Durante años, el phishing por correo electrónico ha ido cambiando de disfraz, pero rara vez de guion. La idea base sigue siendo la misma: llevar a la víctima a una página falsa para robar credenciales, sortear defensas y, si se puede, escalar dentro de la organización. Lo que sí cambia —y ahí está el peligro— es la forma de “entregar” el engaño y los pequeños trucos que lo hacen más creíble.
En 2025, Kaspersky está alertando del regreso “con fuerza” de una táctica que muchos daban por amortizada: el phishing del calendario. No es un ataque sofisticado por sí mismo, pero juega con una ventaja clave: traslada el engaño desde el email a la app de calendario, un lugar donde el usuario suele bajar la guardia y donde los recordatorios repetidos hacen el resto.
Cómo funciona el truco: un evento “vacío” que deja un enlace dentro
El mecanismo es tan simple como efectivo. El atacante envía un correo con una invitación a una cita (a menudo sin cuerpo de texto). Al abrirla —o, dependiendo de la configuración, incluso sin interactuar demasiado— el evento puede añadirse al calendario. El enlace malicioso no siempre aparece “a la vista” en el mensaje original: viaja dentro de la descripción del evento.
¿La parte perversa? Días u horas después, cuando llega la notificación del calendario, el usuario ya no ve un correo sospechoso: ve un recordatorio “normal” desde su propia app, con un enlace que supuestamente apunta a un login corporativo, un documento o una reunión. Esa segunda oportunidad de impacto es oro para el atacante.
Kaspersky recuerda que este enfoque ya fue popular a finales de la década de 2010, perdió fuerza tras 2019 y ahora reaparece, con un matiz importante: en 2025 se está viendo más en campañas B2B dirigidas a personal de oficina, no solo en ataques masivos.
Por qué está funcionando en 2025: el phishing se “mudó” de canal
El calendario es solo una pieza del puzzle. En el mismo análisis, Kaspersky describe cómo los atacantes están combinando vías clásicas con trucos para eludir controles automáticos:
- PDF con códigos QR: en vez de poner el enlace directamente en el correo, lo esconden en un QR dentro del PDF. Esto dificulta algunos análisis automáticos y empuja a la víctima a escanearlo con el móvil, que a veces está menos protegido que el equipo corporativo.
- PDF cifrados con contraseña: adjuntos que requieren contraseña para abrirse (a veces incluida en el correo o enviada en un mensaje aparte), complicando el escaneo rápido del contenido por soluciones de seguridad.
- Cadenas de CAPTCHA para filtrar bots: páginas de destino minimalistas que encadenan verificaciones CAPTCHA para intentar esquivar sistemas automáticos antes de mostrar el formulario falso.
- Validación de cuentas reales: algunos sitios de phishing comprueban si el email existe; si no existe, muestran “errores” plausibles, dando sensación de autenticidad y animando a la víctima a insistir.
En conjunto, la idea es clara: no necesitan inventar un ataque nuevo; les basta con mezclar piezas conocidas de forma que el usuario y parte de las defensas automáticas lleguen tarde.
El punto más delicado para las empresas: el calendario como “entrada lateral”
Para un medio tecnológico, la lectura práctica es incómoda: muchas organizaciones han invertido en proteger el correo (filtros, sandboxing, protección de enlaces, formación), pero no han tratado el calendario como otra superficie de ataque.
Esto se nota especialmente en entornos donde:
- se aceptan invitaciones externas con fricción mínima,
- se muestran eventos automáticamente,
- o los usuarios confían en exceso en cualquier notificación que “parezca interna”.
Y aquí aparece otro factor contemporáneo: el calendario ya no es solo una agenda. Es un hub de productividad, integraciones, flujos de trabajo y automatismos. Incluso en el ecosistema de herramientas con IA, algunos análisis recientes han mostrado cómo una invitación puede convertirse en vector de engaño si acaba alimentando procesos automáticos o conectores que interpretan contenido (aunque el caso concreto dependa del producto y su configuración).
Medidas concretas que sí están al alcance de IT y seguridad
Sin caer en soluciones mágicas, hay acciones realistas que un equipo de sistemas puede revisar hoy mismo:
- Revisar políticas de invitaciones externas
- Reducir la exposición a invitaciones de dominios no confiables o no esperados.
- Evitar que los eventos externos se muestren automáticamente sin intervención del usuario cuando sea posible (depende de plataforma/tenant).
- Tratar solicitudes de reunión como contenido potencialmente malicioso
- Ajustar reglas del gateway o del stack de seguridad para vigilar:
- adjuntos .ics,
- invitaciones “sin texto”,
- enlaces en descripciones de eventos,
- y remitentes que intentan parecer internos.
- Formación específica (no genérica)
Kaspersky insiste en reforzar hábitos muy concretos: desconfiar de adjuntos inusuales (como PDF con contraseña o QR) y verificar siempre la URL antes de introducir credenciales.
En la práctica, eso implica entrenar también sobre “recordatorios de calendario” y no solo sobre emails “raros”. - Endurecer el inicio de sesión
- El phishing del calendario suele buscar credenciales para luego pelear con el MFA.
- Cuando sea viable, subir el listón con métodos más resistentes al phishing (por ejemplo, llaves de seguridad/passkeys) y políticas de acceso condicional.
Una moraleja incómoda: la normalidad es el mejor camuflaje
El gran éxito del phishing del calendario es psicológico: el atacante no compite por tu atención en la bandeja de entrada, compite por tu rutina. Un recordatorio “normal”, en el momento justo, desde la app de calendario, puede resultar más persuasivo que un email lleno de faltas.
Por eso el mensaje para empresas y usuarios avanzados es directo: el calendario ya no es un canal neutral. Es otro punto de entrada que merece las mismas defensas (y la misma desconfianza saludable) que el correo.
Preguntas frecuentes
¿Qué es el phishing del calendario y por qué es peligroso en empresas?
Es una técnica en la que el atacante envía una invitación de calendario con enlaces maliciosos en la descripción del evento. Es peligrosa porque el enlace puede reaparecer como recordatorio y parecer “más legítimo” que un correo.
¿Cómo saber si una invitación de calendario es phishing en Microsoft 365 o Google Workspace?
Señales típicas: invitación sin cuerpo de texto, remitente externo inesperado, enlaces en la descripción del evento y recordatorios que piden iniciar sesión “para ver detalles”. Ante la duda, verificar dominio y URL fuera del evento.
¿Se puede “eliminar” el phishing del calendario solo con formación a empleados?
Ayuda, pero no basta. Lo eficaz es combinar formación con políticas de invitaciones externas, filtrado/alertas de solicitudes de reunión y endurecimiento del acceso (MFA resistente a phishing cuando sea posible).
¿Qué controles puede revisar un sysadmin para reducir invitaciones maliciosas?
Configuraciones de aceptación/visualización automática de eventos, reglas de seguridad para correos con invitaciones (.ics), protección de enlaces y políticas de acceso condicional para frenar el uso de credenciales robadas.
vía: securelist.lat
