Una campaña global de ‘phishing’ ha logrado burlar los filtros de seguridad tradicionales al aprovechar herramientas legítimas de Meta Business Suite y el dominio oficial facebookmail.com, con el objetivo de engañar a pequeñas y medianas empresas y robar sus credenciales.
Facebook, con más de 5,400 millones de usuarios en todo el mundo, según datos de Statista, continúa siendo una de las redes sociales más utilizadas y una plataforma clave para pequeñas empresas que la emplean para promocionar sus productos, interactuar con clientes y gestionar su presencia digital. Esta confianza es precisamente lo que ha sido explotado por los ciberdelincuentes.
La firma de ciberseguridad Check Point Software identificó esta campaña fraudulenta dirigida contra más de 5,000 empresas en países como Estados Unidos, Canadá, Australia y varias naciones europeas. Se enviaron más de 40,000 correos electrónicos maliciosos, siendo que la mayoría de las víctimas recibió menos de 300 mensajes, aunque una sola compañía fue bombardeada con más de 4,200 correos.
Los atacantes crearon páginas falsas en Facebook Business que simulaban ser perfiles oficiales de Meta, copiando logotipos, nombres y elementos visuales para fortalecer la credibilidad del engaño. Usaron la función de invitaciones empresariales para enviar notificaciones que aparentaban provenir de la misma plataforma.
Además, al utilizar el dominio facebookmail.com, completamente legítimo, los correos fraudulentos lograron evadir los filtros automáticos de seguridad. Los mensajes incluían frases como “Acción requerida: estás invitado a unirte al programa de créditos publicitarios gratuitos”, “Invitación de socio de agencia de Meta” o “Verificación de cuenta requerida”, acompañados de enlaces que redirigían a sitios diseñados para robar información confidencial.
“Esta campaña demuestra hasta qué punto los ciberdelincuentes están sabiendo aprovechar los servicios y marcas más confiables para ejecutar sus ataques”, advirtió Eusebio Nieva, director técnico de Check Point Software para España y Portugal. Añadió que las organizaciones deben adoptar medidas preventivas y análisis de comportamiento para adelantarse a estas amenazas.