Hay una regla básica en ciberseguridad: si el email viene de un remitente oficial, con SPF, DKIM y DMARC en verde, es legítimo. Esa regla ya no alcanza.
En el laboratorio Anti-Scammer de Nucleux documentamos durante mayo de 2026 una campaña de phishing con una característica que la hace especialmente peligrosa: los emails de ataque son enviados directamente por los servidores de Facebook. No hay spoofing, no hay dominios falsos, no hay nada que un filtro de spam pueda detectar.
El remitente es [email protected]. La autenticación es impecable. Y aun así, el cuerpo del email te pide que contactes a un estafador.
En este artículo te explicamos exactamente cómo funciona esta vulnerabilidad, cómo evolucionó la campaña que estudiamos, y qué podés hacer hoy para que tu página de Facebook no sea la próxima víctima.
¿Qué hace diferente a este tipo de phishing?
La mayoría del phishing que conocemos sigue un patrón predecible: un email que parece venir de Netflix, de tu banco o de Meta, pero que en realidad viene de un dominio inventado hace tres días. Con un poco de atención, se detecta.
Este ataque es diferente. No imita a Meta. Es Meta quien lo envía.
El email que no puedes bloquear
Meta Business Manager permite a cualquier persona o empresa crear un perfil de socio comercial con nombre libre. Ese nombre puede incluir texto, emojis, números de teléfono y — hasta hace poco — URLs completas.
Cuando ese socio envía una solicitud de partnership, Meta genera automáticamente un email oficial de notificación e incluye ese nombre exactamente como fue escrito, sin ningún tipo de moderación en tiempo real.
El resultado es un email que sale de los servidores de Facebook, lleva la firma criptográfica de Meta y contiene, en el cuerpo del mensaje, las instrucciones del atacante.
¿Por qué Meta incluye ese texto sin filtrarlo?
El mecanismo está diseñado para que la persona que recibe la solicitud sepa quién la está enviando. El problema es que no hay ninguna validación sobre qué puede decir ese nombre. Y en la práctica, eso convierte a Meta en un vehículo involuntario de phishing.
Es como si el servicio postal entregara cartas de extorsión porque el nombre del remitente en el sobre dice exactamente lo que el estafador quiere que veas.
Cómo documentamos la campaña: 9 ataques en 9 días
Entre el 20 y el 28 de mayo de 2026, registramos y analizamos 9 incidentes que forman parte de una misma campaña. Lo más revelador no fue la técnica en sí, sino la velocidad con la que el atacante se adaptó cada vez que un vector fue bloqueado.
Fase 1 — El gancho con Google
Los primeros ataques usaban URLs de Google Sites y Google Drive incrustadas directamente en el nombre del negocio atacante:
“Meta & Google Business Partnership: share.google/***************”
¿Por qué Google? Porque share.google está en la lista blanca de prácticamente todos los filtros de spam del mundo. Bloquear ese dominio significaría bloquear millones de archivos compartidos legítimos todos los días.
Cuando Google desactivó los archivos, el atacante no se detuvo. Pivotó en menos de 24 horas
Fase 2 — El giro a Messenger
La segunda fase usó URLs de Messenger (m.me/) con dos variantes psicológicas claramente diferenciadas:
La variante de la codicia:
“Start Monetizing your Business Page m.me/******************”
La variante del miedo:
“Page Status Review Needed Contact Support m.me/**************”
Hacia el final de esta fase, el sistema de filtrado de Cloudflare empezó a subir el puntaje de spam de los emails — una señal de que la campaña estaba siendo detectada. El atacante lo notó.
Fase 3 — Lo que encontramos en el laboratorio
Cuando Meta bloqueó m.me/ en los nombres de negocio y filtró el carácter / (lo que efectivamente inutiliza cualquier URL), decidimos validarlo nosotros mismos de forma controlada.
Creamos una cuenta de prueba en Meta Business Manager e intentamos replicar el ataque con distintas variantes. El resultado fue claro:
| Prueba | Resultado |
|---|---|
URL con / en nombre de negocio | ❌ Bloqueado — filtrado |
Enlace m.me/ en nombre de negocio | ❌ Bloqueado — parcheado |
Número wa.me en nombre de negocio | ⚠️ Permitido en algunos contextos |
| Número de teléfono en nombre de usuario del portafolio | ✅ Sin filtro — activo |
| Emoji + texto de llamada a acción en nombre de usuario | ✅ Sin filtro — activo |
El hallazgo más importante no fue lo que bloquearon, sino lo que no bloquearon: el nombre de visualización de una persona o usuario dentro de un portafolio comercial no tiene ningún tipo de filtro. Se puede cambiar libremente, sin moderación, y ese nombre aparece verbatim en el email de invitación que Meta envía.
Meta cerró la puerta principal. La ventana lateral sigue abierta.
La señal más preocupante: el mismo negocio atacado tres veces
Durante el análisis encontramos algo que va más allá de la técnica: un mismo negocio recibió tres ataques en cuatro días, pero desde tres cuentas de atacante completamente distintas.
Esto nos dice algo importante sobre cómo opera esta infraestructura. El sistema de invitaciones de Meta no requiere que el email destinatario tenga una cuenta Meta activa. Cualquier dirección de correo es un objetivo válido. Los atacantes trabajan con listas de emails de negocios — probablemente obtenidas de fuentes públicas como sitios web, directorios o redes sociales — y distintos operadores pueden estar usando las mismas listas de forma independiente.
No es un atacante con un objetivo puntual. Es una infraestructura compartida que apunta sistemáticamente a los mismos emails.
¿Cómo reconocer este ataque si te llega?
Esta es la pregunta difícil, porque técnicamente el email es real. No podés detectarlo por el remitente ni por los headers de autenticación. Pero hay señales de contenido que nunca aparecen en una comunicación legítima de Meta:
- El nombre del supuesto socio contiene una URL, un número de teléfono o una dirección de Gmail. Meta nunca envía solicitudes de socios donde el nombre sea una instrucción de contacto.
- Te pide que contactes a soporte fuera de la plataforma. Si hay un problema real con tu cuenta, Meta te dirige a
business.facebook.com, no a un número de WhatsApp.- Hay urgencia exagerada. “Tu página será suspendida”, “Aprobación en 24 horas”, “Verificación urgente” — son detonadores emocionales de ingeniería social.
- No solicitaste nada. Si no iniciaste una relación comercial con ese supuesto socio, no hay razón legítima para recibir esa solicitud.
La regla más simple: si recibís una solicitud de socio de Meta que no esperabas, no usés los botones del email. Abrí
business.facebook.comdirectamente en tu navegador y revisá desde ahí.Qué debe hacer Meta para cerrarlo
La vulnerabilidad es de diseño, no es un bug. Meta puede y debe:
- Aplicar moderación de contenido en tiempo real a los nombres de negocios y portafolios antes de incluirlos en emails. Detectar URLs, números de teléfono y patrones de contacto no es técnicamente complejo.
- Reducir la vida útil de las solicitudes sin respuesta. Actualmente duran 30 días. Con 24-48 horas sería suficiente para una solicitud legítima urgente.
- Agregar una alerta visible en el email cuando el nombre del solicitante contiene patrones inusuales.
- Limitar el volumen de solicitudes salientes por cuenta y por día.
Meta fue notificada de los hallazgos de esta investigación. El uso de
/en nombres fue parcheado. Los números de teléfono y el texto libre siguen siendo inyectables al momento de publicar este artículo.Preguntas Frecuentes
¿Puedo detectar este phishing con un filtro de spam?
No con los métodos tradicionales. El email viene de servidores legítimos de Meta y tiene autenticación perfecta. La detección tiene que ser por contenido — específicamente, el nombre del solicitante.
¿Qué pasa si acepto una solicitud de socio de este tipo?
Dependiendo del tipo de acceso solicitado, el atacante podría obtener control parcial o total sobre tu página de Facebook Business. En los casos más graves, puede publicar contenido, gestionar anuncios o acceder a datos de tus clientes.
¿Afecta solo a empresas grandes?
No. Cualquier cuenta con una página de Facebook o una presencia en Meta Business Manager puede recibir estas solicitudes. Los atacantes apuntan a listas de emails, no a empresas específicas por su tamaño.
¿Meta va a solucionar esto?
Meta ya parcheó algunos vectores (URLs con
/). Los números de teléfono y el texto libre siguen siendo inyectables. La investigación fue documentada y publicada para presionar por una solución completa.¿Cómo verifico que una solicitud de Meta es legítima?
Ingresá directamente a
business.facebook.com→ Configuración → Socios. Si la solicitud es real, aparece ahí. Nunca uses los botones del email para aceptar o rechazar.
Conclusión
El phishing evolucionó. Ya no basta con enseñarle a la gente a “revisar el remitente” o a “buscar errores de ortografía”. Este ataque no tiene errores. Viene de Facebook. Tiene todos los sellos de autenticación. Y aun así, es phishing.
Lo que hace diferente a esta investigación es que no documentamos un ataque aislado — documentamos la evolución de un método durante 9 días, con tres pivots tácticos distintos en respuesta a cada mitigación. Eso nos dice que detrás hay actores que monitorean activamente la efectividad de sus ataques y se adaptan en tiempo real.
La mejor defensa, por ahora, sigue siendo el criterio humano: si no esperabas una solicitud, no la aceptes desde el email. Verificá siempre directo en la plataforma
¿Recibiste una solicitud de socio de Meta que te pareció sospechosa? En Nucleux ayudamos a empresas a identificar y documentar intentos de phishing antes de que se conviertan en incidentes. Contáctanos — la primera consulta es sin costo.
Informe completo
