Una nueva campaña de phishing ha puesto en jaque algunos de los pilares más básicos de la ciberseguridad moderna: la confianza en los sistemas de autenticación del correo electrónico. Los investigadores de ciberseguridad de Guardio Labs han descubierto una operación masiva de phishing, bautizada como “AccountDumpling”, que ha conseguido comprometer más de 30.000 cuentas de Facebook utilizando correos electrónicos legítimos enviados desde la propia infraestructura de Google.
Lejos del phishing tradicional, basado en dominios falsificados o servidores sospechosos, este ataque parte de una premisa radicalmente distinta. Los mensajes están perfectamente autenticados, cumplen con SPF, DKIM y DMARC, y llegan desde direcciones legítimas como [email protected]. En otras palabras, superan todos los filtros técnicos que, hasta ahora, se consideraban una primera línea de defensa fiable.
El phishing que no parece phishing
El vector inicial es un correo que simula alertas de seguridad de Meta: supuestas infracciones de políticas, bloqueos inminentes o revisiones de cuentas. El contenido genera urgencia y presión temporal, un clásico en ingeniería social, pero lo realmente relevante es el canal de entrega.
Los atacantes han explotado Google AppSheet, una plataforma legítima de desarrollo sin código diseñada para automatizar flujos de trabajo y notificaciones. En lugar de comprometer cuentas o falsificar remitentes, simplemente utilizan esta herramienta para enviar notificaciones masivas con apariencia totalmente legítima.
Este cambio de método es importante porque como apuntan los investigadores, “un correo autenticado solo garantiza que la plataforma lo envió, no que su contenido sea seguro”. Y ese matiz es precisamente el que están explotando los atacantes.
Cuatro estrategias, un mismo objetivo
El análisis de la campaña revela una arquitectura modular con múltiples vectores de ataque, todos orientados a un mismo fin: el control de cuentas de Facebook con valor económico.
1. Páginas falsas de soporte
La variante más directa redirige a clones del centro de ayuda de Facebook alojados en servicios como Netlify. Estas páginas no solo solicitan credenciales, sino también información personal sensible: fecha de nacimiento, teléfono o incluso documentos de identidad.
El nivel de detalle es tal que permite a los atacantes reconstruir completamente el perfil de recuperación de la víctima, dificultando enormemente la recuperación de la cuenta.
2. La promesa del “check azul”
Otra línea de ataque abandona el miedo y apuesta por el incentivo: verificación de cuentas, recompensas para anunciantes o mejoras de perfil. Estas páginas, alojadas en Vercel, incluyen mecanismos avanzados como validaciones en tiempo real, múltiples solicitudes de contraseñas y captura de códigos 2FA.
Además, incorporan técnicas de evasión sofisticadas: caracteres invisibles para evitar detección automática, uso de alfabetos mixtos (homoglifos) y almacenamiento cifrado en el navegador.
3. Control en tiempo real del ataque
El vector más avanzado utiliza documentos PDF alojados en Google Drive. A simple vista, parecen comunicaciones oficiales de Meta, pero contienen enlaces ocultos que llevan a paneles interactivos controlados por los atacantes.
A través de WebSockets, los operadores pueden interactuar en tiempo real con la víctima: validar contraseñas, solicitar nuevos datos o adaptar el flujo del ataque sobre la marcha. Es phishing asistido por humanos.
4. Ingeniería social conversacional
Finalmente, una cuarta variante se basa en falsas ofertas de empleo de grandes empresas tecnológicas. En lugar de dirigir a una web maliciosa, busca iniciar una conversación directa con la víctima, trasladando el ataque fuera del correo electrónico hacia canales controlados por el atacante.
Atribución y origen
El análisis forense ha identificado indicios sólidos que apuntan a un origen vietnamita. Un error operativo —metadatos en un PDF generado con Canva— reveló un nombre asociado a la infraestructura del ataque.
A esto se suman comentarios en código en vietnamita, patrones horarios y conexiones con servicios que ofrecen gestión de cuentas de Facebook. Aunque no se puede atribuir toda la operación a un único actor, sí se perfila un ecosistema regional bien organizado.
