Suplantan a Meta de Zuckerberg: la estafa roba contraseñas de pequeñas y medianas empresas en todo el mundo

El uso de notificaciones falsas que aparentan provenir de Meta ha permitido a ciberdelincuentes lanzar una campaña de phishing dirigida a pequeñas y medianas empresas en todo el mundo, con el objetivo de robar contraseñas y datos confidenciales.

Esta operación, que se apoya en funciones legítimas de Facebook Business Suite y el dominio facebookmail.com, ha logrado eludir los sistemas automáticos de detección y ha puesto en riesgo la seguridad de miles de organizaciones.

La investigación realizada por Check Point Software, reveló que más de 5.000 empresas de sectores diversos en Estados Unidos, Europa, Canadá y Australia han sido blanco de esta campaña.

Los atacantes enviaron más de 40.000 correos fraudulentos, aunque la mayoría de las organizaciones recibió menos de 300 mensajes, mientras que una sola empresa llegó a contabilizar más de 4.200 intentos.

Los mensajes, enviados desde el dominio facebookmail.com, un canal legítimo de comunicación de Meta, incrementaron la credibilidad de la estafa y dificultaron su detección por parte de los filtros automáticos.

Para aumentar la eficacia del engaño, los responsables de la campaña crearon páginas falsas de Facebook Business que imitaban los logotipos y nombres oficiales de Meta. Utilizaron la función de invitaciones empresariales de Facebook para enviar correos electrónicos que simulaban alertas auténticas.

Los mensajes incluían frases como “Acción requerida: estás invitado a unirte al programa de créditos publicitarios gratuitos”, “Invitación de socio de agencia de Meta” o “Verificación de cuenta requerida”, acompañadas de links maliciosos que redirigían a sitios web falsos diseñados para capturar credenciales e información sensible.

El director técnico de Check Point Software para España y Portugal, Eusebio Nieva, destacó la sofisticación de la campaña y la capacidad de los atacantes para explotar la confianza en marcas reconocidas.

“Esta campaña demuestra hasta qué punto los ciberdelincuentes están sabiendo aprovechar los servicios y marcas más confiables para ejecutar sus ataques”, afirmó Nieva en declaraciones recogidas en una nota de prensa.

Además, subrayó la necesidad de que las organizaciones adopten “un enfoque integral de seguridad, basado en la prevención, el análisis de contexto y el comportamiento, que les permita adelantarse a las amenazas antes de que causen daño”.

Ante este tipo de amenazas, Meta sugiere prestar especial atención a los mensajes o correos sospechosos, sobre todo aquellos que soliciten dinero, ofrezcan regalos o amenacen con eliminar o bloquear la cuenta.

La compañía recuerda que cualquier comunicación oficial solo se enviará desde dominios o subdominios verificados, como fb.com, facebook.com, facebookmail.com, instagram.com, meta.com o metamail.com. No obstante, con el avance de las estafas puede que estos dominios sean en ocasiones suplantados.

Asimismo, Meta aconseja no hacer clic en enlaces sospechosos ni responder a mensajes que soliciten contraseñas, números de seguridad social o información de tarjetas de crédito. Para reforzar la seguridad, sugiere activar la autenticación en dos pasos y recibir alertas sobre accesos no autorizados.

En caso de haber introducido datos personales en un enlace fraudulento, Meta sugiere restablecer la contraseña y cerrar la sesión en todos los dispositivos ajenos si aún se puede acceder a la cuenta.

Si el acceso ya no es posible, la empresa orienta a los usuarios a recurrir al Servicio de ayuda de Instagram o Facebook, para intentar recuperar el control de la cuenta.

Es necesario realizar el proceso de recuperación y validación en el momento que se detecta el riesgo para evitar que extraños utilicen esa cuenta para cometer diferentes delitos y dañar la reputación del usuario con familiares, amigos o comercios.