Una campaña masiva de phishing que utiliza funciones legítimas de Meta Business Suite y el dominio facebookmail.com para enviar notificaciones falsas simulando proceder directamente de Meta, fue revelada por Check Point Software Technologies Ltd., una de las firmas de ciberseguridad más importantes a nivel global.
La nueva técnica aprovecha la confianza depositada en una plataforma de renombre, y permite a los atacantes crear mensajes altamente convincentes que eluden los filtros tradicionales de seguridad.
Con más de 5.400 millones de usuarios globales, Facebook sigue siendo un canal esencial para pequeñas y medianas empresas, algo que convierte a estas en blanco preferencial para los ciberdelincuentes.
Check Point detectó que más de 40.000 correos fraudulentos fueron enviados a más de 5.000 organizaciones en los Estados Unidos, Europa, Canadá y Australia.
Los sectores más afectados incluyen:
- automoción
- educación
- inmobiliario
- hostelería
- finanzas, todos altamente dependientes de Facebook para marketing y comunicación
Campaña de phishing masiva utiliza herramientas legítimas de Meta
El mecanismo del ataque inicia con la creación de páginas falsas de Facebook Business, que imitan logos y nombres oficiales.
Los ciberdelincuentes usan la función de invitaciones empresariales de la plataforma para enviar correos que aparentan ser alertas legítimas de Meta.
La clave de la campaña es que estos correos son enviados desde el dominio auténtico facebookmail.com, algo que les confiere una credibilidad inmediata y dificulta su detección automática.
Los mensajes copiaban fielmente las notificaciones oficiales, incluyendo frases como "Acción requerida: estás invitado a unirte al programa de créditos publicitarios gratuitos" o "Verificación de cuenta requerida".
Cada correo contiene enlaces maliciosos camuflados que redirigen a sitios fraudulentos, con el objetivo de robar credenciales e información sensible.
La eficacia de esta técnica fue comprobada internamente por los investigadores replicando la maniobra en un experimento controlado.
Funcionalidades legítimas explotadas para engañar a pymes
Datos de telemetría muestran que la mayoría de las organizaciones afectadas recibieron menos de 300 mensajes, aunque algunas llegaron a recibir más de 4.200.
La campaña fue diseñada para un gran alcance y alta tasa de clics, más que para ataques dirigidos específicos.
Las pequeñas y medianas empresas, así como algunas grandes compañías, fueron las principales víctimas debido a su uso intensivo de las plataformas Meta y la confianza generada por alertas legítimas frecuentes.
Esta modalidad de phishing es especialmente peligrosa porque utiliza servicios legítimos para generar confianza y evadir controles.
Check Point alertó que en vez de falsificar dominios, los atacantes explotan funciones reales, haciendo que capas tradicionales de defensa sean insuficientes.
Esta situación cuestiona la responsabilidad de las plataformas para mejorar protecciones y evitar que sus herramientas sean usadas con fines maliciosos.
Phishing sofisticado pone en riesgo la seguridad de empresas
La empresa recomendó a las organizaciones adoptar medidas preventivas, como formar a empleados para identificar correos sospechosos, incluso viniendo de fuentes aparentemente confiables.
También sugirió implementar detección avanzada basada en inteligencia artificial (IA) y análisis de comportamiento, activar la autenticación multifactor (MFA) y comprobar manualmente remitentes y URLs antes de hacer clic.
Es preferible acceder a plataformas oficiales directamente, evitando enlaces no solicitados.
Para defender a sus clientes, Check Point reforzó su motor SmartPhish para detectar y bloquear campañas de phishing relacionadas con Meta.
Gracias a IA y monitoreo continuo, pueden anticipar y bloquear correos fraudulentos que abusan de dominios legítimos antes de que lleguen a usuarios finales.
Medidas y tecnología para proteger a las pymes frente a phishing
Los expertos advierten que el phishing evoluciona y deja atrás solo depender del filtro tradicional.
Promueven un enfoque integral que se base en la prevención, el análisis contextual y el comportamiento para anticipar amenazas antes de que causen daño.
La combinación del uso de servicios legítimos con técnicas de ingeniería social amplifica el peligro que representa esta campaña para pequeñas y medianas empresas en todo el mundo.
