Phishing de Facebook Business: Así opera la campaña AccountDumpling

En el vertiginoso ecosistema de la ciberseguridad, donde las defensas evolucionan a golpe de inteligencia artificial, ha surgido una amenaza que no necesita “romper” la seguridad, sino simplemente pedir permiso para pasar. Los investigadores de Guardio Labs han desmantelado una operación masiva denominada “AccountDumpling”, un esquema de Phishing de Facebook Business que ha logrado lo impensable: utilizar la propia infraestructura de Google para entregar correos maliciosos que son, técnica y legalmente, impecables ante los filtros de spam.

Con más de 30,000 cuentas comprometidas en tiempo récord, y un impacto devastador donde el 68.6% de las víctimas se encuentran en Estados Unidos, esta campaña de origen vietnamita marca un antes y un después en la sofisticación del fraude digital. No estamos ante un simple enlace malicioso; estamos ante una cadena de suministro de ciberdelincuencia profesionalizada que explota las herramientas de automatización empresarial para secuestrar activos digitales de alto valor.

La anatomía del engaño: Por qué falla el SPF, DKIM y DMARC

La genialidad —y peligrosidad— del Phishing de Facebook Business detectado en la operación AccountDumpling reside en su método de entrega. Tradicionalmente, los atacantes intentan suplantar dominios o utilizar servidores SMTP vulnerables. Sin embargo, AccountDumpling abusa de Google AppSheet, una plataforma de desarrollo “no-code” diseñada para la automatización de procesos de negocio.

Al configurar flujos de trabajo automatizados dentro de AppSheet, los atacantes pueden programar el envío de notificaciones oficiales. Debido a que estas notificaciones son generadas legítimamente por la plataforma de Google, los correos electrónicos se originan desde dominios como noreply@appsheet.com y appsheet.bounces.google.com. Para cualquier servidor de correo receptor, el mensaje es 100% auténtico:

• SPF (Sender Policy Framework): Pasa, porque el servidor remitente pertenece a Google.
• DKIM (DomainKeys Identified Mail): Pasa, porque el correo está firmado criptográficamente por la infraestructura de Google.
• DMARC (Domain-based Message Authentication, Reporting, and Conformance): Pasa, ya que la alineación del dominio es perfecta.

Este “bypass” técnico permite que los señuelos de Phishing de Facebook Business aterricen directamente en la bandeja de entrada principal, evitando la carpeta de spam y silenciando las alarmas de las pasarelas de seguridad de correo electrónico (SEG) más avanzadas del mercado.

Los cuatro pilares de AccountDumpling: Clústeres de ataque

La investigación de Guardio Labs no identificó un solo método de ataque, sino una infraestructura modular dividida en cuatro “clústeres”, cada uno diseñado para explotar una debilidad psicológica o técnica diferente en los administradores de páginas de Facebook.

Clúster A: Clones de alta fidelidad en Netlify

Utilizando herramientas de clonación de sitios web como HTTrack, los atacantes han creado réplicas exactas del Centro de Ayuda de Facebook. Estos sitios no se alojan en dominios sospechosos, sino en plataformas de despliegue legítimas como Netlify o Vercel. El objetivo aquí es la recolección masiva de credenciales y, lo que es más alarmante, la captura de fotografías de identificaciones oficiales (pasaportes o licencias de conducir) bajo el pretexto de “verificación de identidad necesaria para evitar el cierre de la cuenta”.

Clúster B: La trampa del “Blue Badge” y tácticas Zero-Font

Este clúster apela a la vanidad y al estatus corporativo prometiendo la codiciada insignia de verificación azul de Meta. Para evadir los escáneres de lenguaje natural (NLP) que buscan palabras clave como “Facebook” o “Login”, los atacantes emplean tácticas de Zero-Font e homoglifos cirílicos. Por ejemplo, insertan “espacios de pelo” Unicode (caracteres invisibles) entre letras o sustituyen la “a” latina por la “а” cirílica. A los ojos del usuario, el texto es normal; para el algoritmo de seguridad, es una cadena de caracteres indescifrable que no activa ninguna alerta de phishing.

Clúster C: Control en vivo y secuestro de 2FA

Este es el nivel más avanzado y peligroso de la operación. Los atacantes utilizan documentos PDF alojados en Google Drive y creados con Canva para guiar a la víctima. Una vez que el usuario hace clic, entra en un panel de control gestionado mediante Socket.io y WebSockets. Esto permite una comunicación bidireccional en tiempo real entre el atacante y la víctima. Cuando la víctima introduce su usuario y contraseña, el atacante, al otro lado de la pantalla, recibe la alerta al instante y solicita el código de autenticación de dos factores (2FA). Antes de que el usuario sospeche, el atacante ya ha cambiado el correo de recuperación y el número de teléfono de la cuenta.

Clúster D: Reclutamiento falso y pivote a WhatsApp

En este escenario, el Phishing de Facebook Business se disfraza de ofertas de empleo de marcas globales como Adobe, Apple o Coca-Cola. Los anuncios dirigen a las víctimas a chats privados de WhatsApp, donde se lleva a cabo una ingeniería social mucho más personalizada y agresiva para obtener acceso a las cuentas publicitarias de las empresas donde trabajan las víctimas.

La conexión vietnamita y la economía del acceso ilícito

La atribución de este ataque no es una conjetura. Los investigadores encontraron un rastro digital crítico: un archivo PDF generado en Canva que contenía metadatos sin limpiar con el nombre “Phạm Tài Tân”. Este individuo está vinculado a servicios públicos en Vietnam que, irónicamente, ofrecen “recuperación de cuentas de Facebook”.

Se ha identificado un ciclo económico criminal circular:

1. Extracción: El grupo inicial utiliza AccountDumpling para secuestrar miles de cuentas empresariales.
2. Distribución: Los datos se exfiltran a través de bots de Telegram como @haixuancau_bot y se venden en mercados negros.
3. Monetización: Otros actores compran el acceso para lanzar campañas publicitarias fraudulentas o extorsionar al dueño original de la cuenta, ofreciéndole “ayuda” para recuperarla a cambio de un pago.

Este modelo de Cybercrime-as-a-Service (CaaS) permite que atacantes con pocos conocimientos técnicos compren “kits de phishing” ya configurados que abusan de Google AppSheet, democratizando el acceso a herramientas de ataque de nivel estatal.

Estrategias de defensa ante el Phishing de Facebook Business

Confiar ciegamente en que un correo es legítimo porque proviene de un servidor de Google es, en 2026, una vulnerabilidad crítica. Para protegerse contra el Phishing de Facebook Business, las organizaciones deben elevar sus estándares de seguridad de la siguiente manera:

• Implementación de Llaves de Seguridad Físicas (FIDO2): La autenticación basada en SMS o aplicaciones (TOTP) es vulnerable ante ataques de “adversario en el medio” (AiTM) como los que usa el Clúster C de esta operación. Una llave física como YubiKey es, hasta el momento, la única defensa infalible contra el secuestro de 2FA en tiempo real.
• Escrutinio de Notificaciones de Servicios de Terceros: Las empresas deben educar a sus empleados para desconfiar de notificaciones de Meta que lleguen a través de dominios como appsheet.com o canva.com. Meta siempre se comunicará a través de sus propios canales internos o dominios oficiales (@support.facebook.com).
• Políticas de “Zero Trust” para Aplicaciones SaaS: Es vital auditar qué herramientas de automatización (como AppSheet, Zapier o Make) tienen permiso para enviar correos electrónicos en nombre de la organización o interactuar con las bandejas de entrada de los empleados.
• Monitoreo de Metadatos y Encabezados: Aunque pasen SPF/DKIM, los equipos de seguridad deben buscar anomalías en el campo “Reply-To” y en la estructura interna de los archivos adjuntos.

El futuro de la confianza digital

El caso AccountDumpling pone de manifiesto una verdad incómoda: la infraestructura que construimos para ser más productivos es la misma que los atacantes están utilizando para destruir nuestra seguridad. El Phishing de Facebook Business ya no se trata de correos con faltas de ortografía y logotipos pixelados; se trata de una infiltración quirúrgica que utiliza la “autoridad” de Google para derribar las puertas de las empresas.

Como administradores de negocios y profesionales de TI, la lección es clara: la autenticación del remitente es solo una pieza del rompecabezas. La verdadera seguridad reside en la verificación constante de la intención y en la adopción de tecnologías de hardware que eliminen el factor de error humano en la cadena de acceso. En la era de la IA y el abuso de las nubes legítimas, el escepticismo radical es nuestra mejor herramienta de defensa.