Si tienes una página de negocio en Facebook o gestionas publicidad en la plataforma, presta mucha atención. Recientemente se ha descubierto una campaña de ataques (bautizada como AccountDumpling) que ya ha logrado robar más de 30.000 cuentas en todo el mundo, y España es uno de los países más afectados.
Lo más peligroso de este fraude no es solo el robo, sino cómo engañan a tu correo electrónico para que bajes la guardia.
¿Cómo funciona el engaño?
- A diferencia de otros ataques de phishing que llegan desde correos extraños, este utiliza una herramienta legítima de Google llamada AppSheet.
- El correo parece real: Recibes un mensaje que viene de una dirección oficial de Google (noreply@appsheet.com). Esto hace que casi ningún filtro de spam lo bloquee.
- El susto inicial: El mensaje te advierte de que tu cuenta de Facebook va a ser eliminada permanentemente por una supuesta infracción de derechos de autor o por falta de verificación.
- La trampa: Te piden que hagas clic en un botón para "apelar" la decisión. Al hacerlo, te llevan a una página web falsa que imita a la perfección el diseño de Facebook.
- El robo total: Si introduces tus datos, los atacantes no solo se quedan con tu contraseña; también te piden el código de verificación (2FA) e incluso fotos de tu documento de identidad.
¿Qué hacen con las cuentas robadas?
Detrás de este ataque hay grupos organizados (principalmente localizados en Vietnam) que han convertido el robo de cuentas en un negocio muy rentable. Una vez que entran en tu perfil:
- Venden tu acceso: Existen "tiendas" en el mercado negro donde venden perfiles comerciales para que otros delincuentes publiquen anuncios fraudulentos.
- Secuestro de información: Utilizan tus datos personales y documentos para suplantar tu identidad en otros sitios.
¿Cómo protegerte?
Para no ser la próxima víctima, sigue estos tres consejos básicos:
- Desconfía de la urgencia: Facebook nunca te pedirá que verifiques tu cuenta a través de un correo de Google AppSheet. Si hay un problema real, verás una notificación interna al entrar en tu cuenta oficial.
- Mira la dirección web (URL): Antes de escribir tu contraseña, asegúrate de que estás en facebook.com y no en una dirección extraña que termine en .netlify.app o similares.
- Usa llaves de seguridad: Si puedes, utiliza llaves físicas de seguridad o apps de autenticación (como Google Authenticator) en lugar de códigos por SMS, aunque en este tipo de ataques lo mejor es, simplemente, no llegar a introducir el código en webs sospechosas.
Si recibes un correo electrónico diciendo que vas a perder tu cuenta de Facebook, respira hondo y no hagas clic en nada. Entra directamente a tu aplicación o web oficial para comprobar si hay algún aviso real. ¡Mejor prevenir que lamentar!
