Check Point Software alerta sobre el abuso de plataformas SaaS a gran escala: nueva campaña de estafas telefónicas

 

 Esta campaña ha generado más de 130.000 correos de phishing y ha afectado a más de 20.000
empresas a nivel mundial
 Microsoft, Zoom, Amazon, PayPal, YouTube y Malwarebytes figuran entre las marcas que han sido
objeto de abuso o suplantación
Bogotá, febrero 6 de 2026 – Check Point® Software Technologies Ltd. (NASDAQ: CHKP), pionero y líder
global en soluciones de ciberseguridad, ha descubierto una sofisticada campaña de phishing que utiliza de
forma malintencionada plataformas SaaS (Software-as-a-Service) legítimas para distribuir estafas telefónicas
de alta credibilidad.
A diferencia de los ataques tradicionales, los atacantes instrumentalizan las funciones nativas de servicios en
la nube para heredar la confianza, reputación y autenticación de proveedores de renombre. Esta campaña
ya ha generado aproximadamente 133.260 correos electrónicos de phishing, y ha afectado a 20.049
empresas a nivel mundial. Microsoft, Zoom, Amazon, PayPal, YouTube y Malwarebytes figuran entre las
marcas que han sido objeto de abuso o suplantación.
La compañía ha detectado un cambio en las tácticas de los ciberdelincuentes. En lugar de incluir enlaces
sospechosos, ahora aprovechan flujos de trabajo legítimos de SaaS en lugar de dominios falsos o enlaces
maliciosos. Insertan contenido fraudulento en campos controlados por los usuarios, que luego se muestran
en notificaciones del sistema, generando correos desde dominios de alta reputación que pasan todas las
verificaciones de autenticación y parecen comunicaciones rutinarias, lo que dificulta su detección
automática y reduce la sospecha del usuario.
Además, el uso creciente de llamadas telefónicas dirigidas por los atacantes permite eludir análisis de URL y
sistemas de reputación de enlaces, transfiriendo la fase final del ataque a la ingeniería social por voz. La
concentración de estos ataques en los últimos tres meses indica que los atacantes consideran el abuso de
SaaS como un método escalable, de bajo esfuerzo y alto retorno.
Check Point Software ha identificado tres métodos principales diseñados para que el mensaje fraudulento
sea indistinguible de una comunicación rutinaria:
 Manipulación de metadatos: los ciberdelincuentes explotaron campos controlados por el usuario en
plataformas SaaS, mediante la inserción de contenido fraudulento en nombres de cuenta o atributos
de perfil. La plataforma generó correos legítimos con este contenido, usando su infraestructura y
manteniendo la reputación y formato auténticos. Plataformas como Zoom, PayPal, YouTube y
Malwarebytes se han utilizado para esto. Los correos se redistribuyeron a gran escala, generalmente
con mensajes urgentes sobre facturación o cuentas, e instruyeron a llamar a números de soporte
controlados por los atacantes.

Ejemplo de un correo de phishing generado mediante el Método 1.

©2025 Check Point Software Technologies Ltd. All rights reserved | P. 2​​

 Notificaciones de Microsoft: los atacantes abusaron de los flujos de notificaciones legítimas de
Microsoft en varios productos para enviar estafas basadas en llamadas telefónicas. Crearon o
controlaron un tenant válido y configuraron servicios para generar correos automáticos.
Introdujeron contenido fraudulento en campos controlados por el usuario, que aparece
directamente en el asunto o cuerpo del mensaje. Los correos se envían desde la infraestructura
oficial de Microsoft, totalmente autenticados y difíciles de distinguir de comunicaciones reales. Así
evitan enlaces maliciosos y trasladan el engaño final a la ingeniería social por voz.

Ejemplo de una notificación de cuenta o suscripción de Microsoft utilizando el método 2.

 Invitaciones de Amazon Business: los ciberdelincuentes también explotaron flujos de invitación de
negocios específicos de plataformas, como Amazon Business. Insertaron texto fraudulento en
campos controlados por el usuario, incluyendo cargos falsos y números de soporte. Amazon mostró
directamente este contenido en el asunto y cuerpo del correo de invitación. Los mensajes se
enviaron a gran escala mediante Amazon SES, pasando todas las verificaciones de autenticación. Así,
los correos parecían notificaciones legítimas de Amazon Business sin necesidad de infraestructura de
correo propia.

Ejemplo de un correo electrónico de phishing generado mediante el método 3.

Los sectores más afectados por el abuso de SaaS y phishing han sido principalmente Tecnología, SaaS y TI
(26,8%), seguidos de Manufactura, Industria, Ingeniería y Construcción (21,4%) y el ámbito empresarial B2B
no específico de un sector (18,9%). También han sufrido Educación (12,1%), Finanzas, Banca y Seguros
(7,4%), Gobierno y sector público (6,0%) y Salud y Ciencias de la Vida (4,2%). Los servicios profesionales,
minoristas, energía y otros sectores han representado porcentajes menores, evidenciando que los ataques
se concentran sobre todo en industrias con alta dependencia de plataformas digitales y SaaS.
A nivel geográfico, aunque el 66,9% de las empresas afectadas tiene su sede en Estados Unidos, Europa
representa el 17,8% del impacto total. En la región de LATAM (2,6%), Brasil (41%) y México (29%) encabezan
la lista de países afectados.
Esta campaña demuestra que los atacantes están aprovechando cada vez más las plataformas SaaS
confiables y los flujos de notificaciones nativos para distribuir estafas telefónicas a gran escala. A medida que
los servicios en la nube continúan dominando la comunicación empresarial, los defensores deben reconocer
que los correos electrónicos que parecen auténticos de marcas confiables no son inherentemente seguros y
deben considerar el uso indebido contextual de servicios legítimos.
Acerca de Check Point Software Technologies Ltd.
Check Point Software Technologies Ltd. es un proveedor líder en soluciones de ciberseguridad en la nube basadas en IA que protege a más de 100.000
empresas a nivel mundial. Check Point Software aprovecha el poder de la IA en todos los ámbitos para mejorar la eficiencia y precisión de la ciberseguridad a
través de su Plataforma Infinity, con tasas de detección líderes en la industria que permiten una anticipación proactiva a las amenazas y tiempos de respuesta
más ágiles e inteligentes. La plataforma integral incluye soluciones cloud compuestas por Check Point Harmony para proteger el entorno laboral, Check Point

©2025 Check Point Software Technologies Ltd. All rights reserved | P. 3​​

CloudGuard para asegurar la cloud, Check Point Quantum para proteger la red y Check Point Infinity Core Services para operaciones y servicios de seguridad
colaborativos.
©2026 Check Point Software Technologies Ltd. Todos los derechos reservados.
Aviso legal sobre declaraciones prospectivas
Este comunicado de prensa contiene declaraciones prospectivas. Las declaraciones prospectivas generalmente se refieren a eventos futuros o a nuestro
desempeño financiero u operativo futuro. Las declaraciones prospectivas incluidas en este comunicado de prensa incluyen, pero no se limitan a, declaraciones
relacionadas con nuestras expectativas respecto al crecimiento futuro, la expansión del liderazgo de Check Point Software en la industria, la mejora del valor
para los accionistas y la entrega de una plataforma de ciberseguridad líder en la industria a clientes de todo el mundo. Nuestras expectativas y creencias sobre
estos temas pueden no materializarse, y los resultados o eventos futuros están sujetos a riesgos e incertidumbres que podrían hacer que los resultados reales o
los eventos difieran significativamente de los proyectados.
Las declaraciones prospectivas contenidas en este comunicado de prensa también están sujetas a otros riesgos e incertidumbres, incluyendo aquellos descritos
con mayor detalle en nuestros archivos ante la Comisión de Bolsa y Valores (SEC), incluyendo nuestro Informe Anual en el Formulario 20-F presentado ante la
SEC el 2 de abril de 2024. Las declaraciones prospectivas en este comunicado de prensa se basan en la información disponible para Check Point Software a la
fecha de este documento, y Check Point Software renuncia a cualquier obligación de actualizar cualquier declaración prospectiva, salvo que lo exija la ley.