Una nueva campaña de phishing (estafas virtuales) está poniendo en alerta a miles de empresas que usan Facebook para promocionar sus productos y servicios. Check Point Software identificó un ataque masivo que aprovecha funciones legítimas de Meta Business Suite y el dominio oficial facebookmail.com para enviar notificaciones falsas casi imposibles de distinguir de las reales. Esta técnica les permite a los ciberdelincuentes eludir filtros tradicionales y generar una sensación de total confianza en la víctima.
El impacto es enorme: más de 40.000 correos fraudulentos fueron enviados a más de 5.000 organizaciones en Estados Unidos, Europa, Canadá y Australia. Los sectores más afectados incluyen automoción, educación, inmobiliario, hostelería y finanzas, áreas donde Facebook sigue siendo clave para el marketing digital y la comunicación diaria con clientes.
La investigación detalla que el ataque comienza con la creación de páginas falsas de Facebook Business, diseñadas para parecer oficiales. Desde ahí, los atacantes usan la función real de invitaciones empresariales para enviar correos que imitan alertas legítimas. El truco más efectivo es que estos mensajes se envían desde facebookmail.com, un dominio auténtico, lo que les permite pasar desapercibidos ante la mayoría de los sistemas de seguridad.
Los correos incluyen asuntos que generan urgencia, como “Verificación de cuenta requerida” o “Acción requerida: estás invitado a unirte al programa de créditos publicitarios gratuitos”. Cada mensaje incorpora un enlace malicioso que redirige a sitios fraudulentos —alojados, por ejemplo, en vercel.app— creados para robar credenciales o información confidencial.
Según Check Point, el patrón de envío revela una campaña masiva más que ataques dirigidos. La mayoría de las organizaciones recibió menos de 300 correos, aunque un caso aislado llegó a registrar más de 4.200. Las pymes fueron las más afectadas, especialmente aquellas que usan de forma intensiva las herramientas de Meta.
La peligrosidad de la campaña radica en una tendencia creciente: el uso de servicios legítimos para generar confianza y evadir controles. Como explica Eusebio Nieva, director técnico de Check Point para España y Portugal, “el phishing está evolucionando y ya no alcanza con los filtros tradicionales”.
Recomendaciones clave para empresas
-
Capacitar al personal para detectar correos sospechosos, incluso si parecen oficiales.
-
Implementar análisis basado en comportamiento e inteligencia artificial.
-
Activar autenticación multifactor (MFA).
-
Verificar siempre remitentes y enlaces antes de hacer clic.
-
Acceder a Meta solo desde la plataforma oficial.
Check Point reforzó su herramienta SmartPhish para detectar este tipo de ataques que utilizan dominios legítimos, bloqueando los correos antes de que lleguen al usuario final.
Cerrar sesión