Índice
Las invitaciones de Google Calendar falsas permiten a los delincuentes sortear los filtros antispam y lograr engañar y estafar a empresas
Un abogado está tranquilamente trabajando en su portátil y le llega una invitación de Google Calendar para agendar una reunión y la acepta. Esta actividad cotidiana puede ser el inicio de un ciberataque contra el profesional y su despacho.
Las invitaciones de Google Calendar falsas son una nueva variante de phishing más sofisticada que no se limita a enviar un simple email a las víctimas, sino que lleva a cabo un engaño más complejo subvirtiendo el funcionamiento de una de las aplicaciones más usadas por negocios y profesionales en todo el mundo.
¿Por qué los delincuentes recurren a las invitaciones de Google Calendar falsas? Para lograr sortear los mecanismos antispam y contra el phishing que han implementado los gestores de correo en los últimos años ante el alud de ataques de ingeniería social que están sufriendo ciudadanos y empresas.
A continuación, te vamos a contar cómo funcionan las estafas de invitaciones de Google Calendar falsas, sus posibles consecuencias y la manera de prevenir estos fraudes.
Sortear los filtros antispam gracias a diagramas de Google Drawings e invitaciones de Google Calendar falsas
¿Sabes lo que son DKIM, DMARC y SPF? Son mecanismos que buscan garantizar la autenticidad de los miles de millones que se envían diariamente en el mundo, evitar que los correos de las personas se llenen de spam y luchar contra las campañas de phishing y los fraudes online.
Así, DKIM y SPF se tratan de registros DNS que sirven para que los gestores de correo sepan que los emails provienen de usuarios reales y que, por lo tanto, son mensajes auténticos.
Mientras que DMARC es un protocolo que sirve para autenticar los correos ya que permite detectar técnicas maliciosas y suplantación de identidades y, así, bloquear campañas de phishing.
DKIM, DMARC y SPF son tres estándares globales empleados por todos los gestores de correo.
El éxito de los mismos conlleva que para los ciberdelincuentes resulte mucho más difícil conseguir que sus emails falsos lleguen a las bandejas de entrada de las empresas y los profesionales.
Para sortear estas barreras antispam, necesitan ser imaginativos y ahí es donde nacen las invitaciones de Google Calendar falsas.
¿Cuál es la operativa de las invitaciones de Google Calendar falsas?
Los delincuentes usan de manera fraudulenta Google Calendar, una de las aplicaciones de agenda más empleadas en todo el planeta. De tal forma que desde la propia aplicación envían invitaciones a sus potenciales víctimas para que acepten reuniones que encajan con sus procedimientos diarios y en las que, además, pueden figurar como participantes usuarios que reconocen.
Así, a través de las invitaciones de Google Calendar falsas logran superar sin problema los mecanismos de seguridad que conforman DKIM, DMARC y SPF, puesto que los mensajes se envían desde el propio entorno de Google.
Estas invitaciones incluyen enlaces que llevan a las víctimas a otras aplicaciones de Google: Forms (de formularios) y Drawings (de elaboración de diapositivas). En dichas apps, se solicita a las víctimas que hagan clic en un segundo enlace que, generalmente, parece un botón de reCaptcha para comprobar que el usuario es una persona y no un bot. Y, así, es como se logra que las víctimas aterricen en páginas de phishing en las que pueden solicitarse credenciales para acceder a programas empresariales o inducir a hacer un nuevo clic que provoque la descarga de malware en el dispositivo.
De esta manera, los delincuentes emplean las invitaciones de Google Calendar falsas para colarse en los sistemas de las empresas y poder cumplir sus objetivos maliciosos que, generalmente, giran en torno al robo de datos e información confidencial, así como a la realización de estafas financieras.
Sacar partido de la confianza de las personas y su escasa formación en ciberseguridad
¿Por qué logra tener éxito la técnica de las invitaciones de Google Calendar falsas? Más allá de la cuestión técnica de lograr superar los filtros antispam, esta técnica saca partido de la confianza y la escasa formación de miles de profesionales.
En primer lugar, porque Google Calendar es una aplicación de uso común que la práctica totalidad de personas conocen, tan siquiera porque todos los usuarios con móviles Android emplean esta app en sus móviles. De tal forma que las invitaciones de Google Calendar falsas no levantan suspicacias entre las víctimas, en gran medida, porque los mensajes han sido diseñados de manera inteligente y personalizada.
Precisamente, otro aspecto clave del éxito de las invitaciones de Google Calendar falsas es que a diferencia de las campañas de phishing básicas, los delincuentes no hacen pesca de arrastre, sino que determinan con precisión a qué empresas se dirigen y focalizan el tiro en profesionales concretos. Esto les permite dar en la tecla para engañarlos y que crean que están siendo convocados a reuniones reales.
En línea con lo anterior, debemos tener en cuenta que algunos profesionales tienen numerosas reuniones a lo largo de la semana. Un abogado o un consultor pueden reunirse con decenas de clientes y compañeros de lunes a viernes. Las reuniones telemáticas son una constante en el día a día de muchas empresas. Por eso, algunos profesionales aceptan invitaciones sin darles demasiadas vueltas.
A todo ello debemos sumar el hecho de que, a pesar de la multitud de ciberataques contra negocios que se producen cada año, gran parte de las plantillas de los negocios sigue sin:
- Tener conocimientos específicos sobre ciberseguridad.
- Saber exactamente cómo operan los actores maliciosos y en qué consisten las técnicas de ingeniería social como las invitaciones de Google Calendar falsas.
- Ser consciente de la gravedad de los incidentes de seguridad y de los riesgos a los que se enfrentan las empresas.
- Estar al tanto de las últimas tendencias en materia de fraudes online.

Cometer fraudes contra profesionales y negocios de múltiples sectores
¿Para qué emplean los delincuentes la técnica de las invitaciones de Google Calendar falsas? Para conseguir que sus víctimas revelen datos sensibles que les permitan:
- Cometer estafas financieras contra los profesionales y sus empresas.
- Llevar a cabo nuevas campañas fraudulentas que sirvan para comprometer aún más a las víctimas y tener acceso a activos críticos: cuentas bancarias, software de gestión de la empresa…
Es decir, las invitaciones de Google Calendar falsas y el uso de Google Drawings y Google Forms solo son una variante más compleja del phishing que sirve a los ciberdelincuentes para lograr sus objetivos clásicos.
¿Cómo actuar para evitar ser víctimas de las invitaciones de Google Calendar falsas?
Los profesionales de ciberseguridad recomiendan, en primer lugar, habilitar un mecanismo de Google Calendar que avisa a los usuarios cuando les llegan invitaciones que no proceden de remitentes conocidos.
En segundo lugar, es fundamental detenerse a leer cualquier invitación antes de aceptarla y, sobre todo, de hacer clic en un enlace que la misma contiene, aunque el link te redirija a otras aplicaciones de Google.
En tercer lugar, para las empresas que emplean el entorno profesional de Google es de vital importancia asegurarse de que se han configurado todos los mecanismos de seguridad oportunos.
En cuarto lugar, es recomendable implementar la autenticación multifactor en los programas empresariales más importantes como el software de gestión o el gestor de email si no está incluido en el primero.
En quinto lugar, debemos poner el foco en el consejo más antiguo y más básico en materia de ciberseguridad: hay que emplear el sentido común a la hora de moverse por el mundo digital y evitar dar cualquier dato sensible salvo que se tenga plena confianza de que no está sucediendo nada raro y el entorno en el que se encuentra el usuario es seguro.