Las pequeñas y medianas empresas vuelven a ser blanco de una de las tácticas más sofisticadas de phishing detectadas en los últimos meses.
Según un informe de Check Point Software, ciberdelincuentes están utilizando funciones legítimas de Meta Business Suite y el dominio real facebookmail.com para enviar correos falsos que simulan provenir directamente de la compañía.
La estrategia permite generar mensajes altamente convincentes, capaces de evadir filtros tradicionales y explotar la confianza que millones de usuarios depositan en una de las plataformas más utilizadas del mundo.
Con más de 5.400 millones de usuarios según Statista, Facebook continúa siendo un canal clave para pymes y anunciantes, lo que amplifica el impacto de este tipo de campañas.
La investigación de Check Point Software revela que se enviaron más de 40.000 correos fraudulentos a unas 5.000 organizaciones.
Los sectores más afectados fueron automoción, educación, inmobiliario, hostelería y finanzas, todos muy dependientes de Facebook como parte central de su estrategia comercial.
El ataque comienza con la creación de páginas falsas de Facebook Business que reproducen nombres, logos y estética de Meta. Desde allí, los criminales utilizan la función oficial de invitaciones empresariales para remitir correos que lucen idénticos a las notificaciones legítimas.
La clave: estos mensajes se envían desde facebookmail.com, un dominio auténtico y validado. Esto les otorga credibilidad inmediata y dificulta su detección por filtros basados en reputación del remitente.
Los mensajes incluyen llamados de urgencia que replican el estilo de Meta, como:
"Acción requerida: estás invitado a unirte al programa de créditos publicitarios gratuitos"
"Invitación de socio de agencia de Meta"
"Verificación de cuenta requerida"
Cada correo contiene un enlace malicioso que redirige a sitios fraudulentos, muchos alojados en dominios como vercel.app, diseñados para robar credenciales e información sensible.
Los investigadores incluso replicaron la técnica creando una página falsa y enviando notificaciones reales a través del sistema interno de invitaciones, validando que el ataque se basa en aprovechar herramientas de Meta y no en falsificarlas.
Los datos de telemetría de Check Point muestran que la mayoría de las empresas recibió menos de 300 correos, aunque algunas organizaciones alcanzaron picos de más de 4.200 mensajes.
La repetición casi idéntica de asuntos y estructura indica que se trató de una campaña masiva basada en plantillas, no de ataques personalizados.
Si bien el objetivo principal fueron pymes, también hubo grandes compañías afectadas.
Para los sectores que dependen de Meta para interactuar con clientes, este tipo de mensajes se mezclan fácilmente con notificaciones genuinas.
Los expertos de Check Point identifican tres factores que la vuelven especialmente crítica:
Explotación de confianza: los atacantes ya no imitan dominios, sino que usan funciones reales de plataformas masivas.
Evasión de defensas: al provenir de un dominio legítimo, muchos filtros automatizados fallan.
Responsabilidad de plataformas: la campaña evidencia la necesidad de que servicios como Meta refuercen sus herramientas empresariales para evitar abusos.
"Esta campaña demuestra hasta qué punto los ciberdelincuentes están sabiendo aprovechar los servicios y marcas más confiables para ejecutar sus ataques", alertó Eusebio Nieva, director técnico de Check Point Software para España y Portugal. "El phishing está evolucionando, y ya no basta con depender de los filtros tradicionales. Las organizaciones deben adoptar un enfoque integral de seguridad que les permita adelantarse a las amenazas".
Check Point destaca una serie de recomendaciones para reducir el riesgo:
Capacitar a empleados para identificar mensajes sospechosos, incluso cuando provengan de dominios reales.
Implementar detección avanzada basada en análisis de comportamiento e IA.
Activar autenticación multifactor (MFA).
Revisar remitentes y enlaces, verificando que los dominios coincidan con la plataforma.
Evitar clics en enlaces no solicitados y acceder directamente desde páginas oficiales.