Una estafa sofisticada aprovecha un fallo de Google y Microsoft: los delincuentes utilizan invitaciones de calendario para realizar phishing

Una nueva y sofisticada técnica de ataque digital permite a los delincuentes insertar citas falsas, llenas de enlaces y archivos adjuntos maliciosos, directamente en los calendarios de los usuarios de Google Workspace y Microsoft 365. La táctica, denominada ICS phishing, explota la funcionalidad de programar eventos automáticamente a través del correo electrónico, logrando sortear las barreras de seguridad que normalmente bloquean los mensajes sospechosos en la bandeja de entrada.

El mecanismo de defensa del correo electrónico puede incluso identificar el mensaje malicioso y enviarlo a cuarentena, pero el evento del calendario con todo el contenido de la estafa ya se ha creado y permanece en el calendario de la víctima. Esta brecha de seguridad representa un salto en la sofisticación de los ataques, centrándose en un área (el calendario) que las soluciones de seguridad tradicionales basadas en API y las puertas de enlace no pueden monitorear ni remediar eficazmente una vez creado el evento.

Cómo funciona la estafa: de la bandeja de entrada al calendario

La vulnerabilidad radica en la forma en que Google y Microsoft procesan el formato .ics (Internet Calendar Scheduling), el estándar para las invitaciones de calendario. Al recibir un correo electrónico con este archivo adjunto, ambas plataformas crean automáticamente el evento en el calendario, sin requerir ninguna confirmación ni clic por parte del usuario, característica diseñada para facilitar la rutina corporativa.

El problema empeora porque la mayoría de las soluciones de seguridad del correo electrónico no tienen la capacidad de eliminar entradas maliciosas ya creadas en los calendarios. Es posible que se elimine el mensaje original, pero la programación permanece activa.

En Microsoft 365, la situación es particularmente crítica, ya que la plataforma transfiere automáticamente los archivos adjuntos del correo electrónico al evento del calendario. Esto significa que un archivo adjunto peligroso, como un PDF o HTML malicioso, migra del mensaje bloqueado a la libreta de direcciones sin someterse a análisis de seguridad adicionales.

Estrategias de abuso de confianza e instrucciones contradictorias

Uno de los ataques identificados muestra cómo los delincuentes utilizan servicios legítimos para dar credibilidad a la estafa. En este caso, se utilizó FreeConferenceCall.com, una plataforma real para reuniones virtuales, para programar una conferencia telefónica.

• El estafador programa una reunión legítima en el servicio, que genera la invitación estándar con datos de acceso.
• En el cuerpo del correo electrónico se inserta una “instrucción contradictoria”: un mensaje que pide a la víctima que ignore los datos automáticos y llame a un número de teléfono alternativo, controlado por el delincuente.
• El archivo de invitación del calendario .ics se genera con la información maliciosa, lo que garantiza que el número falso llegue al calendario de la víctima.
• La víctima, al ver el evento oficial en el calendario días después, llama al número ycae directamente en el phishing de voz.

Ataques con códigos QR y kit de phishing profesional

Otras tácticas revelan la inversión en profesionalismo por parte de los atacantes. Un ataque minimalista utiliza un correo electrónico casi vacío, que contiene solo un PDF adjunto con un código QR de robo de credenciales.

Leia Tambem

Certificação da Anatel para Samsung Galaxy Watch Ultra 2 avança lançamento no Brasil

Sites empregam FROST para espionar usuários via atividade de SSD e detectar abas abertas em navegadores

CSU investe US$ 30 milhões em IA da OpenAI, mas pesquisa revela ceticismo entre alunos e professores

El PDF pretende ser un documento Docusign e indica a la víctima que escanee el Código QR con su teléfono celular para “verificar su documento” o “firmar el contrato pendiente”. Debido a que el archivo adjunto se transfiere al evento del calendario, la víctima puede acceder a él directamente desde su calendario, meses después de que se descartó el correo electrónico original. El uso de Códigos QR es estratégico, ya que muchos sistemas de seguridad no analizan su contenido y la acción en un teléfono celular puede eludir las protecciones corporativas.

Un tercer ejemplo demuestra una gran sofisticación. El evento falso no sólo utiliza desencadenantes psicológicos como urgencia y miedo a perder (“Su dominio empresa.com.br caduca en 48 horas”) sino que también bloquea toda la semana en el calendario de la víctima bajo el título “INTERRUPCIÓN DEL SERVICIO”. Para aumentar la credibilidad, la lista de asistentes al evento incluye invitados ficticios con nombres genéricos como “Administrador” y “Soporte TI”, simulando la implicación de otras áreas de la empresa.

La carga útil maliciosa de este ataque es un archivo HTML adjunto que, cuando se abre, ejecuta un kit de phishing completo localmente en la computadora de la víctima, creando una página falsa de Servicios de dominio de Microsoft en el directorio temporal, lo que dificulta la detección para los filtros de red.

Medidas de mitigación para proteger cuentas corporativas

Es fundamental que empresas y usuarios revisen la configuración de seguridad de sus cuentas. Puedes configurar Google Workspace y Microsoft 365 para bloquear las invitaciones automáticas, lo que requiere la confirmación del usuario antes de crear el evento del calendario.

Este simple cambio de configuración es la forma más eficaz de mitigar el riesgo de phishing de ICS, garantizando que el evento malicioso no se materialice en la agenda incluso si el correo electrónico no es completamente interceptado por la puerta de enlace de seguridad. La concienciación de los empleados sobre la naturaleza del ataque es un complemento crucial.

El agujero de seguridad explotado en ICS

El éxito del phishing a través de invitaciones de calendario se debe a la ceguera de los sistemas de defensa en relación con el backend de las plataformas de productividad. Los delincuentes explotaron una laguna jurídica que la mayoría de las empresas no sabían que existía, convirtiendo una herramienta de productividad en un vector de ataque persistente y difícil de eliminar. Es urgente adoptar nuevas estrategias de ciberseguridad que supervisen activamente los servicios de calendario para neutralizar esta amenaza en evolución.