El tejido empresarial español se enfrenta a un marronazo de proporciones industriales que está poniendo en jaque la supervivencia de miles de negocios; no es una exageración de consultor para vender la moto, los datos del Instituto Nacional de Ciberseguridad (INCIBE) son un puñetazo de realidad. En 2024, se gestionaron más de 97.000 incidentes, una cifra que ya nos parecía una pifia colectiva de seguridad, pero que en 2025 saltó hasta los 122.223 casos, lo que supone un incremento del 25% en apenas un año. Este crecimiento no es casualidad, sino el resultado de una profesionalización extrema del cibercrimen que ha puesto a la PYME española en su punto de mira, aprovechando que muchas van apretadas con la gestión diaria y descuidan lo más básico: la llave de su casa digital.
Autor
Ciberseguridad720
Editorial Team
La situación es especialmente sangrante en las redes sociales; lo que antes era un simple hackeo para publicar tonterías en un muro, hoy es una operación de secuestro financiero. Las cuentas de Facebook no se roban por amor al arte, sino para tomar el control del Meta Business Suite y sangrar las tarjetas de crédito vinculadas a la publicidad. Para una pequeña empresa que depende de sus anuncios para captar clientes, perder el acceso a su cuenta comercial es entrar en una espiral que, en el 60% de los casos, acaba con el cierre definitivo del negocio en menos de seis meses. Este informe analizamos cómo los malos están dando el clavo en sus ataques y qué errores estamos cometiendo para que les resulte tan rentable.
España se ha consolidado como el tercer país más atacado del mundo, una medalla de bronce que nadie querría lucir; el problema de fondo es que el 60% de nuestras PYMEs carece de una estrategia de ciberseguridad definida, operando bajo la falsa sensación de que no son un objetivo relevante. Pensar que "soy demasiado pequeño para que me hackeen" es la pifia más grande que puede cometer un gerente hoy en día; los delincuentes no buscan solo grandes ballenas, prefieren pescar miles de pymes porque saben que sus defensas suelen ser de papel y que el impacto financiero, aunque menor por empresa, es masivo en conjunto.
El impacto no es solo una cifra en un balance, se trata de un efecto dominó que compromete a todo el ecosistema; una pyme atacada suele ser la puerta de entrada para golpear a grandes corporaciones a través de la cadena de suministro. Además, la interrupción del negocio no perdona: cinco días de parálisis pueden significar 95.000 euros en pérdidas operativas directas y la cancelación de contratos vitales para el futuro de la organización. El dinero se recupera, a veces, pero la reputación se va por el sumidero en cuanto tus clientes ven que tu cuenta oficial está promocionando estafas de criptomonedas o productos falsos.
Los atacantes no van a ciegas, utilizan bots que escanean Facebook en busca de páginas con publicidad activa. Les interesa cualquier negocio que tenga un flujo constante de anuncios, desde una inmobiliaria en la Costa del Sol hasta una tienda de repuestos en Madrid. El hecho de tener anuncios activos es la confirmación de que hay una tarjeta de crédito o una línea de crédito vinculada a la cuenta.
Una vez localizada la empresa, investigan quiénes son los administradores; a menudo, las pymes cometen el error de tener perfiles personales muy expuestos, con correos corporativos que ya han sido filtrados en brechas de seguridad anteriores. En España, solo en 2024, se detectaron 3,8 millones de combinaciones de correos y contraseñas comprometidas en la red; lo que indica que los malos solo tienen que cruzar datos para ver quién tiene las llaves del castillo.
Aquí es donde los delincuentes demuestran que saben vender la moto mejor que nadie; el método estrella es el phishing, pero con un nivel de sofisticación que asusta. En lugar de correos cutres con faltas de ortografía, envían notificaciones que parecen salidas del mismísimo despacho de Mark Zuckerberg. La técnica más peligrosa utiliza funciones legítimas de Meta para enviar correos desde el dominio auténtico facebookmail.com
Estos mensajes suelen explotar tres sentimientos: miedo, urgencia o ambición: el miedo llega con avisos de su cuenta será suspendida por infringir derechos de autor; la urgencia aparece con verificación obligatoria requerida en 24 horas y la ambición se activa con falsas invitaciones a programas de créditos publicitarios gratuitos o acceso a Meta Verified. El usuario, que suele ir de prisa con mil tareas, ve un correo oficial de Facebook, entra en pánico por perder su herramienta de ventas y hace clic sin pensar; es ahí donde el ataque empieza a cocinarse.
Aquí es donde muchos se confunden; está demostrado que los atacantes ya no solo buscan tu contraseña, buscan tu sesión, están desplegando campañas de malvertising donde promocionan herramientas de IA o extensiones de navegador que prometen funciones milagrosas para tus anuncios; al instalar estas extensiones, el malware no te pide la clave, sino que roba las cookies de sesión de tu navegador.
El robo de cookies es el golpe maestro, al obtener ese token, el atacante clona tu sesión activa en su propio ordenador; Facebook ve que el usuario legítimo está conectado y no pide contraseñas ni códigos de segundo factor (2FA). Esto es como si te robaran la llave del coche mientras el motor está en marcha; no necesitan el código del inmovilizador porque ya han arrancado. Una vez dentro, los delincuentes se mueven a la velocidad del rayo: añaden nuevos administradores fantasma, cambian los correos de recuperación y te expulsan de tu propia empresa digital.
Cuando una PYME española pierde el acceso a su cuenta, el delincuente no pierde el tiempo, el objetivo es monetizar el acceso antes de que los sistemas automáticos de Meta detecten algo raro. El primer movimiento suele ser el drenaje de los fondos publicitarios. Los atacantes crean nuevas campañas con presupuestos inflados, a veces de miles de euros al día, para promocionar estafas de terceros, como falsas inversiones en bolsa o productos milagro.
El marronazo financiero es inmediato, los delincuentes aprovechan que la tarjeta está guardada para gastar el máximo posible en el menor tiempo; a menudo camuflan estos anuncios entre los legítimos de la empresa para que el dueño no note el incremento de gasto si no revisa el Business Manager a diario. En un caso documentado, una empresa vio cómo su factura publicitaria se multiplicaba por diez en un solo fin de semana mientras el soporte de Meta no daba señales de vida.
Pero el dinero de los anuncios no es lo único que buscan, una cuenta de empresa con miles de seguidores es un activo de confianza brutal. Los atacantes utilizan la cuenta robada para escribir mensajes directos a los seguidores, pidiendo dinero, ofreciendo descuentos falsos o solicitando datos bancarios bajo la apariencia de una promoción especial. Para el cliente, el mensaje viene de la tienda de muebles o del restaurante al que va siempre; la confianza es total y las víctimas caen como moscas. El daño a la marca es tan profundo que muchas empresas nunca recuperan el nivel de ventas previo al ataque.
Analizando los casos reales en España, vemos que la mayoría de los hackeos no son culpa de un fallo de seguridad de Facebook, sino de pifias humanas básicas que se repiten una y otra vez. La ciberseguridad no es un software que se compra, es una actitud de cerrar la puerta del almacén con llave todos los días.
Muchos empresarios se quedan tranquilos porque tienen activado el código que llega al móvil por SMS, Error. El SMS es hoy por hoy una de las formas más inseguras de doble factor, los delincuentes pueden interceptar esos mensajes o, como hemos visto, saltárselos por completo robando las cookies de sesión. Seguir confiando solo en el SMS es como poner una cerradura de seguridad pero dejar la llave debajo del felpudo.
Otro error de manual es el administrador único o el exceso de privilegios, en muchas pymes, el dueño es el único que tiene acceso total, y si le roban la cuenta a él, el negocio muere. O al revés: se le da acceso de administrador a agencias externas, becarios o empleados que ya no trabajan en la empresa, creando decenas de puertas traseras que nadie vigila. Una cuenta comprometida de un antiguo empleado puede ser el fin de tu Business Manager si no has limpiado los accesos a tiempo
Aquí es donde muchos dan el patinazo; usan el mismo ordenador, e incluso el mismo navegador, para gestionar el Business Manager de la empresa y para que sus hijos descarguen juegos o software pirata. Un solo troyano en el equipo personal puede capturar las cookies de todas las cuentas de la empresa en segundos y por eso, la falta de separación entre lo personal y lo profesional es una invitación al desastre.
No hace falta ser un genio de la informática para evitar este tipo de situaciones; la mayoría de los ataques se frenan con tres o cuatro medidas de implementación sencilla que cualquier PYME puede poner en marcha hoy mismo.
Las contraseñas tradicionales son un coladero, la gran recomendación para 2026 es el uso de Passkeys (claves de acceso). Meta ya permite configurar esto en el Centro de Cuentas, en lugar de una clave que alguien puede robarte con un correo falso, usas la biometría de tu móvil (huella o cara) o el PIN de tu dispositivo. Esto es inmune al phishing porque no hay nada que puedas escribir en una web fraudulenta; la llave está físicamente en tu teléfono.
Si tu negocio depende de Facebook, gástate 50 euros en una llave física de seguridad tipo Yubikey, es un USB que debes tocar físicamente para autorizar el inicio de sesión. Ni el hacker más listo del mundo podrá entrar en tu cuenta desde Rusia o Vietnam si no tiene ese trozo de plástico conectado a su ordenador. Es, con diferencia, la medida más robusta para proteger a los administradores principales del Business Manager.
No sirve de nada tener la mejor tecnología si alguien abre la puerta desde dentro; por eso hay que formar al equipo para que entienda que Meta NUNCA va a pedir contraseñas por chat o por teléfono. Si llega un correo de cuenta suspendida, la regla de oro es: no pinches en el enlace, abre el navegador, escribe tú mismo la dirección del Business Manager y comprueba si hay avisos reales en el panel de control; si el aviso es de verdad, aparecerá allí.
Si ya te han dado el palo, prepárate para un proceso que es un auténtico dolor de muelas; el soporte de Meta para las pequeñas empresas es famoso por ser un muro de respuestas automáticas que a menudo no resuelven nada. Muchos empresarios se tiran meses mandando fotos de su DNI y escrituras de la empresa para que luego un bot les cierre el ticket sin explicaciones.
Lo primero que hay que hacer es entrar en [facebook.com/hacked](https://www.linkedin.com/redir/redirect?url=http%3A%2F%2Ffacebook%2Ecom%2Fhacked&urlhash=6ny5&trk=
Lecturas conectadas con este tema para seguir profundizando sin salir del blog.
¿Te acuerdas de aquel bot de Chevrolet que acabó vendiendo un coche por un dólar porque un usuario se lo pidió "por favor"? Nos reímos mucho con los memes, pero lo que…
Ciberseguridad720
Editorial Team
En el mundo digital actual, una buena parte de los ciberataques no se debe a fallos técnicos complejos, sino a errores humanos. De hecho, según un estudio de IBM…
Ciberseguridad720
Editorial Team
En el mundo digital, las amenazas no son abstractas: tienen nombre, rostro (aunque muchas veces oculto) y motivaciones concretas. Los ciberataques que vemos cada día en…
Ciberseguridad720
Editorial Team