Spam en tu calendario: por qué parece evadir Gmail y aparece en tu iPhone
CyberSec

📅 Spam en tu calendario: por qué parece evadir Gmail y aparece en tu iPhone

Por qué un correo bloqueado por Gmail puede terminar en tu calendario y los cuatro ajustes que cierran la brecha

Spam en tu calendario: por qué parece evadir Gmail y aparece en tu iPhone

La semana pasada apareció en mi calendario del iPhone una invitación de alguien que no conozco. El “organizador” era “Anable woolas” en un dominio que nunca había visto. El evento se llamaba Order 5518-AUMR-VNH activity has been updated successfully. El correo original ya estaba en la carpeta de spam de Gmail. Entonces, ¿cómo terminó el evento en mi teléfono?

La respuesta corta: Gmail no falló. Calendar tomó otra decisión.

Esta es la historia de un ataque inteligente que aprovecha un hueco que mucha gente no sabe que existe, y los cuatro ajustes que lo cierran. Ninguno de ellos está en tu teléfono.

Yo uso Google Workspace, no Gmail personal. Pero todo lo que sigue aplica igual a ambos. La interfaz de configuración y el comportamiento subyacente son prácticamente los mismos. Cuando digo “Gmail” más adelante en el artículo, léelo como “la app Gmail, sea tu cuenta Workspace o personal”.

Cómo se ve el ataque

El correo es una falsa renovación de suscripción de McAfee. Dice que se ha aplicado un cargo de $512.19 a tu cuenta y te pide que llames a un número de teléfono de Estados Unidos “para cancelar”. No hay ningún enlace para hacer clic. El número de teléfono ES el ataque.

Este tipo de estafa se llama callback phishing. El ataque ocurre por teléfono:

  1. Llamas al número para disputar el cargo
  2. Un “agente de reembolso” contesta, se disculpa y ofrece revertirlo
  3. Te pide que instales AnyDesk, UltraViewer o TeamViewer “para procesar el reembolso”
  4. A partir de ahí, o ejecutan un flujo falso de reembolso que termina contigo enviando dinero, o instalan un troyano de acceso remoto en tu equipo y roban credenciales

El patrón encaja con una familia de estafas que la FTC, la agencia federal estadounidense de protección al consumidor y competencia, describe en el contexto de soporte técnico y falsos reembolsos: mensajes alarmistas, llamadas, acceso remoto y presión para pagar o entregar información financiera. Sin URLs maliciosas, la mayoría de filtros de seguridad basados en URL nunca se activan. Toda la cadena del ataque depende de que tú marques el número.

Por qué el filtro de spam de Gmail no me salvó

El filtro de Gmail hizo su trabajo. El correo llegó, fue clasificado como spam y enviado a la carpeta Spam, donde nunca lo vería. Bien.

Pero Google Calendar es un sistema separado. Cuando llega una invitación de calendario, Calendar la procesa y decide si añade el evento a tu calendario según su propia configuración de invitaciones, separada del veredicto visible de spam de Gmail. Google documenta esta opción en Configuración de eventos > Añadir invitaciones a mi calendario.

Si tu configuración de Calendar está en “De todos”, las invitaciones pueden añadirse automáticamente. Si la cambias a “Solo si el remitente es conocido”, Calendar solo añade automáticamente eventos cuando el remitente está en tus contactos, forma parte de tu organización o es alguien con quien ya has interactuado. Las invitaciones de desconocidos quedan como invitaciones por correo, donde Gmail tiene otra oportunidad de hacer su trabajo.

Así que el correo cae en spam, donde nunca lo miras, y el evento cae en tu calendario, donde sí lo miras. Desde tu punto de vista parece que el spammer “saltó” el filtro. En realidad hay dos decisiones separadas, y solo una detectó el mensaje.

La parte ingeniosa: el atacante usa Google para enviarte spam

Esta es la parte técnicamente interesante.

El atacante registró un dominio (en mi caso, kajinvs.com), se dio de alta en Google Workspace y creó un evento en Google Calendar desde ese tenant. Luego “invitó” a miles de direcciones de correo recolectadas previamente. En los email headers de mi caso, la invitación aparecía enviada por infraestructura de Google y autenticada como tal. Para tu proveedor de correo, parece que es Google enviando a Google.

Por eso el consejo estándar de “bloquear remitente” tiene efecto limitado. La infraestructura real de envío es Google. El atacante solo la está alquilando.

Dicho de otra forma, esto fue un ataque de Workspace contra Workspace: un tenant de Workspace del lado del atacante enviando hacia mi tenant de Workspace. Ese detalle importa porque Google documenta límites de uso de Calendar para prevenir spam, y esos límites cambian según el tipo y la antigüedad de la cuenta. Una cuenta Workspace pagada y madurada puede ofrecer más superficie de abuso que una cuenta nueva, de prueba o con límites más estrictos.

No digo que Workspace sea inseguro. Digo que una cuenta válida dentro de un proveedor confiable cambia el cálculo de los filtros. El mensaje no llega desde un servidor raro en internet; llega por el camino que normalmente usan las invitaciones legítimas.

Por qué “Rechazar” es peor que ignorar

La invitación llega con tres botones: Sí, No, Quizás. Pulsar cualquiera de ellos no es una acción neutral. Google documenta que, cuando respondes a una invitación, el organizador recibe una notificación.

Eso le da al atacante una señal útil: tu dirección existe, viste el evento y respondiste. Resultado: puedes terminar en una lista de objetivos verificados y recibir más spam, no menos.

La respuesta segura es ignorar la invitación y eliminar el evento por un método que no sea una respuesta RSVP. Concretamente: reportarlo como spam desde dentro de Google Calendar, si la opción está disponible.

Los cuatro ajustes que arreglan esto

Los cuatro viven en el lado de Google, en un navegador de escritorio. Los ajustes del iPhone no son relevantes aquí, porque el calendario del iPhone es solo un espejo de lo que ya está en tu Google Calendar. Hay que arreglarlo en el origen.

1. Deja de añadir invitaciones de remitentes desconocidos a tu calendario

  • Abre calendar.google.com
  • Icono de engranaje (arriba a la derecha) > Configuración
  • Menú izquierdo: Configuración de eventos
  • “Añadir invitaciones a mi calendario” > cambia a Solo si el remitente es conocido

A partir de ahora, solo las personas en tus contactos, en tu organización o con las que ya has interactuado añadirán eventos automáticamente. El resto queda como invitación pendiente en tu correo, donde el filtro de spam de Gmail sí puede hacer su trabajo.

2. Elimina spammers auto-guardados en Otros contactos

Google guarda automáticamente a personas con las que interactúas en una lista llamada “Otros contactos”. Eso puede incluir direcciones que no añadiste manualmente. Una vez que un spammer está en esa lista, puede contar como “conocido” y saltar el ajuste 1.

  • Abre contacts.google.com
  • Menú izquierdo: Otros contactos
  • Elimina cualquier remitente que no reconozcas

3. Detén el guardado automático a futuro

Dos toggles separados. Ambos tienen que estar apagados.

A nivel de cuenta:

  • Abre myaccount.google.com/people-and-sharing
  • Abre “Información de contacto guardada a partir de interacciones”
  • Apaga Guardar la información de contacto cuando interactúas con personas

Específico de Gmail:

  • Gmail > engranaje > Ver toda la configuración > pestaña General
  • “Crear contactos para autocompletar” > selecciona Yo añadiré los contactos manualmente

4. Reporta el evento como spam (no rechaces)

  • Abre el evento spam en calendar.google.com
  • Menú de tres puntos (arriba a la derecha del popup del evento) > Marcar como spam o Report as spam

Google documenta esta acción para invitaciones y eventos sospechosos enviados desde Google Calendar: al reportar el evento, se elimina de tu calendario. En la práctica, también evita que tú envíes una respuesta RSVP como Sí, No o Quizás.

Nota para usuarios de iPhone

Si usas la app Calendario del iPhone conectada a una cuenta de Gmail o Google Workspace, todo lo anterior aplica. El calendario del iPhone es un visor. Te muestra lo que esté en el calendario de Google en el servidor. En cuanto arregles las cosas en Google, el iPhone reflejará el cambio después de sincronizar. No hay nada extra que configurar en el teléfono para este caso concreto.

Si en cambio usas un correo de iCloud y tu calendario está basado en iCloud, la lógica cambia. Existen variantes paralelas de spam por invitaciones de calendario en iCloud, pero no conviene mezclar instrucciones como si fueran la misma plataforma. Revisa en tu versión de iOS o iCloud las opciones de invitaciones y, cuando esté disponible, prefiere que las invitaciones lleguen por correo en vez de como notificaciones directas de calendario.

La idea es la misma: que la invitación pase primero por una bandeja de correo, con sus filtros, antes de convertirse en una alerta de calendario.

Cómo detectar callback phishing sin leer headers de correo

Cinco señales que no requieren análisis técnico:

  1. Un asunto transaccional genérico tipo Order [aleatorio] has been updated successfully
  2. Un número de teléfono de Estados Unidos impreso de forma destacada en el cuerpo
  3. Una cifra específica con céntimos extraños ($512.19, $419.87)
  4. Una marca o producto que suena plausible pero no termina de cuadrar (InfinitySafe Shield, SecureGuard Pro)
  5. Detalles ortográficos y de formato: nombres de calles mal escritos, comas duplicadas, países en minúscula

Cuando ves esta combinación, el número de teléfono es el ataque. No lo marques.

Si te llegó esta invitación exacta

Si tu bandeja tiene un evento de calendario de anablewoolas@kajinvs.com o alguna variante similar:

  1. No pulses Sí, No ni Quizás
  2. No marques el número de teléfono
  3. Aplica los cuatro ajustes anteriores
  4. En Gmail, encuentra el correo (casi seguro en Spam) y usa Reportar phishing en vez de simplemente eliminar. Los reportes de phishing ayudan a alimentar los sistemas de detección y abuso de Google.
  5. Si administras un tenant de Workspace o cualquier otra plataforma de correo para una organización, busca en los logs de seguridad el dominio remitente (kajinvs.com en este caso) y verifica si otros usuarios recibieron invitaciones similares. También vale la pena reportar a Google Workspace abuse en support.google.com/a/contact/abuse con las cabeceras completas.

Fuentes útiles

La conclusión

Este ataque no es sofisticado. Aprovecha un hueco: dos productos de Google haciendo su trabajo por separado correctamente, sin compartir el mismo veredicto. Cerrar el hueco lleva unos cuatro minutos una vez sabes dónde están los ajustes.

La misma clase de hueco puede existir en otros proveedores de nube, con variaciones. La lección general merece recordarse. Que un correo sea correctamente filtrado como spam no significa que cada sistema que lo toque vaya a tratarlo igual. Los sistemas de calendario, contactos y notificaciones a menudo comparten buzón, pero no comparten veredicto.

Por: Cesar Rosa Polanco - Escrito a partir de una experiencia real, con asistencia de inteligencia artificial como herramienta de apoyo editorial.

¿Primera vez aquí?

Conoce los temas y artículos clave del blog.

Empieza Aquí →