- Los estafadores abusan de invitaciones de iCloud Calendar para enviar correos desde servidores de Apple y evadir filtros.
- El cebo: falsas compras (p. ej., 599$ en PayPal) con un número de "soporte" para provocar una llamada.
- La campaña usa listas de Microsoft 365 y SRS para pasar SPF/DKIM/DMARC y parecer legítima.
- Claves de defensa: no llamar, verificar en la web oficial, ajustar ajustes de Calendario y activar 2FA.
Los ciberdelincuentes han encontrado una rendija inesperada: invitaciones de iCloud Calendar que se convierten en correos con apariencia legítima enviados “desde Apple”. Este método, que se apoya en la infraestructura real de la compañía, consigue que los mensajes pasen los filtros antispam y lleguen a la bandeja de entrada de sus víctimas.
El gancho es sencillo y eficaz: una supuesta compra elevada (por ejemplo, 599 dólares en PayPal) acompañada de un número de teléfono al que “llamar para cancelar o aclarar el cargo”. Al otro lado, no hay soporte técnico: la finalidad es llevar a la víctima a una estafa de devolución o a que instale software de acceso remoto.
Cómo están colando el fraude con iCloud Calendar
El ataque aprovecha que, al crear un evento en iCloud Calendar y añadir asistentes externos, Apple envía automáticamente una invitación por correo desde la dirección noreply@email.apple.com. Los actores incluyen el texto del fraude en el campo Notas del evento y, así, el mensaje llega como si fuera una notificación legítima de calendario.
Para multiplicar el alcance, los atacantes invitan a una dirección de Microsoft 365 que controlan y que, con alta probabilidad, funciona como una lista de distribución que reenvía la invitación a todas las direcciones objetivo. En ese salto entra en juego el Sender Rewriting Scheme (SRS), un mecanismo que reescribe la ruta de retorno para que el reenvío no rompa la autenticación y el correo siga pasando SPF.
En campañas observadas se han visto detalles como el asunto “Purchase Invoice”, un ID de factura inventado y fechas recientes, además de el clásico saludo genérico “Hello Customer”. El número de teléfono aparece como supuesto “soporte” para gestionar el reembolso, con errores llamativos como repetir el prefijo “+1”.
Los encabezados técnicos refuerzan la coartada: SPF, DKIM y DMARC figuran como válidos porque el mensaje se origina en servidores de Apple y la reescritura de Microsoft 365 mantiene la entrega conforme a normas. En algunos casos, incluso se observa un origen en rangos de IP de Apple, lo que añade verosimilitud.
La trampa de la llamada: del susto al control remoto
Este formato es un “callback phishing”: se busca que la víctima marque el número por miedo a un cargo falso. Una vez en la llamada, el estafador intenta convencerla de que su cuenta ha sido comprometida y de que necesita conectarse a su ordenador para “emitir un reembolso”.
Ese supuesto soporte suele derivar en la instalación de herramientas de acceso remoto o malware, lo que abre la puerta a robos de credenciales, vaciado de cuentas o exfiltración de datos. Es una estafa vieja con un envoltorio nuevo: la legitimidad prestada por la invitación de calendario.
Por qué los filtros no lo paran
La clave está en la legitimidad “prestada”: el correo nace en servidores de Apple y viaja después por Microsoft 365 con técnicas estándar de reenvío (SRS) que preservan la autenticación. Resultado: los controles antiphishing habituales ven un remitente confiable y no saltan las alarmas.
Además, muchos usuarios no miran con lupa una invitación de calendario. Un evento con un número de teléfono parece menos sospechoso que un enlace en un email, lo que baja las defensas y facilita que el fraude derive en una conversación telefónica (vishing) o en una sesión remota.
Medios especializados han solicitado comentarios a Apple sobre este abuso de su infraestructura; por ahora no hay respuesta pública. La técnica, en todo caso, encaja con una tendencia más amplia: explotar funciones legítimas de grandes servicios para ganar credibilidad.
Indicadores de que es phishing
Antes de aceptar una invitación o contestar a un correo de calendario, conviene revisar varias pistas que, en conjunto, delatan que estamos ante un engaño:
- Importe alto y sensación de urgencia (p. ej., un cargo de 599$) para forzar una reacción rápida.
- Saludo genérico (“Hello Customer”) en lugar de tu nombre real.
- Errores evidentes en el teléfono, como repetir el prefijo “+1”.
- La invitación llega a un grupo o alias y no exactamente a tu dirección.
- Evento inesperado con título tipo “Purchase Invoice” y el “soporte” solo por teléfono.
- El texto del “aviso” está metido en el campo Notas de la invitación.
Si coinciden varias de estas señales, lo más prudente es no interactuar y verificar por canales alternativos y oficiales.
Cómo protegerte y qué pasos dar
- Busca el teléfono o email en Internet: suele haber reportes de fraudes asociados.
- Activa la autenticación en dos pasos (2FA) en tus cuentas críticas.
- Ajusta Calendario para limitar la adición automática de invitaciones y eliminar calendarios sospechosos.
- Reporta los correos a los canales oficiales (p. ej., phishing@paypal.com) y bórralos.
Si gestionas un entorno corporativo, refuerza la formación en ingeniería social y endurece políticas de calendario y correo: deshabilitar la aceptación automática, aplicar filtros por palabras clave en invitaciones y vigilar reenvíos masivos puede reducir la superficie de ataque.
Un problema que va y vuelve
El abuso de invitaciones de calendario no es nuevo. Ya se han visto olas de spam en iCloud con enlaces a estafas de criptomonedas y, en paralelo, campañas que se apoyan en plataformas legítimas (Microsoft, Google, servicios de facturación) para sortear controles. La variante actual destaca por su capacidad para aprovechar la cadena Apple–Microsoft y camuflarse como notificación inofensiva.
Conviene recordar que los atacantes adaptan sus señuelos a la actualidad: hoy puede ser un “recibo de PayPal”, mañana una “verificación de cripto wallet” o una “renovación de suscripción”. El patrón se repite: mensaje inesperado, prisa artificial y desvío a un canal controlado por el estafador.
La combinación de funciones legítimas (invitaciones de calendario), autenticación que pasa filtros y nervios del usuario crea el caldo de cultivo perfecto para el fraude. Mantener la calma, verificar por vías oficiales y ajustar la configuración de Calendario marcan la diferencia entre caer en la trampa o quedarse solo en el susto.