Una campaña de phishing a gran escala que utiliza funciones legítimas de Meta Business Suite y del dominio facebookmail.com fue identificada por Check Point Software Technologies.
A partir de esas funciones, los ciberdelincuentes enviaron notificaciones falsas que simularon proceder directamente de Meta.
Esta técnica permite a los cibercriminales crear mensajes altamente convincentes, capaces de eludir filtros de seguridad tradicionales y aprovechar la confianza depositada en la plataforma de Mark Zuckerberg.
Eusebio Nieva, director técnico de Check Point Software para España y Portugal, explicó que "esta campaña demuestra hasta qué punto los ciberdelincuentes están sabiendo aprovechar los servicios y marcas más confiables para ejecutar sus ataques".
"El phishing está evolucionando, y ya no basta con depender de los filtros tradicionales. Las organizaciones deben adoptar un enfoque integral de seguridad, basado en la prevención, el análisis de contexto y el comportamiento, que les permita adelantarse a las amenazas antes de que causen daño", subrayó.
Según Statista, Facebook posee más de 5.400 millones de usuarios en todo el mundo y sigue siendo la red social más influyente como canal esencial de marketing para pequeñas y medianas empresas.
Su alcance y el nivel de confianza que genera la convierten en un objetivo prioritario para los ciberdelincuentes, por lo que cualquier campaña que abuse de su nombre puede tener consecuencias especialmente graves.
Check Point Software precisó que más de 40.000 correos fraudulentos fueron enviados a más de 5.000 organizaciones de:
Los sectores más afectados fueron automoción, educación, inmobiliario, hostelería y finanzas, todos ellos altamente dependientes de Facebook como canal de marketing y comunicación con sus clientes.
El ciberataque comienza con la creación de páginas falsas de Facebook Business, configuradas con logotipos y nombres que imitan a los oficiales de Meta.
Desde allí, los cibercriminales emplean la función de invitaciones empresariales de Facebook para enviar correos que aparentan ser alertas legítimas.
La clave de su eficacia reside en que estos mensajes se envían desde el dominio auténtico facebookmail.com, algo que les confiere una credibilidad inmediata y les permite evadir gran parte de los mecanismos de detección automática.
Se trata de correos extremadamente convincentes en los cuáles los mensajes reproducen con precisión las notificaciones legítimas de Meta e incluyen expresiones de urgencia como:
Cada correo contenía un enlace malicioso camuflado como notificación oficial, que redirigía a sitios web fraudulentos alojados en dominios como vercel.app, diseñados para robar credenciales e información confidencial.
Investigadores de Check Point Software validaron esta técnica mediante un experimento interno en el que crearon una página empresarial falsa y añadieron un mensaje con enlace.
Luego, los expertos aplicaron un logotipo similar al de Meta y utilizaron el propio sistema de invitaciones de la plataforma para enviar correos de prueba.
Según los datos de telemetría de Check Point Software muestran que se distribuyeron alrededor de 40.000 correos.
En ese contexto, la mayoría de las organizaciones recibió menos de 300 correos, aunque una sola empresa llegó a registrar más de 4.200 mensajes.
La repetición casi idéntica de los asuntos y el formato indica que se trató de una campaña masiva basada en plantillas, orientada a lograr el mayor alcance posible más que a ciberataques dirigidos o personalizados.
El ciberataque se dirigió sobre todo a pequeñas y medianas empresas (pymes), aunque también afectó a algunas grandes compañías.
los sectores más afectados fueron los que dependen de las plataformas de Meta para su actividad comercial, ya que sus equipos están habituados a recibir notificaciones legítimas y, por tanto, son más susceptibles de caer en el engaño.
La operación ilustra una tendencia creciente: los ciberdelincuentes están utilizando servicios legítimos para generar confianza y eludir los controles de seguridad.
Aunque el volumen de mensajes indica una estrategia de gran escala, la credibilidad del dominio de envío convierte estos ataques en una amenaza mucho más peligrosa que el spam convencional.
Los expertos de Check Point Software apuntaron tres conclusiones clave:
Aunque Meta debe abordar las vulnerabilidades que permiten este tipo de abusos, las empresas pueden adoptar medidas preventivas para reducir su exposición como, por ejemplo:
Para brindar mayor seguridad a sus clientes, Check Point anunció que reforzó SmartPhish, su motor de protección frente a phishing, para detectar y bloquear este tipo de campañas relacionadas con Meta.
Gracias al análisis continuo y a la inteligencia artificial aplicada, la compañía puede identificar de forma temprana los correos que abusan de dominios legítimos antes de que lleguen al usuario final.