AccountDumpling: Cómo Google AppSheet fue usado para robar 30,000 cuentas de Facebook
AccountDumpling: Cómo una herramienta de Google fue usada para robar 30,000 cuentas de Facebook
Investigadores de la firma de ciberseguridad Guardio Labs descubrieron una sofisticada operación de phishing que logró comprometer aproximadamente 30,000 cuentas de Facebook en países como Estados Unidos, Italia y Canadá. La campaña, bautizada como AccountDumpling, fue vinculada a actores de amenazas con base en Vietnam.
¿Qué sucedió?
El ataque comenzaba con un correo electrónico aparentemente legítimo dirigido a propietarios de cuentas de Facebook Business. El mensaje se hacía pasar por una notificación oficial de Meta Support y advertía al usuario que su cuenta sería eliminada permanentemente si no presentaba una apelación de inmediato.
Lo que hacía a este ataque especialmente engañoso era su punto de origen: los correos se enviaban desde la dirección [email protected], perteneciente a Google AppSheet, una herramienta legítima de automatización empresarial de Google. Al hacer clic en el enlace del correo, las víctimas eran redirigidas a páginas falsas diseñadas para capturar sus credenciales de acceso, códigos de autenticación de dos factores (2FA), información personal e incluso fotografías de identificaciones oficiales.
Los datos robados eran enviados en tiempo real a canales de Telegram controlados por los atacantes, quienes posteriormente vendían las cuentas comprometidas en mercados clandestinos en línea.
| Aspecto | Detalle |
|---|---|
| Nombre de la campaña | AccountDumpling |
| Plataforma abusada | Google AppSheet ([email protected]) |
| Objetivo | Cuentas de Facebook Business |
| Cuentas comprometidas | ~30,000 (EE. UU., Italia, Canadá) |
| Datos robados | Credenciales, códigos 2FA, ID oficiales |
| Canal de exfiltración | Telegram |
| Descubierto por | Guardio Labs |
| Origen atribuido | Vietnam (según análisis de metadatos) |
¿Por qué fue tan efectivo este ataque?
La clave del éxito de AccountDumpling radica en una táctica cada vez más común entre los ciberdelincuentes: abusar de plataformas legítimas y de alta reputación para distribuir contenido malicioso.
Al utilizar Google AppSheet como “relé de phishing”, los atacantes lograron que sus correos superaran los principales filtros de seguridad de correo electrónico, incluyendo las verificaciones técnicas conocidas como SPF, DKIM y DMARC. Estos protocolos están diseñados precisamente para detectar correos fraudulentos, pero al provenir los mensajes de servidores reales de Google, los sistemas de seguridad los clasificaron como confiables.
Además, los atacantes no se limitaron a una sola táctica. Guardio Labs identificó cuatro tipos de señuelos utilizados para generar pánico en las víctimas:
- Avisos de desactivación de cuenta por supuestas violaciones de políticas
- Alegatos de infracción de derechos de autor
- Supuestas revisiones de verificación de identidad
- Falsas ofertas de reclutamiento ejecutivo de parte de Meta
La operación también se apoyó en otras plataformas confiables como Netlify, Vercel, Google Drive y Canva para alojar páginas falsas y generar materiales de ataque, lo que dificultó aún más su detección.
Análisis: la confianza como arma
Este caso es un ejemplo claro de una tendencia preocupante en el panorama de la ciberseguridad: los delincuentes han dejado de construir infraestructura propia y optan por secuestrar la reputación de marcas tecnológicas reconocidas.
Google, Meta, Microsoft y otras grandes empresas han construido décadas de confianza con los usuarios. Esa confianza se traduce en que los filtros automáticos y los propios usuarios bajen la guardia cuando ven un dominio familiar. Al insertar contenido malicioso dentro de ecosistemas legítimos, los atacantes logran que sus mensajes lleguen directamente a la bandeja de entrada, con toda la apariencia de ser comunicaciones oficiales.
AccountDumpling no fue una operación improvisada. Según los investigadores de Guardio, se trataba de una operación activa con paneles de control en tiempo real, evolución continua de sus tácticas y un ciclo comercial que incluía la reventa de cuentas robadas a través de tiendas clandestinas. Un negocio estructurado que demuestra el nivel de profesionalización que han alcanzado ciertos grupos de cibercrimen organizado.
Consejos de seguridad: cómo protegerte
Ante ataques que explotan la confianza en plataformas legítimas, es fundamental adoptar hábitos de seguridad activos. Aquí algunas recomendaciones clave:
1. Verifica siempre el remitente y el enlace antes de actuar
Un correo puede provenir de una dirección aparentemente legítima (como [email protected]) y aun así ser malicioso. Antes de hacer clic en cualquier enlace, pasa el cursor sobre él para ver la URL real de destino. Si el dominio no pertenece a la empresa que supuestamente te contacta, no hagas clic.
2. Nunca ingreses tus credenciales desde un enlace en un correo
Si recibes un aviso urgente sobre tu cuenta de Facebook o cualquier otra plataforma, accede directamente escribiendo la dirección oficial en tu navegador (ej. facebook.com o meta.com). Los avisos legítimos te esperarán dentro de tu cuenta.
3. Activa la autenticación en dos pasos (2FA)
Aunque en este ataque se intentaba capturar también los códigos 2FA, tener activada esta función añade una capa adicional de protección importante. Prefiere el uso de aplicaciones de autenticación (como Google Authenticator o Authy) sobre el método por SMS, que es más vulnerable.
4. Desconfía de los mensajes de urgencia
Los mensajes que amenazan con eliminar tu cuenta, suspender tus servicios o que te ofrecen oportunidades exclusivas si actúas “de inmediato” son señales de alarma clásicas del phishing. Tómate un momento para verificar antes de actuar.
5. Mantén actualizados tus dispositivos y utiliza herramientas de seguridad
Un navegador actualizado y una solución de seguridad confiable pueden detectar y bloquear páginas de phishing conocidas antes de que llegues a ingresar tus datos.
6. Reporta correos sospechosos
Si recibes un correo que sospechas es un intento de phishing, repórtalo a la plataforma correspondiente (Meta, Google, etc.) y márcalo como correo no deseado. Esto ayuda a mejorar los filtros de seguridad para todos los usuarios.
Recapitulando…
AccountDumpling no es solo otro caso de phishing. Es una demostración de madurez operativa del cibercrimen organizado: infraestructura distribuida en múltiples plataformas legítimas, paneles de control en tiempo real, ciclos de monetización estructurados y adaptación continua de tácticas. La elección de Google AppSheet como vector no fue accidental — fue una decisión técnica precisa para evadir controles de seguridad ampliamente desplegados.
Para los usuarios y organizaciones, el mensaje central es claro: la confianza en el nombre de un remitente o en el dominio de un enlace ya no es suficiente como criterio de seguridad. En un entorno donde los atacantes usan los mismos servicios que usan las empresas legítimas, la verificación activa, el escepticismo ante la urgencia y los controles de autenticación robustos son las defensas más efectivas disponibles hoy.
Fuentes consultadas:
- The Hacker News: “30,000 Facebook Accounts Hacked via Google AppSheet Phishing Campaign” (1 mayo 2026)
- SC Media: “Vietnamese operation uses Google AppSheet for Facebook phishing, targets 30,000 accounts” (2026)
- Hackread: “Google AppSheet Exploited in 30,000-User Facebook Phishing Operation” (2026)
- Analytics Insight: “How AppSheet Phishing Put 30,000 Facebook Accounts at Risk” (2026)
- Guardio Labs: Informe técnico AccountDumpling — investigador Shaked Chen (fuente primaria citada en reportes secundarios, 2026)
- KnowBe4: Reporte de campaña de phishing similar usando AppSheet (mayo 2025)
Esta nota fue elaborada con fines informativos y de divulgación sobre ciberseguridad. Si crees que tu cuenta de Facebook ha sido comprometida, cambia tu contraseña de inmediato y activa la autenticación en dos pasos desde la configuración de seguridad de tu cuenta.