Los hackers están secuestrando páginas de negocios de Facebook y desactivando permanentemente cuentas personales utilizando correos electrónicos de “solicitud de socio del Business Manager” altamente convincentes.
Estos no son los típicos mensajes de spam llenos de errores tipográficos. Son notificaciones reales enviadas directamente desde la dirección oficial de Meta [email protected], y además llevan una marca de verificación azul verificada.
Según una advertencia detallada en r/facebook, el ataque explota el propio sistema de asociación de Meta. Los estafadores crean una página de negocio falsa con un nombre engañoso increíblemente largo.
Nombran la página algo como “El Programa de Socios de la Agencia es la red de socios de Meta”. Cuando solicitan acceso a tu página, Facebook genera automáticamente un correo electrónico oficial que contiene ese texto exacto.
Parece completamente legítimo. El usuario original afirmó que cayó en la trampa temprano en la mañana. Hizo clic en el enlace, que abrió un chat de Messenger directo con la página falsa.
Desde allí, los atacantes le solicitaron una verificación de ID. La víctima subió su licencia de conducir. Los hackers utilizaron esa ID para eludir la autenticación de dos factores sin activar ninguna advertencia por correo electrónico.
Después de eso, los atacantes transfirieron los permisos de la página, bloquearon al propietario original y comenzaron a publicar videos robados para obtener monetización. También lograron que la cuenta personal de la víctima, de 15 años, fuera desactivada permanentemente al publicar contenido ilegal.
Este no es el único hilo sobre estos correos electrónicos. Otro hilo está lleno de propietarios de páginas que se quejan del spam. Un comentarista dijo que está recibiendo hasta diez de estas solicitudes en un solo día.
Más discusiones se pueden ver aquí y aquí.
Este nivel de ingeniería social no es bueno, pero se está convirtiendo en una táctica común. Hace solo unas semanas, una estafa de phishing altamente dirigida comprometió a funcionarios alemanes en Signal al suplantar mensajes de soporte oficiales.
Por ahora, la mejor defensa absoluta es eliminar los correos electrónicos por completo. Si necesitas verificar la configuración de tu página, ingresa a la Suite de Negocios de Meta manualmente.
No hagas clic en el botón “Ver solicitud” en tu bandeja de entrada. Facebook está protegiendo actualmente a los estafadores a través de su arquitectura automatizada, por lo que la única protección real es evitar esos enlaces.
Imagen destacada generada con IA