Spoofing y phishing usando invitaciones ICS en el calendario

Portada » Windows » Spoofing y phishing usando invitaciones ICS en el calendario

Los archivos ICS y las invitaciones de calendario se han ganado una fama de herramientas inofensivas: sirven para agendar reuniones, coordinar equipos y recibir avisos de citas. Justo por eso se han convertido en una diana perfecta para los ciberdelincuentes, que han encontrado la forma de colar ataques de spoofing y phishing aprovechando ese halo de confianza y las configuraciones por defecto de plataformas como Outlook, Google Calendar o iCloud.

En los últimos meses se han detectado oleadas de invitaciones ICS maliciosas que llegan aparentemente desde cuentas corporativas legítimas, incluso con direcciones tipo calendar@tudominio.com, y que incluyen desde códigos QR para “firmar documentos” hasta enlaces camuflados en la descripción del evento. El resultado es un vector de ataque muy efectivo que muchas defensas de correo no están parando y que, para colmo, sorprende a los usuarios dentro de un lugar donde suelen bajar la guardia: su calendario.

Qué es un archivo ICS y por qué se ha convertido en un vector de ataque

Un archivo ICS (iCalendar) es un formato estándar de calendario diseñado para intercambiar eventos entre aplicaciones: Outlook, Google Calendar, Apple Calendar y prácticamente cualquier agenda moderna lo soportan. Lo conoces bien: recibes un correo con una invitación a una reunión, abres el adjunto ICS y tu calendario te ofrece aceptarla o rechazarla. Nada raro, puro día a día de oficina.

Ese ecosistema aparentemente inocente hace que los filtros de correo y muchos motores antivirus traten los ICS como adjuntos de bajo riesgo, más cercanos a un simple texto estructurado que a un ejecutable o a un documento ofimático con macros. Esta percepción de “archivo seguro” es justo lo que los atacantes explotan: el contenido del ICS puede incluir descripciones, enlaces, remitentes manipulados y otros elementos usados para el engaño sin que el gateway los analice con el mismo celo que un PDF o un fichero ofimático.

Además, la integración profunda entre email y calendario en suites como Microsoft 365 o Google Workspace hace que muchos usuarios ni siquiera vean el adjunto como tal: solo ven la notificación de un evento con su título, descripción y botón de “Aceptar”. Ese salto de canal —del correo a la agenda— es clave para entender por qué este tipo de phishing está volviendo con tanta fuerza.

Cómo funciona el spoofing y phishing usando invitaciones ICS

Los ciberdelincuentes aprovechan el flujo habitual de invitaciones de calendario para colar su ataque disfrazado de reunión, formación interna, aviso de seguridad o actualización de políticas. El truco está en que todo parezca impecablemente legítimo hasta que el usuario abre el evento o escanea un código QR.

En muchos casos, el primer paso es registrar un dominio completamente real y levantar un servicio de correo legítimo. Ese dominio pasará todos los controles clásicos: SPF, DKIM, DMARC correctamente configurados, reputación neutra o aceptable y, por tanto, sin levantar sospechas en los filtros de entrada. En una variante más agresiva, el atacante directamente compromete una cuenta corporativa auténtica: roba las credenciales o el token de sesión y usa una casilla de la empresa para enviar las invitaciones.

Una vez tienen acceso a un buzón que parece de confianza, los atacantes envían una invitación de calendario con un adjunto ICS o usan directamente las funciones de envío de reuniones de la propia plataforma (por ejemplo, desde una cuenta de Microsoft 365 comprometida). El correo, visto desde fuera, es impecable: dominio legítimo, autenticación correcta, sin enlaces extraños en el cuerpo y, muchas veces, casi sin texto. Solo una invitación a un evento.

El contenido realmente peligroso se esconde dentro del fichero ICS o en los campos del propio evento: enlaces a sitios de phishing, imágenes que simulan documentos internos y, cada vez más, códigos QR que dirigen a páginas fraudulentas. El usuario abre el evento, ve algo aparentemente corporativo —“Nueva política de seguridad”, “Actualización de nómina”, “Firma de manual de la compañía”— y se le pide escanear un QR o hacer clic en un enlace para completar una acción.

Para reforzar la sensación de legitimidad, los atacantes suelen configurar el campo del organizador dentro del ICS como direcciones que parecen internas, por ejemplo calendar@tudominio.com o calendar@empresa.com. De esta forma, el calendario muestra “enviado en nombre de” una cuenta que encaja con lo que el usuario esperaría de un sistema automatizado de su organización, reduciendo aún más las sospechas.

Tácticas específicas: QR, urgencia y suplantación del calendario

Una de las tendencias más visibles en estas campañas es el uso de imágenes incrustadas en la invitación que simulan manuales, formularios o comunicados de la empresa. En esas imágenes aparece un documento ficticio que supuestamente requiere tu firma o validación, y para ello debes escanear un código QR. Esa acción desplaza el ataque al móvil de la víctima, donde a menudo hay menos protecciones corporativas que en el portátil o PC de trabajo.

Más allá del QR, los atacantes exprimen las técnicas clásicas de ingeniería social basadas en la urgencia. Los títulos de los eventos se llenan de mensajes alarmistas tipo “Alerta: tu cuenta será suspendida”, “Cobro automático programado en 12 horas” o “Verificación de nómina pendiente”. El objetivo es que el recordatorio del calendario, cuando salte, pille al usuario con prisas y le parezca más una notificación oficial que un simple correo sospechoso.

Otra variante es el phishing directo dentro de Google Calendar u otros servicios, donde el atacante envía una invitación sin adjuntos pero con la descripción del evento repleta de enlaces maliciosos. Muchas configuraciones por defecto añaden automáticamente esos eventos al calendario, incluso sin aceptar la invitación, de modo que la víctima se encuentra de repente con una cita extraña que exige hacer clic “para revisar detalles” o “confirmar información de pago”.

En todos los casos, el denominador común es el mismo: el engaño se traslada de la bandeja de entrada a la app de calendario. Esto deja fuera de juego a algunos mecanismos automatizados que solo vigilan el contenido visible del correo original, y pone el foco en un entorno donde el usuario se siente cómodo y menos alerta.

Por qué estos ataques eluden tantos controles de seguridad

Los gateways de correo modernos se apoyan en un conjunto de controles muy maduros para frenar el phishing tradicional: reputación de dominio, autenticación, análisis semántico del cuerpo del mensaje, sandboxing de adjuntos ejecutables, inspección de URLs, etc. El problema con los ICS maliciosos es que juegan con las grietas de ese enfoque.

En primer lugar, al venir desde dominios o cuentas legítimas, las invitaciones superan sin esfuerzo los controles de identidad del remitente. No hay spoofing clásico de direcciones tipo “paypa1.com”, sino correos firmados correctamente por servicios que el sistema ya confía o por cuentas internas comprometidas.

En segundo lugar, el adjunto ICS no es un archivo típico de alto riesgo. Es un texto estructurado con campos específicos para fechas, asunto, descripción, organizador y participantes. Muchos motores lo tratan como un formato casi plano, sin aplicar el mismo nivel de análisis profundo que a un PDF, un DOCX o un archivo comprimido. Si el enlace malicioso va en la descripción del evento, puede que se analice con menos rigor o, directamente, que pase desapercibido según la configuración.

A esto se suma la propia automatización del calendario. En entornos como Google Workspace o Microsoft 365, las invitaciones externas pueden acabar visibles en el calendario incluso sin que el usuario abra el correo original. Esa separación de canales reduce la eficacia de medidas que dependen de la interacción en el email, como los banners de advertencia o los motores que reescriben y validan URLs en el momento del clic.

Por último, hay una cuestión psicológica nada trivial: el usuario percibe el calendario como un espacio interno y controlado. Un recordatorio que aparece con el logo de Outlook o Google y que se integra con sus reuniones diarias tiene una apariencia más “oficial” que un correo que llega suelto a la bandeja de entrada. Ese sesgo juega claramente a favor del atacante.

Otras tendencias relacionadas: PDFs, CAPTCHA y validación de cuentas

Aunque el calendario se haya puesto de moda de nuevo como vector de entrada, no actúa en solitario. Organizaciones de seguridad como Kaspersky han descrito campañas donde el phishing de calendario se combina con otras técnicas diseñadas para sortear controles automáticos.

Una de ellas es el uso de PDF con códigos QR incrustados en lugar de enlaces visibles. El correo puede no contener ninguna URL sospechosa a simple vista, pero dentro del PDF hay un QR que dirige a la web maliciosa. Algunas soluciones de seguridad tienen más dificultades para analizar de forma exhaustiva las imágenes dentro de los PDFs, y, de nuevo, se incentiva al usuario a usar su móvil para escanear el código.

También se ven con frecuencia PDF cifrados con contraseña, donde la clave viene en el propio mensaje o en un canal paralelo. Ese cifrado complica o impide que los sistemas de análisis automático inspeccionen el contenido interno antes de que lo abra el usuario, lo que da a los atacantes una “capa de invisibilidad” frente a muchos motores.

En el lado de la web, varios grupos están montando sitios de phishing con cadenas de CAPTCHA que filtran bots y sistemas automáticos antes de mostrar la página real de robo de credenciales. El objetivo es que solo las víctimas humanas lleguen a ver el formulario completo, mientras que los escáneres automáticos se quedan atascados en pantallas de verificación aparentemente inofensivas.

Por si fuera poco, algunas de estas páginas hacen validación en tiempo real de cuentas de correo. Si el email que introduces no existe o no cuadra con el servicio suplantado, muestran mensajes de error verosímiles, reforzando la ilusión de legitimidad y animando a la víctima a insistir con otra cuenta “correcta”. Todo ello encaja con la misma lógica: no necesitan inventar ataques nuevos, sino recombinar piezas conocidas para escapar a lo que ya está muy bien protegido.

El calendario como “entrada lateral” en la organización

Para muchas empresas, el calendario ha sido históricamente una función satélite del correo: algo que simplemente viene incluido en la suite ofimática y que no se considera de forma explícita como superficie de ataque. Sin embargo, la realidad actual es otra muy distinta: el calendario es un hub donde confluyen integraciones, automatismos y flujos de trabajo críticos.

En la práctica, multitud de organizaciones permiten que invitaciones externas se acepten o se muestren con muy poca fricción. Es frecuente que los eventos procedentes de ciertos dominios aparezcan directamente visibles sin filtrado adicional, o que los usuarios hayan aprendido a aceptar casi cualquier cita que parezca relacionada con su área de negocio, especialmente si viene disfrazada de formación interna, cambios de políticas o reuniones con proveedores.

Además, el calendario se conecta cada vez más con herramientas de productividad e incluso procesos con IA: desde bots que generan resúmenes de reuniones hasta flujos de aprobación que se disparan al crear ciertos tipos de eventos. Un evento malicioso que se cuele en ese ecosistema puede, en algunos escenarios, alimentar automatismos que no estaban pensados para lidiar con contenido hostil.

Todo esto convierte al calendario en una “entrada lateral” muy jugosa para los atacantes. No compiten en la bandeja de entrada, donde el usuario ya está entrenado para sospechar, sino en la agenda, donde la apariencia de normalidad juega en su favor y donde los recordatorios repetidos multiplican las oportunidades de que la víctima acabe clicando o escaneando ese QR.

Medidas técnicas para reducir el riesgo con invitaciones ICS

Desde el punto de vista de sistemas y seguridad, hay varias líneas de actuación realistas para ponerle trabas a este tipo de ataques, sin romper por completo el flujo de negocio basado en invitaciones de calendario.

Una opción extrema sería bloquear todos los adjuntos ICS en el gateway de correo. Técnicamente es posible, pero en la práctica suele tener un impacto muy serio: muchas reuniones legítimas con clientes, socios o proveedores se verían afectadas y el coste en fricción y soporte probablemente sería inasumible. De forma similar, prohibir las reuniones externas puede reducir mucho la exposición, pero a cambio condiciona de forma intensa la operativa diaria.

Entre los enfoques más equilibrados está el de ajustar las políticas de invitaciones externas en plataformas como Microsoft 365 y Google Workspace. Por ejemplo, se puede deshabilitar que los eventos de remitentes desconocidos se añadan automáticamente al calendario, forzar que el usuario deba aceptar manualmente o aplicar políticas diferenciadas según el dominio de origen.

También es recomendable revisar las reglas del gateway y del stack de seguridad para tratar las invitaciones de calendario como contenido potencialmente malicioso. Esto implica prestar especial atención a adjuntos .ics, correos de reunión sin cuerpo de texto, eventos con enlaces en la descripción y remitentes que intentan parecer internos (sobre todo direcciones del tipo calendar@tudominio.com cuando en la organización nunca se han utilizado). En muchos casos será necesario escalar estas necesidades a los proveedores de seguridad para que mejoren la detección.

Por último, es clave reforzar el perímetro posterior al robo de credenciales e identidades digitales. El objetivo principal de estos ataques suele ser hacerse con cuentas válidas que luego se usen para moverse lateralmente o lanzar nuevas campañas desde dentro. Endurecer el inicio de sesión con métodos de MFA resistentes al phishing (como llaves de seguridad o passkeys) y desplegar políticas de acceso condicional ligadas a dispositivos corporativos puede frenar mucha parte del daño, incluso si el usuario llega a introducir sus credenciales en una página fraudulenta.

Formación, reporte y cultura de seguridad alrededor del calendario

Por muy afinados que estén los controles técnicos, estos ataques tienen un fuerte componente de ingeniería social dirigida al usuario final. La formación deja de ser un complemento “nice to have” y se convierte en una pieza central para cortar la cadena delictiva antes de que se complete.

Es importante incluir en los programas de concienciación casos específicos de phishing vía calendario, no solo ejemplos de correos sospechosos. Los empleados deben aprender a cuestionar también aquellos eventos que aparecen espontáneamente en su agenda, sobre todo si llevan títulos alarmistas, vienen de remitentes desconocidos o contienen enlaces y códigos QR para “solucionar” supuestos problemas de cuenta, nómina o facturación.

De la misma forma, tiene un peso enorme contar con un sistema de reporte de correos e invitaciones sospechosas que sea fácil de usar y genere confianza. Si cada aviso del usuario se revisa de verdad y se le da feedback, la organización tiende a reportar más, lo que a su vez alimenta la capacidad de bloquear nuevas campañas de forma reactiva y de actualizar reglas y firmas.

Otro punto formativo clave está en la gestión de la urgencia: acostumbrar a los empleados a desconfiar de cualquier mensaje o evento que les presione con plazos ridículos o consecuencias catastróficas inmediatas. Cuando la notificación tenga pinta de venir de un banco, proveedor o plataforma externa, lo más sano es recomendar siempre la verificación por canales oficiales, escribiendo la URL a mano en el navegador o usando la app oficial, nunca a través del enlace incrustado en el evento o en el QR.

Combinando formación específica, canales de reporte efectivos y un mensaje corporativo claro —el calendario también es un posible vector de ataque— se puede reducir de forma notable la probabilidad de que un empleado caiga ante la enésima “reunión urgente” de origen dudoso.

Todo este escenario deja una idea clara: las invitaciones ICS y los calendarios han dejado de ser territorio neutro. A medida que las defensas del correo electrónico se han sofisticado, los atacantes han movido ficha hacia canales que los usuarios perciben como más rutinarios y fiables. Entender el funcionamiento de estos ataques, ajustar las políticas técnicas y, sobre todo, educar a los equipos para sospechar también de esa “cita rara” que aparece de repente en la agenda es hoy una parte esencial de cualquier estrategia de seguridad razonable.

Related article:

Seguridad frente a phishing: guía completa para no caer en la trampa