¿Usas Google Calendar para organizarte? Cuidado con la nueva estafa de 'phishing'

Las nuevas tecnologías nos han facilitado la vida en los últimos años en muchos sentidos. Ahora, podemos realizar trámites, enviar mensajes u organizar nuestra semana con tan solo unos cuantos clics y gracias a diferentes aplicaciones que podemos instalar en nuestros dispositivos móviles. Entre ellas encontramos Google Calendar, una herramienta del gigante de internet que nos puede ayudar a llevar una agenda actualizada que nos avise de nuestras citas y compromisos. Sin embargo, hemos de ser cuidadosos.

Investigadores de la empresa de ciberseguridad Check Point han identificado recientemente que ciberdelincuentes están aprovechando las herramientas de Google Calendar y Google Drawings (Dibujos de Google) entre otras para llevar a cabo campañas de phishing. Han descubierto que cientos de marcas se han visto comprometidas y que, en tan solo cuatro semanas, se enviaron miles de correos electrónicos fraudulentos.

La estafa

Según se explica en el informe, los delincuentes enviaban correos electrónicos de enlaces que imitan webs de criptomonedas, es decir, de enlaces fraudulentos que simulan eventos y formularios legítimos. Para engañar a sus víctimas, lo único que tenían que hacer era modificar los encabezados de estos correos electrónicos para que parecieran notificaciones de contactos conocidos del calendario de Google.

En el contenido del mensaje, se incluía un archivo adjunto en formato .ics, correspondiente a la aplicación de calendario, acompañado de un enlace que dirigía a Google Forms o a Google Drawings (anteriormente usaban enlaces que redirigían únicamente a Formularios de Google). Al acceder a estos enlaces, las víctimas eran invitadas a hacer clic en otro enlace, que generalmente simulaba ser un reCAPTCHA o un botón de asistencia.

Si la víctima accedía a estos enlaces que imitaban webs relacionadas con criptomonedas o soporte de bitcoin, los estafadores procedían a recopilar información personal para cometer estafas financieras.

Cómo protegerte

Para protegerse de las estafas de phishing, una solución efectiva es habilitar alertas para los remitentes desconocidos. Esto permite al usuario recibir avisos cuando llegue una invitación de alguien que no esté en su lista de contactos o con quien no haya interactuado previamente. Sin embargo, esta medida debe complementarse con otras prácticas de seguridad.

Entre las medidas adicionales se incluye escanear siempre los archivos adjuntos con herramientas de seguridad para detectar posibles amenazas, verificar cuidadosamente las URL para asegurarse de que son legítimas y no conducen a sitios fraudulentos, y utilizar herramientas avanzadas basadas en inteligencia artificial diseñadas para identificar y mitigar intentos de phishing.

Además, es fundamental activar la autenticación multifactor en todas las cuentas para agregar una capa adicional de seguridad, revisar detalladamente todo el contenido recibido y evitar hacer clic en enlaces que soliciten realizar pasos inusuales, como resolver un CAPTCHA fuera de contexto. Por último, considerar el uso de soluciones de ciberseguridad avanzadas que puedan detectar y bloquear intentos de phishing en tiempo real es una excelente manera de fortalecer la protección contra estos ataques.