Suplantación del calendario de Google: Cómo lo utilizan los atacantes para las estafas de phishing

En los últimos meses, los expertos en ciberseguridad se han mostrado cada vez más preocupados por una complicada forma de estafa de phishing: la suplantación de identidad de Google Calendar. En este complejo y sofisticado ataque, los atacantes envían invitaciones de reunión de aspecto legítimo pero falsas que redirigen a los invitados a sitios web de phishing. Estos sitios se parecen mucho a la plataforma oficial de Google, lo que hace que estos ataques sean aún más peligrosos e incitan a los usuarios a introducir información confidencial o a hacer clic en enlaces maliciosos.

Los investigadores de Check Point descubrieron recientemente un caso de suplantación de Google Calendar en el que los hackers atacaron a 300 organizaciones con más de 4.000 invitaciones de calendario falsificadas en sólo cuatro semanas. Un alcance tan grande demuestra lo peligroso que puede ser el spoofing de Google Calendar y hace que sea imperativo detectar y prevenir este tipo de ataques.

Cómo funciona la suplantación de identidad de Google Calendar

A continuación se indican algunos pasos habituales de un intento exitoso de suplantación de Google Calendar: 

Aprovechar las funciones de invitación al calendario

Suplantación de Google Calendar

Los atacantes aprovechan las funciones fáciles de usar de Google Calendar para enviar correos electrónicos de phishing que parecen invitaciones legítimas a reuniones. En la fase inicial, los hackers explotaron funciones inherentes a Google Calendar e incluyeron enlaces que dirigían a Google Forms. Sin embargo, el ataque se volvió aún más complejo y peligroso con el tiempo, ya que los atacantes se dieron cuenta de que los filtros de seguridad y las puertas de enlace eran capaces de detectar las invitaciones maliciosas de Calendar. 

Actualmente, el ataque ha evolucionado para alinearse con las capacidades de Google Drawings. A menudo, los enlaces a Google Form, Google Drawings o archivos adjuntos ICS contienen un CAPTCHA o un botón de soporte.

El defecto por defecto de Google Calendar

Por defecto, Google añade automáticamente invitaciones de calendario al calendario de un usuario, incluso si la invitación no ha sido solicitada. Los atacantes aprovechan esta circunstancia para insertar enlaces maliciosos en los calendarios de los usuarios sin necesidad de interactuar con el correo electrónico.

Cabeceras de correo electrónico manipuladas y suplantación del remitente

Los investigadores descubrieron que los ciberdelincuentes pueden eludir los filtros de spam enviando invitaciones de phishing a través de Google Calendar porque los correos electrónicos parecen proceder de un servicio legítimo de Google. Dado que los atacantes utilizan Google Calendar, las cabeceras de los correos electrónicos parecen reales y no pueden distinguirse de las invitaciones de calendario auténticas. Los investigadores compartieron una instantánea de estas cabeceras, que mostraban que los correos electrónicos de phishing llegaban a las bandejas de entrada porque pasaban las comprobaciones de seguridad DKIM, SPF y DMARC.

Los atacantes también pueden cancelar el evento del calendario y añadir una nota, que se envía por correo electrónico a los participantes, duplicando así el número de correos electrónicos de phishing enviados. Este mensaje puede incluir un enlace, como uno a Google Drawings, para engañar aún más a las víctimas y hacer que visiten sitios de phishing.

Archivos .ics maliciosos y enlaces falsos

Los correos electrónicos de phishing de Google Calendar incluyen un archivo de calendario (.ics) con un enlace a Google Forms o Google Drawings. En cuanto el destinatario hace clic en el primer enlace, se le pide que haga clic en otro malicioso, que suele aparecer en forma de reCAPTCHA o botón de soporte.

Estas tácticas son bastante comunes en correos electrónicos de phishingque están diseñados para engañar a los destinatarios para que revelen información confidencial o realicen acciones que beneficien al ciberdelincuente. Reconocer estas características comunes de los correos electrónicos de phishing puede ayudarle a mantenerse protegido en Internet y a no ser víctima de estas estafas.

Páginas de asistencia falsas y estafas con criptomonedas

Tras hacer clic en el enlace malicioso, las víctimas son redirigidas a sitios web fraudulentos diseñados para robar información personal o datos corporativos. Estas páginas suelen imitar páginas de aterrizaje de minería de criptomonedas, sitios de soporte de Bitcoin o procesos de autenticación falsos con el objetivo de recopilar detalles sensibles e información de pago.

Por qué Google Calendar es un objetivo para los estafadores

Google Calendar es una de las plataformas más utilizadas en todo el mundo; más de 500 millones de usuarios de todo el mundo utilizan esta plataforma para programar sus reuniones y gestionar su tiempo. Forma parte de Espacio de trabajo de Google y está disponible en 41 idiomas.

A menudo se confía más en las invitaciones del calendario que en los correos electrónicos de phishing estándar, ya que los usuarios están acostumbrados a recibirlas e interactuar con ellas de forma habitual. Esto también contribuye al éxito y la eficacia de los ataques de suplantación de Google Calendar. 

El impacto de las estafas de phishing de Google Calendar

Google Calendar Las estafas de phishing pueden provocar importantes pérdidas económicas y violaciones de datos tanto a particulares como a organizaciones. Cuando los atacantes roban información personal y financiera, pueden utilizarla para cometer fraudes con tarjetas de crédito, realizar transacciones no autorizadas o saltarse las medidas de seguridad de otras cuentas.

El reciente ataque afectó a unas 300 marcas de una amplia gama de sectores, como instituciones educativas, servicios sanitarios, empresas de construcción y bancos.

Para mitigar los riesgos asociados a estos ataques, las organizaciones deben implantar medidas de protección de dominios. Estas pueden ayudar a prevenir el uso no autorizado del nombre de dominio de una empresa en intentos de phishing y otras actividades fraudulentas.

El último ataque: Suplantación de identidad en Google Calendar contra 300 organizaciones

Los investigadores de Check Point identificaron una compleja campaña de phishing que envió más de 4.000 invitaciones de calendario falsificadas a 300 organizaciones en tan solo cuatro semanas. Los atacantes manipularon los encabezados de los correos electrónicos para que las invitaciones parecieran legítimas, como si hubieran sido enviadas desde Google Calendar en nombre de personas conocidas, de confianza y legítimas.

La principal motivación de los atacantes era el beneficio económico, ya que pretendían engañar a los usuarios para que facilitaran información sensible o accedieran a datos corporativos. Esta información ayudaría a los ciberdelincuentes a cometer fraudes con tarjetas de crédito, realizar transacciones no autorizadas y saltarse las medidas de seguridad de otras cuentas.

El ataque suele comenzar con un archivo de calendario (.ics) o enlaces a páginas de asistencia falsas incrustados en los correos electrónicos de phishing. A continuación, se pedía a los usuarios que completaran los pasos de autenticación, introdujeran información personal y proporcionaran detalles de pago en páginas de destino fraudulentas, que a menudo se disfrazaban de sitios de minería de criptomonedas o de soporte de Bitcoin.

Respuesta de Google y medidas de seguridad

Activar la opción "Remitentes conocidos

Una medida útil para evitar la suplantación de identidad en Google Calendar es utilizar la opción "Remitentes conocidos" de Google Calendar. De hecho, el propio Google recomienda el uso de esta función en respuesta a los frecuentes esquemas de suplantación de identidad de Google Calendar. Como declaró un portavoz de Google, habilitar la opción "Sólo si el remitente es conocido" en Google Calendar "ayuda a defenderse contra este tipo de phishing alertando al usuario cuando recibe una invitación de alguien que no está en su lista de contactos y/o con quien no ha interactuado desde su dirección de correo electrónico en el pasado".

Prácticas generales de seguridad sugeridas por Google

Además del uso específico de la configuración "Remitentes conocidos", Google también ofrece algunas sugerencias generales para mejorar y hacer más eficaces las prácticas de seguridad en línea. Por ejemplo, los usuarios pueden intentar: 

• Revise y ajuste la configuración del calendario de vez en cuando.
• Tenga cuidado con las invitaciones inesperadas, sobre todo con las que les piden que realicen algún tipo de acción sospechosa. Cómo identificar alertas de seguridad de alertas de seguridad de Google puede ayudar a protegerse contra intentos de phishing sofisticados.
• Verifique la dirección de correo electrónico del remitente antes de aceptar las invitaciones

Consejos de expertos para protegerse del phishing de calendario

Tenga cuidado con las invitaciones a eventos

Debe examinar cuidadosamente las invitaciones inesperadas y los datos del remitente para detectar posibles incoherencias, errores o cualquier otra cosa que parezca sospechosa. Preste especial atención al tipo de invitaciones que intentan crear una sensación de urgencia, FOMO o solicitar una acción inmediata. Puede utilizar herramientas de análisis del comportamiento para detectar actividades inusuales en la cuenta. 

Evite hacer clic en enlaces sospechosos

Antes de hacer clic en un enlace, pasa el ratón por encima para comprobar la URL. Esto te dará al menos una idea básica de qué trata el enlace. Cuando se trata de enlaces, también puede utilizar soluciones avanzadas de seguridad de correo electrónico con comprobaciones de reputación de URL. Otro consejo útil es no descargar archivos adjuntos de fuentes desconocidas, ya que pueden ser maliciosos e infectar tu dispositivo con todo tipo de virus. 

Reforzar la seguridad de las cuentas

Para mejorar la seguridad de tu cuenta, asegúrate de habilitar la autenticación de dos factores (2FA) para tu cuenta de Google. En caso de que sus credenciales se vean comprometidas, el 2FA puede ayudar a impedir que los piratas informáticos accedan a la cuenta de la víctima. Además, utilice contraseñas seguras y únicas para cada cuenta en línea, y asegúrese de que no contengan información personal (por ejemplo, nombre, fecha de nacimiento, etc.) que los piratas informáticos puedan adivinar fácilmente. Actualiza periódicamente la configuración de seguridad de todos los servicios de Google y mantén al día tu sistema operativo y tus aplicaciones. 

Cumpla la normativa

A menudo, los requisitos no pretenden castigarle ni complicarle las cosas, sino ofrecerle el mayor grado de protección posible. Google y Yahoo han introducido recientemente nuevos requisitos de autenticación de correo electrónico para remitentes masivos, que obligan a los remitentes que envíen más de 5.000 correos electrónicos al día a aplicar los protocolos SPF, DKIM y DMARC. Los remitentes masivos tendrán que autenticar sus correos electrónicos, habilitar opciones para darse de baja fácilmente y mantener las tasas de spam por debajo del 0,3%. Estas medidas están diseñadas para proteger a los usuarios de los intentos de suplantación de identidad y otras actividades maliciosas por correo electrónico.

La naturaleza cambiante de las campañas de phishing

Las medidas de seguridad mejoran, pero también lo hacen las técnicas de los atacantes. Por ejemplo, después de darse cuenta de que sus esquemas podían detectarse cuando utilizaban Google Forms, cambiaron a Google Drawings para realizar un ataque más sofisticado e inesperado. Si consiguieron llegar a Google Drawings, es muy probable que también puedan llegar a otros servicios de Google de uso común, como Docs y Drive, para llevar a cabo su siguiente ataque. Por lo tanto, es importante ser flexible y tener precaución con todas las las plataformas que utilices, tanto dentro del espacio de trabajo de Google como fuera de él.

Nota final

Dado lo común que es el uso de Google Calendar en las comunicaciones online, las estafas de phishing dirigidas a Google Calendar requieren una atención especial y una acción inmediata. Un ataque reciente demostró lo rápidos y eficaces que pueden llegar a ser estos ataques, por lo que tener precaución y seguir las recomendaciones de Google y de los expertos sobre este tema es crucial para tu seguridad online. 

Siempre debes verificar las invitaciones inesperadas, especialmente las que solicitan acciones, y comprobar las URL antes de hacer clic en los enlaces de eventos del calendario. Utilizar la autenticación multifactor (MFA) y contraseñas seguras también puede ayudarte a mejorar tu seguridad frente a estos ataques de phishing. Aunque estos ataques puedan parecer muy complejos y versátiles, es posible mantenerse protegido incluso frente a los ciberataques más sofisticados si se tienen los conocimientos, las habilidades y la "higiene" digital adecuados. 

Preguntas frecuentes

¿Por qué sigo recibiendo invitaciones de calendario no deseadas?

Google Calendar dispone de una configuración específica que te permite controlar y gestionar cómo se añaden las invitaciones a tu Calendario. 

1. Abrir Calendario de Google.
2. En la esquina superior derecha, haz clic en Configuración.
3. A la izquierda, en "General", haz clic en Configuración de eventos y, a continuación, en "Añadir invitaciones a mi calendario".
4. Seleccione una de las opciones disponibles: 
   1. "De todos" (tenga en cuenta que esta opción puede aumentar la probabilidad de recibir invitaciones de calendario spam)
   2. "Sólo si el remitente es conocido" 
   3. "Cuando respondo a la invitación por correo electrónico" 

¿Hasta qué punto es seguro Google Calendar?

Google Calendar hace uso de numerosas funciones de seguridad, pero su grado general de seguridad sigue dependiendo de la configuración y las prácticas del usuario. Si habilitas la autenticación de dos factores, utilizas contraseñas seguras, eliges la opción "Solo si el remitente es conocido" y, en general, eres precavido con las invitaciones de fuentes desconocidas, puedes contribuir a un entorno de Google Calendar más seguro tanto para ti como para tus contactos.

¿Dispone Gmail de protecciones contra la suplantación de identidad?

Sí, Gmail emplea varias medidas contra la suplantación de identidad, como las comprobaciones SPF, DKIM y DMARC. Sin embargo, los atacantes a veces pueden saltarse estas protecciones, lo que hace necesario utilizar medidas de seguridad adicionales. Para mejorar la seguridad del correo electrónico más allá de las protecciones integradas de Gmail, deberías considerar el uso de soluciones DMARC avanzadas como PowerDMARC. Esta plataforma ofrece herramientas completas de autenticación de correo electrónico y generación de informes para ayudar a proteger a las empresas de la suplantación de identidad, el phishing y otras amenazas basadas en el correo electrónico.

• Acerca de
• Últimas publicaciones

Milena Baghdasaryan

Especialista en contenidos de PowerDMARC

Milena es una hábil escritora y creadora de contenidos con más de 7 años de experiencia en la elaboración de contenidos atractivos sobre TI, ciberseguridad, eventos virtuales y mucho más. Tiene un historial probado de entrega de trabajos de alta calidad para revistas internacionales y se ha graduado en prestigiosas instituciones como la New York University Abu Dhabi, UWC China y el College of Europe.

Últimos mensajes de Milena Baghdasaryan (ver todos)

• Explicación del cifrado integral del correo electrónico de Gmail: Guía para usuarios empresariales - 9 de abril de 2025
• Las mejores herramientas de entregabilidad de correo electrónico - 7 de abril de 2025
• ¿Cómo comprobar la entregabilidad del correo electrónico? - 2 de abril de 2025