Campaña de ‘phishing’ explota Meta Business Suite para atacar pymes

MADRID, 11 Nov. (Portaltic/EP) – Un sofisticado ataque de ‘phishing’ está utilizando las funciones legítimas de Facebook Business Suite y el dominio facebookmail.com para enviar notificaciones fraudulentas a pequeñas y medianas empresas (pymes) en todo el mundo. El objetivo es claro: robar credenciales e información confidencial de estas organizaciones.

Facebook, con más de 5.400 millones de usuarios globales según datos de Statista, sigue siendo una de las redes sociales más influyentes. Su plataforma no solo es un canal de conexión social, sino también una herramienta de marketing esencial para pymes que buscan promocionarse y comunicarse con sus clientes.

El cebo de la confianza

La confianza que genera Facebook es precisamente lo que lo convierte en un objetivo atractivo para los cibercriminales. En esta reciente campaña, analizada por los investigadores de Check Point Software, se han enviado más de 40.000 correos fraudulentos a más de 5.000 organizaciones en Estados Unidos, Europa, Canadá y Australia. Aunque la mayoría de las organizaciones recibieron menos de 300 correos, una empresa en particular fue bombardeada con más de 4.200 mensajes.

Para hacer el engaño más convincente, los atacantes crearon páginas falsas de Facebook Business, utilizando logotipos y nombres que imitan a los oficiales de Meta. También emplearon la función de invitaciones empresariales de Facebook para enviar correos que aparentaban ser alertas legítimas.

El uso de dominios legítimos

El uso del dominio facebookmail.com, completamente legítimo, añadió una capa extra de credibilidad a estos correos, permitiéndoles evadir los mecanismos de detección automática. Según Check Point Software, los correos contenían mensajes urgentes como

“Acción requerida: estás invitado a unirte al programa de créditos publicitarios gratuitos”, “Invitación de socio de agencia de Meta” o “Verificación de cuenta requerida”

. Todos incluían enlaces maliciosos que redirigían a sitios web fraudulentos diseñados para robar datos sensibles.

Contexto y prevención

Este tipo de ataques no es nuevo, pero su sofisticación y el uso de dominios legítimos representan un desafío creciente para la seguridad cibernética. Según expertos en seguridad, las empresas deben estar alertas y educar a sus empleados sobre cómo identificar correos sospechosos. Además, implementar medidas de seguridad adicionales, como la autenticación de dos factores, puede ayudar a mitigar estos riesgos.

El analista de seguridad cibernética, Javier Martínez, comenta:

“Este tipo de ataques son cada vez más comunes y sofisticados. Las empresas deben invertir en formación y tecnología para protegerse adecuadamente.”

Mirando hacia el futuro

Con el auge de las plataformas digitales como Facebook para negocios, se espera que los cibercriminales continúen desarrollando nuevas tácticas para explotar estas herramientas. La colaboración entre empresas tecnológicas y expertos en seguridad será crucial para desarrollar soluciones efectivas que protejan a las pymes de estos ataques.

En conclusión, mientras las plataformas digitales continúan siendo un recurso invaluable para las empresas, también representan un campo de batalla constante contra el cibercrimen. La vigilancia y la educación continua serán esenciales para proteger los datos y la reputación de las organizaciones en el futuro.