Un nuevo informe que deja ver la sofisticación del fraude digital contemporáneo describe una operación vinculada a Vietnam que ha explotado servicios legítimos como Google AppSheet para montar lo que los investigadores han llamado un "phishing relay" y poner en el mercado cuentas de Facebook robadas. La campaña, apodada AccountDumpling por la firma que investigó el caso, no es un mero kit de phishing aislado: se trata de una estructura viva con paneles operativos en tiempo real, evoluciones constantes y un ciclo comercial delictivo que convierte el acceso a cuentas en una mercancía comerciable, según los análisis publicados por investigadores que dieron la voz de alarma.
La mecánica del ataque combina ingeniería social y abuso de plataformas confiables: correos que aparentan proceder del soporte de Meta, enviados desde un remitente legítimo de AppSheet ("[email protected]") para sortear filtros antispam, dirigen a víctimas (habitualmente titulares de cuentas o negocios en Facebook) a páginas falsas alojadas en servicios como Netlify, Vercel o Google Drive. Esas páginas imitan procesos de verificación, presentación de documentación o revisiones de políticas y están diseñadas para capturar credenciales, códigos 2FA, fotografías de identificación y metadatos del navegador. Parte de la información recopilada termina centralizada en canales controlados por los atacantes en Telegram, y los registros incautados apuntan a unas 30.000 cuentas comprometidas con víctimas en múltiples países.
El cuadro que se dibuja tiene implicaciones importantes para empresas y usuarios: además del daño directo por pérdida de acceso, robo publicitario y suplantación, existe un mercado secundario que monetiza reputación de negocio, identidad comercial y procesos de recuperación de cuenta, lo que incentiva más ataques. Asimismo, es preocupante que actores maliciosos recurran sistemáticamente a proveedores públicos gratuitos o de fácil acceso (AppSheet, Netlify, Vercel, Google Drive, Canva) para entregar contenidos maliciosos, aprovechando la confianza de los filtros y de los propios usuarios en esas plataformas.
Para reducir el riesgo individual y corporativo hay medidas concretas que conviene aplicar de inmediato: no responder a correos urgentes que soliciten credenciales ni seguir enlaces desde mensajes no verificados; comprobar siempre la autenticidad del canal contactante a través de la consola oficial de Meta o de la cuenta empresarial en Facebook; activar métodos de autenticación más robustos como claves físicas (FIDO2/WebAuthn) o aplicaciones autenticadoras en lugar de SMS; revisar y revocar sesiones activas, permisos de aplicaciones y accesos de terceros desde la configuración de la cuenta; y auditar roles y permisos en los administradores de páginas y cuentas publicitarias. En el plano técnico, las organizaciones deben reforzar políticas de correo con SPF, DKIM y DMARC, configurar filtros avanzados y formar a equipos y clientes sobre señuelos habituales como falsos procesos de verificación o supuestas ofertas de empleo de grandes marcas.
Además de acciones reactivas, es clave la cooperación entre proveedores de plataformas, firmas de seguridad y autoridades para detectar y desmantelar las infraestructuras que sirven como "capas" del fraude. Los responsables de proveedores como AppSheet, Canva, Netlify o Vercel afrontan el reto de equilibrar disponibilidad y abuso: mejorar la detección de plantillas usadas en phishing, vetar la automatización de PDFs o páginas maliciosas y acelerar la respuesta a reportes son pasos necesarios para cortar el circuito comercial de la estafa.
Si sospecha que su cuenta de Facebook ha sido comprometida, use exclusivamente los canales oficiales de recuperación que proporciona Meta y documente cualquier comunicación sospechosa antes de actuar; conserve capturas y correos para posible investigación. Para profundizar en el contexto y en hallazgos reportados por investigadores de seguridad puede consultar fuentes periodísticas y de concienciación como The Hacker News y recursos de formación en phishing y simulación de ataques como los de KnowBe4, así como la documentación oficial de Meta sobre seguridad empresarial en Facebook Business Help. La lección es clara: la seguridad ya no es solo técnica, es también una batalla por la confianza en las plataformas; reforzarla exige medidas técnicas, procesos y educación continua.
Alerta de seguridad Drupal vulnerabilidad crítica de inyección SQL en PostgreSQL obliga a actualizar de inmediato
Drupal ha publicado actualizaciones de seguridad para una vulnerabilidad calificada como "altamente crítica" que afecta a Drupal Core y permite a un atacante lograr inyección SQ...
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...