Campaña de phishing mediante Google AppSheet vulnera 30,000 cuentas de Facebook
Una operación vinculada a actores vietnamitas utiliza Google AppSheet como relevo para secuestrar cuentas de Facebook a gran escala.

La nueva amenaza: AccountDumpling y el abuso de plataformas legítimas
La seguridad digital enfrenta un nuevo desafío tras el descubrimiento de una sofisticada campaña de phishing denominada AccountDumpling. Investigadores de Guardio han alertado sobre una operación de origen vietnamita que utiliza la plataforma Google AppSheet como un "relevo" para distribuir correos maliciosos, logrando comprometer exitosamente aproximadamente 30,000 cuentas de Facebook.
El uso de herramientas legítimas de desarrollo no-code permite a los atacantes evadir los filtros de seguridad tradicionales, ya que los correos electrónicos parecen provenir de dominios confiables. Esta táctica demuestra cómo la vulnerabilidad humana sigue siendo el eslabón más débil, incluso cuando los atacantes emplean infraestructura de confianza para ocultar sus intenciones.
El ecosistema del cibercrimen y la monetización de datos
Este hack no es un incidente aislado, sino parte de una cadena industrializada de cibercrimen. Una vez que los atacantes toman control de las cuentas, estas no se utilizan únicamente para el robo de identidad directo; en su lugar, son puestas a la venta en un escaparate ilícito gestionado por los mismos actores.
"Los atacantes han convertido el secuestro de perfiles en un modelo de negocio automatizado, donde el acceso a la cuenta es la mercancía principal", señalan los expertos de Guardio.
Aunque este ataque se centra en el robo de credenciales, es fundamental recordar que la exposición de datos personales suele ser el paso previo para ataques más graves, incluyendo el despliegue de ransomware en entornos corporativos si los perfiles comprometidos tienen permisos administrativos en redes sociales empresariales. Como hemos visto en otros incidentes, como la vulnerabilidad crítica en cPanel y el riesgo de hack asociado, la superficie de ataque es constante y multivectorial.
Recomendaciones para proteger su identidad digital
Para evitar caer en este tipo de engaños, es vital seguir estas pautas:
- Autenticación en dos pasos (2FA): Utilice siempre aplicaciones de autenticación o llaves físicas en lugar de SMS.
- Verificación de remitentes: No confíe ciegamente en correos, incluso si utilizan plataformas corporativas conocidas como
Google AppSheet. - Monitoreo de actividad: Revise periódicamente los dispositivos conectados a su cuenta de Facebook y cierre cualquier sesión desconocida.
La sofisticación de estas campañas subraya la necesidad de una postura de seguridad proactiva. La tecnología, aunque potente, puede ser utilizada en nuestra contra si no se mantienen los protocolos de higiene digital adecuados.
Fuentes:
Artículos relacionados
11 de julio de 2026
Condemna històrica: membre de la banda Ryuk ransomware admet la seva culpabilitat
Un ciutadà armeni es declara culpable als EUA pel desplegament de ransomware Ryuk, afrontant una possible sentència de 15 anys de presó.
11 de julio de 2026
Historic Conviction: Ryuk Ransomware Gang Member Admits Guilt
An Armenian national pleads guilty in the U.S. for deploying Ryuk ransomware and faces a potential 15-year prison sentence.
11 de julio de 2026
Condena histórica: miembro de la banda Ryuk ransomware admite su culpa
Un ciudadano armenio se declara culpable en EE. UU. por el despliegue de ransomware Ryuk, enfrentando una posible sentencia de 15 años de prisión.
10 de julio de 2026
Hackers exploten Microsoft Entra: Nova vulnerabilitat en passkeys
Un grup d'actors maliciosos utilitza enginyeria social per comprometre comptes de Microsoft 365 mitjançant falsos registres de passkeys a Entra.
Cargando comentarios...