Check Point Software. Foto: Portal ERP Colombia.
Una nueva campaña global de phishing está utilizando las herramientas legítimas de Meta Business Suite y el dominio facebookmail.com para engañar a pequeñas y medianas empresas (pymes), en una operación que ya ha afectado a organizaciones en Estados Unidos, Europa, Canadá y Australia.
La alerta fue emitida por investigadores de Check Point Software, quienes advierten que esta modalidad representa una de las amenazas más sofisticadas detectadas recientemente, al abusar de la infraestructura oficial de Meta para distribuir correos falsos que parecen auténticos.
De acuerdo con los análisis de Check Point, se enviaron más de 40.000 correos electrónicos de phishing a alrededor de 5.000 organizaciones, principalmente en sectores como automoción, educación, inmobiliario, hostelería y finanzas.
Los mensajes, enviados desde el dominio legítimo facebookmail.com, simulaban notificaciones oficiales con asuntos como “Invitación a socio de Meta Agency” o “Se requiere verificación de cuenta”. Al hacer clic en los enlaces, las víctimas eran redirigidas a sitios falsos alojados en vercel.app, diseñados para robar credenciales y datos sensibles.
Cómo operan los ciberdelincuentes
El ataque comienza cuando los delincuentes crean páginas falsas de empresas en Facebook que imitan la identidad visual de Meta. Luego, utilizan la función de invitación para empresas de Facebook Business Suite para enviar mensajes de phishing que parecen invitaciones legítimas o alertas administrativas.
“Esta campaña demuestra el ingenio de los atacantes, que ahora se esconden detrás de dominios auténticos para ganar credibilidad y eludir los filtros tradicionales de seguridad”, explicó Ángel Salazar, gerente de Ingeniería de Canales en América Latina de Check Point Software. Añadió, que el simple hecho de que los mensajes provengan de facebookmail.com hace que muchos usuarios bajen la guardia y los sistemas automatizados no los bloqueen.
Los investigadores realizaron un experimento interno para comprobar la vulnerabilidad: crearon una página empresarial falsa, configuraron un mensaje con un enlace malicioso y usaron la función de invitación de Facebook para enviarlo. El resultado fue alarmante: los correos llegaron desde el dominio oficial, pasando desapercibidos ante los filtros antispam.
Te puede interesar: Check Point nombra a Jonathan Zanger como CTO para impulsar IA y ciberseguridad
Una campaña masiva y preocupante
Según los datos de Check Point, la mayoría de las empresas recibió entre 100 y 300 mensajes, aunque en algunos casos se registraron más de 4.200 correos en una sola organización. La magnitud y repetición de los envíos sugiere una operación masiva basada en plantillas automatizadas, más que un ataque dirigido de tipo spear phishing.
Los expertos señalan que esta tendencia pone de manifiesto una evolución preocupante en las tácticas de los ciberdelincuentes, quienes utilizan servicios legítimos para lanzar ataques y evadir la detección. “Ya no basta con evitar correos de remitentes sospechosos; ahora los ataques provienen de servicios en los que las empresas confían”, enfatizó Salazar.
Consejos de protección para las organizaciones
Check Point recomienda a las empresas fortalecer su conciencia de seguridad y adoptar mecanismos avanzados de detección, especialmente en periodos de alta actividad comercial o publicitaria. Entre las medidas más efectivas:
-
Capacitar a los empleados para reconocer solicitudes inusuales, incluso si provienen de fuentes confiables.
-
Implementar soluciones de detección basadas en IA, capaces de analizar el comportamiento de los mensajes.
-
Habilitar la autenticación multifactor (MFA) para mitigar el impacto en caso de robo de credenciales.
-
Verificar siempre el dominio y la URL antes de hacer clic en enlaces, accediendo directamente desde la página oficial de Meta Business.
La compañía confirmó que su herramienta SmartPhish ya ha sido actualizada para identificar este tipo de ataques basados en servicios de Meta y bloquearlos antes de que lleguen al usuario final.
Una amenaza en evolución
“El phishing está dejando atrás los correos falsificados para aprovechar la infraestructura de plataformas confiables”, advirtió Salazar.
Asímismo, aseguró que esto los obliga a evolucionar la defensa, ya no basta con filtrar correos o bloquear dominios, es necesiario analizar la intención, el comportamiento y el contexto detrás de cada mensaje.
Con más de 5.400 millones de usuarios activos en las plataformas de Meta, el impacto potencial de estas campañas es enorme. La alerta de Check Point subraya que la confianza en las grandes plataformas digitales también puede ser un arma de doble filo, y que la ciberseguridad debe evolucionar al mismo ritmo que lo hacen los ataques.
