Alerta por nuevas estafas de phishing en Facebook que suplantan a Meta

  • Mensajes falsos en Facebook, Messenger y WhatsApp amenazan con suspender la cuenta para forzar la "verificación".
  • Las víctimas son redirigidas a sitios que imitan a Facebook o a correos Mailto: que validan su email.
  • Los dominios no oficiales y la urgencia son señales clave; habilitar 2FA reduce el riesgo.
  • Si caes, cambia la contraseña, cierra sesiones, revisa comunicaciones legítimas y usa el Centro de Ayuda.
Alberto Navarro

4 minutos

Alerta por phishing en Facebook

Una oleada de estafas está circulando por Facebook, Messenger y WhatsApp con mensajes que aparentan proceder del equipo de Meta y avisan de una inminente suspensión de la cuenta si no se verifica de inmediato.

Los delincuentes copian la estética y el tono de las comunicaciones oficiales para ganarse la confianza y dirigir a los usuarios a páginas fraudulentas donde capturan sus credenciales; expertos de Kaspersky e INCIBE recomiendan extremar la precaución.

Qué está ocurriendo

La trama arranca con notificaciones que aseguran que has infringido las normas por publicar contenido inapropiado, hacer spam o vulnerar políticas internas; se sugiere que la “IA de Meta” ha detectado irregularidades y urge a verificar la cuenta.

El gancho utiliza frases de presión del tipo “podemos suspender tu perfil si no confirmas ahora” y facilita uno o varios enlaces para completar el supuesto proceso de seguridad.

Al hacer clic, el usuario aterriza en webs que clonan colores, logotipos y formularios de Facebook, pero si se revisa la barra de direcciones aparecen dominios ajenos a la compañía, como facebooksecuritys24h.wixstudio.com o el más burdo www.bossfixshing2025.site.

En esos formularios piden usuario, correo y contraseña; con esos datos, los atacantes cambian la clave y el email asociado, toman el control total del perfil y, a veces, piden un “rescate”, perpetran fraudes adicionales o husmean contactos y posibles datos de pago.

El riesgo se multiplica en cuentas profesionales o con páginas vinculadas, ya que pueden afectar campañas publicitarias, Marketplace, relaciones con clientes y la reputación de marca.

Variantes detectadas: suplantación de IA y correos con Mailto:

La alusión a una supuesta “inteligencia artificial de Meta” añade credibilidad; los estafadores se apoyan en ese efecto de autoridad y en jerga técnica para bajar la guardia y precipitar clics.

Otra modalidad empieza con un email alarmista sobre un restablecimiento de contraseña o un inicio de sesión no reconocido; los botones (“confirmar”, “informar”) abren un mensaje de correo preconfigurado con Mailto:, que no roba datos al instante, pero valida tu dirección y facilita futuras maniobras de engaño.

En estos correos se observa el uso de typo-squatting, con remitentes que imitan nombres de empresas para parecer legítimos, mientras esquivan filtros al no incluir enlaces maliciosos tradicionales.

Indicadores para detectar el fraude

Estas señales deberían encender todas las alarmas cuando recibas notificaciones sobre tu cuenta:

  • Urgencia artificial: amenazas de bloqueo inmediato o plazos irrealmente cortos.
  • Dominios sospechosos: direcciones que no terminan en facebook.com, meta.com o subdominios oficiales.
  • Errores y detalles extraños: faltas ortográficas, mayúsculas raras o tono poco profesional.
  • Petición de credenciales fuera del flujo oficial: formularios externos o en webs que no son de Meta.
  • Ausencia de HTTPS o candado: páginas sin cifrado o certificados dudosos.
  • Hipervínculos que revelan trampas al pasar el cursor: enlaces que apuntan a dominios ajenos u originan un correo Mailto: pre-relleno.

Qué hacer si has pinchado o has dado datos

Si interactuaste con el enlace o facilitaste credenciales, actúa con rapidez para minimizar daños y recuperar el control.

  1. Cambia la contraseña de Facebook de inmediato y evita reutilizar claves de otros servicios.
  2. Cierra la sesión en todos los dispositivos desde la configuración de seguridad para revocar accesos desconocidos.
  3. Activa la autenticación en dos pasos (2FA), preferiblemente con aplicación de códigos (Authy, Google Authenticator) en lugar de SMS.
  4. Revisa la sección “Correos electrónicos recientes de Meta” en tu cuenta para verificar qué comunicaciones son legítimas.
  5. Comprueba inicios de sesión recientes y elimina dispositivos sospechosos; si detectas cambios de email o teléfono, restáuralos.
  6. Si ya no puedes acceder, utiliza el Centro de Ayuda de Facebook/Instagram y completa el proceso de recuperación cuanto antes.
  7. Habilita alertas de seguridad y considera un análisis antimalware si descargaste archivos o instalaste extensiones.

Buenas prácticas para blindar tu cuenta a largo plazo

La prevención constante es la barrera más eficaz contra campañas que evolucionan y se perfeccionan con el tiempo.

  • No hagas clic en enlaces que pidan “verificación urgente”; accede siempre desde la app oficial o tecleando la URL en el navegador.
  • Comprueba las URLs con lupa; desconfía de subdominios extraños y acorta-dores que ocultan el destino.
  • Utiliza contraseñas únicas y robustas con un gestor de contraseñas fiable.
  • Configura 2FA en todas tus cuentas clave y guarda códigos de respaldo en lugar seguro.
  • Para perfiles empresariales, revisa roles y administradores, añade un segundo admin de confianza y audita accesos a Business Manager y páginas.
  • Mantén actualizados tus dispositivos y navegadores para reducir la superficie de ataque.
  • Conserva una sana desconfianza ante mensajes alarmistas, tal y como recomiendan Kaspersky e INCIBE.
Facebook y Spotify
Artículo relacionado:
Cómo detectar y evitar las estafas más peligrosas en Facebook: guía completa

El uso de expresiones que aluden a una supuesta “IA de Meta” y correos con Mailto: revela que el phishing en Facebook continúa perfeccionando su ingeniería social; mantenerse alerta, confirmar siempre los canales oficiales y reforzar la seguridad con 2FA y contraseñas sólidas es la vía más efectiva para esquivar estas trampas y proteger tanto cuentas personales como activos profesionales.