Una campaña de phishing global sofisticada ha sido descubierta que utiliza la infraestructura legítima de Facebook para atacar a miles de empresas en todo el mundo, según han revelado investigadores de seguridad. La campaña maliciosa ha distribuido más de 40.000 correos electrónicos que se originan desde dominios oficiales de Meta, evadiendo efectivamente las medidas de seguridad de correo tradicionales al aprovechar la reputación confiable de la infraestructura de email de Facebook.
Esta campaña representa una evolución significativa en las tácticas de phishing, donde los actores de amenazas han pasado del simple spoofing de dominios a la explotación real de infraestructura corporativa legítima. Al enviar correos desde dominios verificados de Facebook, los atacantes han logrado tasas de entrega excepcionalmente altas manteniendo bajos índices de detección en las plataformas de seguridad convencionales.
Las empresas europeas parecen ser el foco principal de esta campaña, con atacantes utilizando archivos HTML cuidadosamente elaborados que despliegan páginas de captura de credenciales que imitan portales de inicio de sesión corporativos legítimos. Los archivos HTML están diseñados para evadir el filtrado de adjuntos manteniendo la apariencia de comunicaciones empresariales legítimas.
El análisis técnico revela que los atacantes están explotando las capacidades de envío de correo de Meta, aunque el método exacto de compromiso permanece bajo investigación. Los expertos en seguridad sugieren que esto podría involucrar cuentas empresariales comprometidas con privilegios elevados de envío, vulnerabilidades de API u otras formas de uso indebido de infraestructura.
Los correos de phishing generalmente llegan con líneas de asunto convincentes relacionadas con operaciones comerciales, verificación de cuentas o alertas de seguridad. Cuando los destinatarios abren los archivos adjuntos HTML, se les presentan páginas de inicio de sesión que se asemejan mucho a los sistemas de autenticación corporativos legítimos, completos con branding apropiado e indicadores de seguridad.
Lo que hace esta campaña particularmente peligrosa es la combinación de infraestructura de envío legítima con ingeniería social sofisticada. Los destinatarios ven correos provenientes de dominios verificados de Facebook, lo que naturalmente reduce su sospecha y aumenta la probabilidad de interacción con contenido malicioso.
Los equipos de seguridad enfrentan desafíos sin precedentes para detectar estos ataques. Las soluciones de seguridad de correo tradicionales que dependen de la puntuación de reputación de dominio quedan efectivamente neutralizadas, ya que los correos se originan de fuentes legítimas con alta reputación. De manera similar, las verificaciones de DMARC, DKIM y SPF se aprueban exitosamente ya que los correos son genuinamente enviados desde la infraestructura de Facebook.
La campaña destaca una tendencia creciente donde los actores de amenazas están atacando cada vez más la infraestructura de los principales proveedores de tecnología en lugar de solo a sus usuarios. Este enfoque proporciona a los atacantes múltiples ventajas: mayores tasas de entrega de correo, credibilidad mejorada y menor probabilidad de detección.
Se recomienda a las organizaciones implementar estrategias de defensa multicapa que incluyan sandboxing avanzado de archivos adjuntos, análisis de comportamiento de usuarios y capacitación integral en concienciación de seguridad. Los empleados deben ser educados sobre la posibilidad de que dominios legítimos sean utilizados con fines maliciosos y entrenados para escrutinar todos los archivos adjuntos de correo independientemente de la reputación del remitente.
Los investigadores de seguridad recomiendan implementar pasos de verificación adicionales para correos que contengan archivos adjuntos HTML, incluso cuando se originen de dominios confiables. Las organizaciones también deberían considerar implementar soluciones que puedan analizar el contenido y comportamiento de archivos adjuntos HTML en entornos aislados antes de que lleguen a los usuarios finales.
El descubrimiento de esta campaña sirve como un recordatorio contundente de que en la ciberseguridad moderna, la confianza no puede otorgarse automáticamente basándose únicamente en la reputación del dominio. A medida que los actores de amenazas continúan evolucionando sus tácticas, los profesionales de seguridad deben adaptar sus estrategias defensivas para abordar las líneas cada vez más borrosas entre el uso legítimo y malicioso de la infraestructura.
Meta ha sido notificada sobre la campaña y según informes está investigando el abuso de su infraestructura. Mientras tanto, se insta a las empresas de todo el mundo a revisar sus configuraciones de seguridad de correo y asegurarse de tener protección adecuada contra este vector de amenaza emergente que explota las mismas relaciones de confianza que sustentan las comunicaciones empresariales modernas.
Comentarios 0
Comentando como:
¡Únete a la conversación!
Sé el primero en compartir tu opinión sobre este artículo.
¡Inicia la conversación!
Sé el primero en comentar este artículo.