La suplantación de marcas mediante IA ataca a las cuentas empresariales de Meta a través de aplicaciones móviles maliciosas

1 de junio de 2026

Por Samantha Clarke, Archa Archa, Hiwot Mendahun y el equipo de investigación de amenazas de Mimecast

Resumen de la campaña

El equipo de investigación de amenazas de Mimecast ha estado siguiendo una campaña de phishing que se aprovecha de la popularidad de las plataformas de inteligencia artificial para distribuir aplicaciones móviles maliciosas. Esta campaña se hace pasar por marcas de confianza, concretamente Google Gemini y OpenAI/ChatGPT, para incitar a los usuarios empresariales a descargar aplicaciones fraudulentas de la App Store de Apple.

El ataque comienza con correos electrónicos de phishing que utilizan asuntos como « "», «Google Gemini LLC le ha invitado a probar Google Gemini Advertising» (" ) o « "», «ChatGPT le ha invitado a probar OpenAI Advertising» (" ). Estos mensajes se presentan como invitaciones exclusivas para probar nuevos productos publicitarios basados en la inteligencia artificial, dirigidos específicamente a empresarios y profesionales del marketing que gestionan campañas publicitarias en redes sociales.

Asignación a las operaciones de negociación de la cuenta vietnamita

Mimecast ha identificado indicios claros que relacionan esta campaña con actores maliciosos vietnamitas especializados en el comercio de cuentas de Meta Business Manager. Estas campañas se inscriben en una tendencia más amplia de operaciones con sede en Vietnam que adquieren cuentas empresariales de Meta que han sido objeto de ataques para su reventa o explotación. El ecosistema de operaciones con cuentas vietnamitas funciona a través de varios canales.

Mercados clandestinos: Las cuentas de Meta Business Manager comprometidas que cuentan con métodos de pago activos alcanzan precios elevados en foros en vietnamita y en canales de mensajería cifrada. Las cuentas con un historial de gasto publicitario consolidado y límites de gasto más elevados resultan especialmente valiosas.
Por ejemplo, VIA17 es un mercado vietnamita de cuentas de libre acceso que parece comercializar el acceso a cuentas en redes sociales y servicios relacionados con la gestión de dichas cuentas. No se trata simplemente de un vendedor aislado, sino de un escaparate representativo de una economía de servicios de ciberdelincuencia más amplia vinculada a Vietnam que da soporte a operaciones de fraude posteriores, incluido el uso indebido de cuentas publicitarias de Facebook.

 

Redes de fraude publicitario: Los actores maliciosos vietnamitas utilizan cuentas comprometidas para llevar a cabo campañas publicitarias no autorizadas, en las que suelen promocionar productos o servicios fraudulentos, mientras que los costes se facturan al titular legítimo de la cuenta. Esta actividad genera ingresos, mientras que la cuenta comprometida asume los costes.

Operaciones de «farming» de cuentas: Algunos actores se especializan en acumular grandes cantidades de cuentas comprometidas, que posteriormente se alquilan o venden a otros actores maliciosos con diversos fines maliciosos, entre los que se incluyen campañas de phishing posteriores, suplantación de marcas y fraude financiero.
La decisión de distribuir aplicaciones maliciosas a través de canales legítimos, como la App Store de Apple, supone una evolución calculada en las tácticas. Al aprovechar plataformas de distribución de confianza, estos autores de amenazas aumentan considerablemente su tasa de éxito, al tiempo que parecen más creíbles ante sus posibles víctimas.

Flujo de campaña

1. Primer contacto: Los destinatarios reciben correos electrónicos que se hacen pasar por Google Gemini u OpenAI, en los que se les ofrece acceso para probar nuevas herramientas de gestión publicitaria
2. Instalación de la aplicación: Se indica a los usuarios que descarguen una aplicación similar a « "» y «Ads Manager»" desde la App Store de Apple.
3. Robo de credenciales: Al iniciarse, la aplicación muestra una interfaz de inicio de sesión de Facebook/Meta en lugar de la herramienta de publicidad basada en IA anunciada.
4. Exfiltración de datos: las credenciales de inicio de sesión y, posiblemente, los tokens de sesión se transmiten a una infraestructura controlada por el atacante.
5. Apropiación de cuentas: los atacantes obtienen acceso a Facebook Business Manager, a las cuentas publicitarias y a los métodos de pago

La verdadera amenaza

Una vez instaladas, estas aplicaciones se alejan por completo de la finalidad para la que se anuncian. En lugar de ofrecer herramientas publicitarias basadas en la inteligencia artificial, ofrecen a los usuarios una experiencia de inicio de sesión en Facebook/Meta que suele implementarse a través de contenido web integrado.

Esta interfaz engañosa captura nombres de usuario, contraseñas y datos que podrían estar relacionados con la sesión, los cuales posteriormente se envían a servidores controlados por los atacantes. Las credenciales obtenidas permiten a los atacantes acceder a las cuentas personales de Facebook de las víctimas y, lo que es más grave aún, a sus recursos de Business Manager. Este acceso permite a los autores de las amenazas:

• Llevar a cabo campañas publicitarias no autorizadas
• Apropiarse de los presupuestos publicitarios
• Modificar las formas de pago
• Acceda a páginas empresariales de confianza para evitar estafas posteriores
• Revender cuentas pirateadas en mercados clandestinos

Las opiniones de los usuarios en la App Store confirman el carácter malicioso de estas aplicaciones, ya que los usuarios denuncian robos de datos y accesos no autorizados a sus cuentas. A pesar de estas advertencias, las aplicaciones siguieron estando disponibles a través de canales de distribución legítimos, lo que confería una falsa credibilidad a la campaña.

Características de la campaña

Los autores de esta campaña demuestran una gran sofisticación operativa mediante varias tácticas clave.

Aprovechamiento de marcas: Al suplantar la identidad de plataformas de IA de gran repercusión que actualmente despiertan un gran interés empresarial, los atacantes se aprovechan del interés de las organizaciones por explorar las tecnologías publicitarias emergentes.

Distribución legítima: El hecho de alojar aplicaciones maliciosas en la App Store oficial de Apple les confiere una apariencia de legitimidad que puede eludir las sospechas de los usuarios. Muchos usuarios confían en las aplicaciones distribuidas a través de canales oficiales sin realizar ninguna verificación adicional.

Público objetivo: La campaña se dirige específicamente a usuarios empresariales con acceso a presupuestos publicitarios y a información de pago, lo que permite maximizar el impacto financiero potencial.

Infraestructura desechable: El uso de cuentas de desarrollador aparentemente de un solo uso (como "—Uygar Dana—," y "—Bertan Kana—,") sugiere que los autores de las amenazas prevén ser detectados y han incorporado el carácter desechable en su modelo operativo.

Indicadores de compromiso (IOC)

Fichas de aplicaciones maliciosas en la App Store

Cuentas de desarrolladores sospechosas

Temas comunes

• Asuntos de correo electrónico que hagan referencia a ", Google Gemini LLC," o ", ChatGPT,", invitaciones
• Mensajes relacionados con las pruebas ", la publicidad" o ", el negocio" y los productos
• Convenciones de nomenclatura de aplicaciones que combinan los nombres de plataformas de IA con terminología publicitaria (por ejemplo, "Ads GPT," " GeminiAI Advertising")

Destinatarios

Regiones principales: Estados Unidos, Reino Unido, Australia

Sectores a los que se dirige: Son muchos, aunque los niveles son notablemente más elevados en los sectores del comercio minorista y los viajes, así como en los de la sanidad y la restauración.

Perfil objetivo: profesionales del marketing y gestores de redes sociales que puedan tener acceso administrativo a Meta Business Manager, cuentas publicitarias y métodos de pago.

Recomendaciones

Formación en concienciación sobre seguridad para usuarios

• Informe a los empleados sobre las características específicas de estas campañas
• Forme a los empleados para que comprueben la autenticidad de las invitaciones no solicitadas, especialmente aquellas en las que se solicita la instalación de aplicaciones
• Informe a los usuarios de que consulten las reseñas y valoraciones de la tienda de aplicaciones antes de descargar cualquier aplicación, especialmente aquellas que soliciten datos de acceso.
• Llevar a cabo ejercicios simulados de phishing con escenarios de suplantación de identidad de marcas mediante IA para evaluar la preparación de la organización
• Haga hincapié en que las empresas legítimas rara vez ofrecen acceso a versiones beta de sus productos a través de correos electrónicos no solicitados

Detección proactiva de amenazas

• Busque en los registros de recepción de correos electrónicos utilizando los indicadores de amenaza (IOC) que figuran en la lista

Esta campaña pone de relieve cómo los autores de amenazas siguen aprovechándose del interés de las organizaciones por las tecnologías emergentes, al tiempo que alimentan una sofisticada economía sumergida. El ecosistema de cuentas de comercio vietnamitas supone una amenaza constante para las organizaciones que gestionan los presupuestos publicitarios en redes sociales. Al combinar la suplantación de marcas de confianza con canales de distribución legítimos, los atacantes crean situaciones de ingeniería social muy convincentes que pueden eludir las medidas tradicionales de concienciación en materia de seguridad.