Ir al contenido

Campaña de phishing con Meta

1. Qué ocurre


Se ha detectado una campaña de phishing dirigida a pequeñas y medianas empresas (PYMEs) en distintos países (EE.UU., Europa, Canadá, Australia).

Los atacantes utilizan la plataforma Meta Business Suite (antes Facebook Business) y correo legítimo desde el dominio “facebookmail.com” para aparentar notificaciones oficiales de Meta Platforms. 

Los mensajes falsos contienen asuntos urgentes (“Invitación de socio de agencia de Meta”, “Verificación de cuenta requerida”, etc.) y remiten a sitios fraudulentos diseñados para robar credenciales o información confidencial. 


2. ¿Por qué es relevante?


  • Utilizan el dominio legítimo “facebookmail.com” para evadir filtros de seguridad, lo cual reduce la detección automática de la campaña. 
  • Las organizaciones suelen usar Meta Business Suite para gestionar presencia digital, campañas de marketing o clientes; por tanto, la confianza que genera la marca se convierte en vector de ataque. 
  • La finalidad es el acceso a credenciales, lo que puede derivar en accesos no autorizados a herramientas de marketing, bases de datos de clientes, perfil de empresa, o incluso explotación con ransomware, filtración u otros usos maliciosos.
  • Implica un riesgo para la confidencialidad y la integridad de los datos, y por tanto es una incidencia relevante desde la perspectiva del RGPD.


3. Medidas recomendadas para las organizaciones


  • Verificar que cualquier correo recibido con “mensaje de Meta/Business Suite” provenga de una cuenta esperada. Revisar la dirección del remitente y evitar hacer clic en enlaces sin comprobar.
  • Actuar con especial cautela ante mensajes que generen urgencia o amenacen con suspensión de cuenta/promociones imposibles.
  • Implementar la autenticación de doble factor (2FA) en las cuentas de Meta Business y en cualquier herramienta asociada a la gestión de redes sociales.
  • Revisar los accesos concedidos en Meta Business: quién tiene permisos, nivel de privilegio, revocar los innecesarios.
  • Asegurar que las campañas de formación de usuarios incluyan este tipo de phishing dirigido a plataformas de marketing/digital.
  • Mantener actualizadas las herramientas de seguridad (filtros de correo electrónico, soluciones EDR/MDR, protección de identidad).
  • Establecer un plan de respuesta ante incidentes que contemple la suplantación de servicios de marketing/redes sociales.



Redactado por Elena, a fecha 25 de noviembre de 2025.





 

Compartir esta publicación
Etiquetas
Elena Phising Protección de datos
Nuestros blogs
Archivar
Sanción a un colegio por tratamiento inadecuado de imágenes y falta de control de los soportes en las que se tratan