grandes marcas tecnológicas refleja hasta qué punto se han vuelto imprescindibles en nuestro día a día, especialmente en ámbitos como la identidad digital, la productividad o los servicios en la nube. Precisamente por eso, las credenciales vinculadas a estas plataformas se han convertido en un objetivo especialmente atractivo para los ciberdelincuentes.

Microsoft: robo de credenciales mediante abuso de subdominios

Durante el primer trimestre de 2026, Check Point Research identificó una campaña de phishing que suplantaba el servicio de autenticación de Microsoft mediante el uso de subdominios extensos que incorporaban el nombre de la marca dentro de una URL compleja. Esta técnica incrementa la probabilidad de que los usuarios no detecten el dominio fraudulento. La página mostraba una interfaz de inicio de sesión aparentemente legítima, pero con comportamientos inconsistentes, lo que indicaba un intento de recolección de credenciales.

PlayStation: fraude en tiendas online falsas

Check Point Research también detectó un sitio que se hacía pasar por una tienda oficial de PlayStation, ofreciendo descuentos promocionales para atraer a los usuarios. El proceso de compra culminaba solicitando pagos mediante transferencia bancaria directa, una señal clara de fraude. Además, la presencia de enlaces rotos y redirecciones reforzaba la naturaleza maliciosa del sitio.

WhatsApp: secuestro de cuentas mediante códigos QR

Otra campaña suplantaba WhatsApp Web a través de una página que replicaba fielmente su interfaz. Se pedía a los usuarios que escanearan un código QR, lo que podía vincular sus cuentas a sesiones controladas por los atacantes y permitir el acceso no autorizado a conversaciones y datos personales.

Adobe: distribución de malware a través de descargas falsas

En un incidente independiente, CPR descubrió un sitio que imitaba Adobe Acrobat y que ofrecía la descarga de un archivo malicioso. Este instalaba software de acceso remoto (RAT) y permitía a los atacantes controlar los sistemas infectados.

Por qué el phishing de marcas sigue teniendo éxito

El phishing de marcas continúa siendo eficaz porque explota la confianza de los usuarios en servicios digitales ampliamente utilizados. Para lograrlo, los atacantes recurren cada vez más a dominios complejos que imitan a los legítimos, junto con interfaces cuidadosamente diseñadas que replican procesos reales de autenticación. Además, emplean flujos de ataque en múltiples etapas que refuerzan la apariencia de legitimidad y combinan distintas técnicas, como el robo de credenciales, el fraude financiero y la distribución de malware, con el fin de incrementar su capacidad de éxito.

Mientras la identidad se consolida como la principal superficie de ataque en entornos digitales y cloud, el phishing sigue siendo uno de los vectores clave de acceso inicial, tanto en fraudes dirigidos a consumidores como en brechas de seguridad empresariales.

La estrategia de los atacantes se centra en paralizar líneas de producción, generando pérdidas millonarias por cada hora de inactividad y presionando a las empresas para pagar rescates. Estados Unidos lidera la lista de países afectados con 713 casos, seguido de India, Alemania, Reino Unido y Canadá. México se posiciona como el sexto país con mayor incremento interanual, registrando un aumento del 80% en ciberataques semanales en el sector manufacturero.

El informe identifica a grupos como Akira, que alcanzó beneficios estimados de 244 millones de dólares en 2025; Qilin, especializado en el robo de propiedad intelectual y la exfiltración masiva de datos; y Play, conocido por desactivar defensas antes de ejecutar el cifrado.

Entre los principales vectores de ataque destacan la explotación de vulnerabilidades en sistemas OT (32%), campañas de phishing potenciadas con inteligencia artificial (23%) y el abuso de accesos remotos. Además, los ciberdelincuentes han diversificado sus tácticas hacia el robo de datos, la extorsión sin cifrado y la interrupción de sistemas.

El impacto regional es significativo: Latinoamérica y Asia-Pacífico registran los mayores volúmenes de ataques, mientras que Europa muestra el crecimiento más acelerado. En Estados Unidos, el costo promedio por incidente alcanzó los 500,000 dólares, y en India el 65% de las empresas afectadas pagó rescates con una media de 1.35 millones de dólares.

De cara a 2026, Check Point advierte que las defensas tradicionales ya no son suficientes. Recomienda adoptar arquitecturas Zero Trust, acelerar la gestión de parches bajo el marco CTEM y reforzar la segmentación de redes para proteger entornos industriales cada vez más digitalizados y vulnerables.