En la batalla constante de la ciberseguridad, los atacantes buscan sin cesar nuevas formas de eludir las defensas tradicionales. Una de las tácticas más recientes y, al parecer, efectivas es el uso malicioso de las invitaciones y los archivos de calendario, como los archivos .ics o la suplantación directa de plataformas como Google Calendar y Outlook. Este enfoque aprovecha la confianza inherente que los usuarios tienen en sus herramientas de organización y la automatización de los sistemas, convirtiendo una simple notificación de reunión en un peligroso vector de phishing.
Y hay que decirlo: “pasa hasta en las mejores familias”, en TECHcetera nos han atacado y, por eso, creemos que es importante informarse para no caer en estas tretas!
¿Cómo Funciona el Engaño del Calendario?
El éxito de este ataque se basa en una combinación de ingeniería social y las configuraciones predeterminadas de las aplicaciones de calendario más populares.
1. El Archivo o la Invitación Maliciosa
El ataque a menudo comienza de una de estas dos maneras:
• Archivos .ics Adjuntos: Los atacantes envían un correo electrónico con un archivo adjunto .ics (un formato universal de calendario). Estos archivos de texto plano son a menudo clasificados como “seguros” por los filtros de correo electrónico y antivirus tradicionales, permitiendo que el contenido malicioso se cuele.
• Invitación Directa (Spoofing): El atacante envía directamente una invitación de calendario falsa utilizando las funciones del propio sistema (como Google Calendar o iCloud).
2. La Trampa de la Automatización
Aquí es donde reside la clave del engaño. Por defecto, muchas plataformas de calendario están configuradas para añadir automáticamente las invitaciones de eventos al calendario del usuario, incluso si no han sido solicitadas.
• Sin Interacción Requerida: A diferencia del phishing tradicional que requiere que el usuario abra un correo electrónico, con esta técnica, el evento aparece de repente en el calendario de la víctima, a menudo sin dejar un rastro visible en la bandeja de entrada.
3. Alarmas Terroríficas y Llamadas a la Acción
Una vez que el evento está en el calendario, el atacante utiliza tácticas de ingeniería social para manipular a la víctima.
Asuntos Alarmantes: El evento tiene un título con un lenguaje urgente o amenazante, por ejemplo:
• “¡ALERTA! Tu cuenta ha sido comprometida. Acción Requerida”
• “Último Aviso: Se realizará un cobro automático de [Monto] USD en 12 horas”
• “Verificación de Nómina Pendiente: Requerido de Inmediato”
El Vínculo Malicioso: Dentro de la descripción del evento, o incluso como un enlace incrustado directamente en el título, se encuentra el vínculo de phishing. El usuario, asustado por la urgencia y el contexto (un evento de calendario parece más “oficial” que un simple correo), hace clic en el enlace.
Destino: Este enlace puede llevar a sitios de robo de credenciales (que imitan páginas de inicio de sesión de bancos o servicios), o iniciar la descarga de malware.
Consejos Esenciales para la Defensa del Usuario
La educación y la configuración adecuada son las mejores herramientas de protección contra estos ataques.
1. Desactivar la opción de añadir los eventos automática: Es menester revisar y cambiar la configuración de la plataforma de calendario para no añadir automáticamente invitaciones a tu calendario a menos que las aceptes manualmente.
2. Verificar la urgencia: Los ciberdelincuentes utilizan plazos cortos y amenazas para generar miedo y urgencia. Si un evento o mensaje le exige actuar de inmediato sin verificación por que le van a hacer un cobro desmedido, un embargo o se va a quedar sin servicio, la gran mayoría de las veces, se trata de un fraude.
3. No Confíe en la apariencia: Que un evento aparezca en el calendario no significa que sea legítimo. Nunca haga clic en enlaces o descargue adjuntos de eventos de calendario inesperados.
4. Verifique por los canales oficiales: Si la alerta parece venir del banco, empresa o proveedor de servicios, vaya directamente a su sitio web oficial escribiendo la URL en tu navegador, o llame a su número de contacto oficial. No utilice los enlaces del evento sospechoso.
A medida que las defensas de correo electrónico se vuelven más sofisticadas, seguramente, los atacantes migran a nuevos canales. La próxima vez que vea una notificación alarmante en su calendario, tómese un momento: respire, verifique y revise la configuración de su calendario.
