Nueva campaña de phishing explota Meta Business Suite para atacar a pymes en EE. UU. y otros países

 

Bogotá, noviembre 11 de 2025 – Con más de 5.400 millones de usuarios en todo el mundo (según Statista),
Facebook sigue siendo la plataforma social más influyente del mundo y un canal de marketing crucial para
las pequeñas y medianas empresas. Su enorme alcance y la confianza que inspira su marca la convierten en
un objetivo principal para los atacantes, lo que significa que cuando una campaña de phishing abusa del
nombre de Facebook, las consecuencias pueden ser especialmente graves.
Investigadores de seguridad de correo electrónico pertenecientes a Check Point han descubierto
recientemente una campaña de phishing a gran escala que abusa de las funciones de Facebook Business
Suite y facebookmail.com para enviar notificaciones falsas convincentes que parecen provenir directamente
de Meta. Este método hace que sus campañas sean extremadamente convincentes, elude muchos filtros de
seguridad tradicionales y demuestra cómo los atacantes se aprovechan de la confianza depositada en
plataformas conocidas. Se distribuyeron más de 40.000 correos electrónicos de phishing a más de 5000
clientes, principalmente en EE. UU., Europa, Canadá y Australia, dirigidos a sectores que dependen en gran
medida de Facebook para la publicidad. Estos sectores incluyen automoción, educación, inmobiliario,
hostelería y finanzas.
Cómo funciona esta campaña
El ataque comienza con ciberdelincuentes creando páginas falsas de Facebook para empresas. Estas páginas
se modifican con logotipos y nombres que imitan fielmente la imagen de marca oficial de Facebook. Una vez
creadas, los atacantes utilizan la función de invitación para empresas para enviar correos electrónicos de
phishing que parecen alertas oficiales de Facebook.
Es fundamental destacar que estos mensajes se envían desde el dominio legítimo facebookmail.com. La
mayoría de los usuarios están acostumbrados a desconfiar de las direcciones de remitentes desconocidas,
pero en este caso, los correos electrónicos provienen de un dominio que conocen y en el que confían. Como
resultado, los mensajes de phishing son mucho más convincentes.
¿Qué hace que estos correos electrónicos sean tan peligrosos?
Los correos electrónicos se diseñaron para que parecieran idénticos a las notificaciones genuinas de
Facebook. Utilizaban un lenguaje urgente, como:
• «Acción requerida: Estás invitado a unirte al programa de crédito publicitario gratuito»
• «Invitación a socio de Meta Agency»
• «Se requiere verificación de cuenta»
Cada correo electrónico contenía un enlace malicioso disfrazado de notificación oficial de Facebook. Al hacer
clic, las víctimas eran redirigidas a sitios web de phishing, alojados en dominios como vercel.app, diseñados
para robar credenciales y otra información confidencial.

Imagen 1: Ejemplo de un correo electrónico de phishing real que detectamos.

©2025 Check Point Software Technologies Ltd. All rights reserved | P. 2​​

Para validar el método de ataque, nuestro equipo de investigación realizó un experimento interno que
demostró la facilidad con la que se puede abusar de la función de invitación de Facebook Business. Creamos
una página de empresa falsa, insertamos un mensaje y un enlace en su nombre, aplicamos un logotipo al
estilo de Facebook y utilizamos el mecanismo de invitación de la plataforma para distribuir mensajes de
prueba.

Imagen 2: Ejemplo del correo electrónico de phishing que un usuario recibió de nuestra página de empresa
de prueba.
Alcance y patrones de la campaña
Los datos de telemetría de Check Point muestran que se enviaron aproximadamente 40 000 correos
electrónicos de phishing a toda la base de clientes. Si bien la mayoría de las organizaciones recibieron menos
de 300 correos electrónicos, una sola empresa fue bombardeada con más de 4200 mensajes.
“La repetición de asuntos y estructura de correo electrónico casi idénticos sugiere una campaña masiva,
basada en plantillas, diseñada para lograr una amplia exposición y mayores tasas de clics, en lugar de un
ataque de spear phishing dirigido”, afirma Ángel Salazar, Gerente de Ingeniería de Canales en América Latina
de Check Point Software.
¿A quiénes atacó? La campaña se centró principalmente en pequeñas y medianas empresas (pymes) y
empresas medianas, aunque también afectó a un número menor de grandes empresas reconocidas. Estos
sectores, en particular aquellos que dependen de las plataformas de Meta para la interacción con el cliente,
son objetivos ideales, ya que sus empleados reciben con frecuencia notificaciones legítimas de "Meta
Business" y, por lo tanto, es más probable que confíen en dichos mensajes.
Esto permitió que los correos electrónicos de phishing se originarán en el dominio auténtico
facebookmail.com, lo que los hizo extremadamente convincentes y difíciles de detectar para los sistemas
automatizados.
Los investigadores de Check Point replicaron la técnica en un experimento controlado, confirmando la
facilidad con la que se puede manipular la función de Invitación de Empresa para enviar correos electrónicos
engañosos con enlaces maliciosos incrustados.
Esta campaña pone de manifiesto una tendencia creciente en la que los ciberdelincuentes utilizan servicios
legítimos como arma para ganarse la confianza de los usuarios y eludir los controles de seguridad. Si bien el
volumen de correos electrónicos podría sugerir un enfoque indiscriminado, la credibilidad del dominio del
remitente hace que estos intentos de phishing sean mucho más peligrosos que el spam común.
Esta campaña destaca varias tendencias importantes en el panorama de las amenazas:
1. Explotación de la confianza en las principales plataformas: Los atacantes están yendo más allá de los
dominios falsificados y ahora explotan las funciones integradas de las plataformas más utilizadas. Al
ocultarse tras la infraestructura legítima de Facebook, obtienen credibilidad instantánea.

©2025 Check Point Software Technologies Ltd. All rights reserved | P. 3​​

2. Elusión de las defensas tradicionales: Muchos sistemas de seguridad de correo electrónico dependen en
gran medida de la reputación del dominio y la validación del remitente. Cuando los mensajes maliciosos se
originan en un dominio de confianza como facebookmail.com, estas defensas suelen fallar.
3. Cuestionamiento sobre la responsabilidad de las plataformas: Esta campaña plantea importantes
interrogantes sobre si los gigantes tecnológicos están haciendo lo suficiente para prevenir el abuso de sus
herramientas empresariales. Si los atacantes pueden manipular funciones legítimas para lanzar ataques de
phishing, los usuarios y las organizaciones siguen estando en grave riesgo.
Qué deben hacer las organizaciones
Si bien es fundamental que plataformas como Facebook aborden estas deficiencias de seguridad, las
organizaciones y las personas también deben tomar medidas proactivas para reducir su riesgo.
• Capacitar a los usuarios: La capacitación debe ir más allá de la simple detección de dominios sospechosos.
Los empleados y usuarios deben aprender a cuestionar las solicitudes inusuales, incluso si provienen de
fuentes confiables.
• Implementar detección avanzada: Las soluciones de seguridad deben incorporar análisis de
comportamiento y detección basada en IA que pueda identificar actividad sospechosa incluso cuando los
mensajes parezcan legítimos.
• Habilitar la autenticación multifactor (MFA): Las credenciales robadas siguen siendo el principal objetivo de
las campañas de phishing. La MFA garantiza que, incluso si las credenciales se ven comprometidas, los
atacantes no puedan acceder fácilmente.
• Verificar el remitente y la URL. Siempre verifique que no haya discrepancias en el dominio (por ejemplo,
marcas Meta con enlaces que no son Meta).
• Evite hacer clic en enlaces de correos electrónicos no solicitados. En su lugar, acceda a su cuenta de Meta
Business directamente a través de la plataforma oficial.
Check Point ha actualizado SmartPhish para detectar y bloquear este tipo específico de intento de phishing
con temática de Meta. La monitorización continua y el análisis basado en IA permiten ahora la detección
temprana de correos electrónicos de phishing que utilizan dominios de confianza.
De cara al futuro
“El phishing seguirá evolucionando, y esta campaña demuestra una tendencia preocupante: los atacantes
recurren cada vez más a servicios legítimos y marcas de confianza como vehículos para sus ataques. Como
defensores, debemos replantearnos cómo identificamos y bloqueamos la actividad maliciosa, pasando de los
filtros tradicionales a un enfoque más integral que considere la intención, el comportamiento y el contexto”,
agrega Ángel Salazar, Gerente de Ingeniería de Canales en América Latina de Check Point Software.
Acerca de Check Point Software Technologies Ltd.
Check Point Software Technologies Ltd. es un proveedor líder en soluciones de ciberseguridad en la nube basadas en IA que protege a más de 100.000
empresas a nivel mundial. Check Point Software aprovecha el poder de la IA en todos los ámbitos para mejorar la eficiencia y precisión de la ciberseguridad a
través de su Plataforma Infinity, con tasas de detección líderes en la industria que permiten una anticipación proactiva a las amenazas y tiempos de respuesta
más ágiles e inteligentes. La plataforma integral incluye soluciones cloud compuestas por Check Point Harmony para proteger el entorno laboral, Check Point
CloudGuard para asegurar la cloud, Check Point Quantum para proteger la red y Check Point Infinity Core Services para operaciones y servicios de seguridad
colaborativos.
©2025 Check Point Software Technologies Ltd. Todos los derechos reservados.
Aviso legal sobre declaraciones prospectivas
Este comunicado de prensa contiene declaraciones prospectivas. Las declaraciones prospectivas generalmente se refieren a eventos futuros o a nuestro desempeño financiero u operativo futuro. Las declaraciones
prospectivas incluidas en este comunicado de prensa incluyen, pero no se limitan a, declaraciones relacionadas con nuestras expectativas respecto al crecimiento futuro, la expansión del liderazgo de Check Point
Software en la industria, la mejora del valor para los accionistas y la entrega de una plataforma de ciberseguridad líder en la industria a clientes de todo el mundo. Nuestras expectativas y creencias sobre estos temas
pueden no materializarse, y los resultados o eventos futuros están sujetos a riesgos e incertidumbres que podrían hacer que los resultados reales o los eventos difieran significativamente de los proyectados.
Las declaraciones prospectivas contenidas en este comunicado de prensa también están sujetas a otros riesgos e incertidumbres, incluyendo aquellos descritos con mayor detalle en nuestros archivos ante la Comisión
de Bolsa y Valores (SEC), incluyendo nuestro Informe Anual en el Formulario 20-F presentado ante la SEC el 2 de abril de 2024. Las declaraciones prospectivas en este comunicado de prensa se basan en la información
disponible para Check Point Software a la fecha de este documento, y Check Point Software renuncia a cualquier obligación de actualizar cualquier declaración prospectiva, salvo que lo exija la ley.