Cómo casi caigo en una estafa de invitación al Calendario de Microsoft 365

La IA tiene potencial para transformar el mundo, afirma el presidente de Microsoft

Brad presidente y vicepresidente de Microsoft Brad Smith, habla de los retos y oportunidades de la tecnología de inteligencia artificial en 'Special Report'.

NUEVO¡Ahorapuedes escuchar los artículos Fox News !

Hay una nueva estafa de phishing que se está colando por los filtros de la bandeja de entrada de formas inesperadas. En lugar de enviar enlaces sospechosos o malware obvio, éste utiliza algo en lo que la mayoría de la gente confía: invitaciones de calendario. Los usuarios de Microsoft 365 y Outlook están siendo objeto de una táctica que inyecta falsas alertas de facturación directamente en sus calendarios. A veces incluye archivos adjuntos maliciosos, pero en otros casos, se aprovecha de la configuración predeterminada de los calendarios. Paul, de Cape Coral, Florida, nos escribió para compartir su experiencia:

"Tuve una experiencia muy inquietante con un intento de phishing que casi me engancha. Estoy suscrito a Microsoft 365 y hace poco recibí los correos electrónicos habituales de renovación. Pero unos días después, empecé a recibir invitaciones a reuniones que decían que mi pago había fallado; aparecían directamente en mi calendario, aunque nunca abrí ni hice clic en nada. Me puse nerviosa cuando intenté eliminarlas y vi que la única opción era "eliminar y rechazar", lo que podría haber desencadenado una respuesta al atacante. Nunca había visto nada parecido".

Paul verificó su estado de suscripción y evitó interactuar con el evento, que era lo más seguro, pero su historia pone de relieve lo fácilmente que puede colarse este tipo de estafa. He aquí cómo funciona el ataque, y qué hacer si aparece en tu calendario.

Suscríbete a mi Informe CyberGuy GRATUITO
Recibe mis mejores consejos tecnológicos, alertas de seguridad urgentes y ofertas exclusivas directamente en tu bandeja de entrada. Además, obtendrás acceso instantáneo a mi Guía Definitiva de Supervivencia a las Estafas - gratis al unirte a mi CYBERGUY.COM/NEWSLETTER.

Una mujer usando el calendario de Microsoft 365. (Kurt "CyberGuy" Knutsson)

Cómo funciona la estafa de la invitación al calendario de Microsoft 365

Este tipo de phishing combina eventos de calendario falsos, marcas de Microsoft y tácticas de ingeniería social para engañar a los usuarios para que entreguen información personal o hagan clic en contenido malicioso.

Comienza con una falsa alerta de facturación: el mensaje parece proceder de Microsoft 365 y advierte de que la renovación de tu suscripción ha fallado o ha sido renovada. Algunas versiones incluyen un archivo adjunto .htm diseñado para parecer un portal de facturación que captura los datos de la tarjeta de crédito.

La invitación del calendario añade presión: Muchas de estas estafas incluyen un archivo de calendario (.ics) que coloca el evento directamente en tu calendario. Si tu configuración de Microsoft 365 o Outlook acepta automáticamente las invitaciones, el evento aparece sin que hagas nada.

El evento parece oficial: Títulos como "Pago fallido" o "Cuenta suspendida" se utilizan para provocar una reacción rápida. Aunque nunca hagas clic en un enlace, el mero hecho de ver el evento puede provocar pánico o confusión.

Borrar puede confirmar tu identidad: Si tu única opción es "Eliminar y rechazar", eso envía una respuesta al remitente. Esto confirma que tu correo electrónico está activo y vigilado, lo que te convierte en un objetivo mayor.

Los estafadores utilizan dominios comprometidos: A menudo proceden de direcciones que a simple vista parecen legítimas, pero que en realidad se envían a través de dominios de terceros secuestrados, como sitios .shop. Algunos incluso pasan las comprobaciones básicas de seguridad, lo que los hace más difíciles de detectar.

Por qué las invitaciones de phishing de Microsoft 365 eluden los filtros de correo electrónico

Esta táctica es eficaz porque aprovecha una laguna en la forma en que Microsoft 365 procesa las invitaciones de calendario. Aunque un correo electrónico de phishing sea marcado o bloqueado, el evento de calendario asociado a él puede seguir apareciendo en tu calendario. He aquí cómo:

Elude los filtros tradicionales de correo electrónico: Herramientas como Microsoft Defender analizan los mensajes entrantes en busca de enlaces y archivos adjuntos maliciosos, pero en este caso, el atacante envía una invitación de calendario maliciosa que es procesada por los servicios de calendario backend de Microsoft. Así, aunque el propio correo electrónico sea capturado, el evento sigue apareciendo en tu calendario.

No tienes que hacer clic ni abrir nada: Si tu configuración permite que las invitaciones del calendario se añadan automáticamente, esa falsa alerta de facturación puede aparecer al instante, haciéndola parecer urgente y legítima, sobre todo cuando parece que procede de Microsoft.

Aprovecha la confianza en las herramientas internas: Como la invitación aparece dentro de Microsoft 365 o Teams, herramientas que utilizas a diario, parece más "real" que un correo electrónico de un dominio aleatorio. Esa confianza es exactamente con lo que cuentan los estafadores.

Microsoft 365. (Kurt "CyberGuy" Knutsson)

Qué hacer si recibes una invitación de calendario de phishing en Microsoft 365

Si aparece un evento de calendario sospechoso y no lo has aceptado tú, no interactúes con él. No hagas clic en enlaces, no descargues archivos adjuntos y no rechaces la invitación; incluso esa respuesta puede confirmar que tu correo electrónico está activo.

Outlook es la interfaz de Microsoft para gestionar el correo electrónico y los eventos del calendario, y está disponible en varias versiones diferentes. Las instrucciones que siguen cubren las tres:

Nuevo Outlook: La moderna aplicación web y de escritorio incluida en Microsoft 365 (antes Office 365). La mayoría de los usuarios de Microsoft 365 utilizan actualmente el nuevo Outlook.
Outlook clásico: La versión de escritorio más antigua (común en configuraciones corporativas) con una configuración de calendario más granular.
Outlook.com: La versión personal gratuita de Outlook a la que accedes a través de un navegador web. Comparte muchas funciones con el nuevo Outlook, pero algunos ajustes son exclusivos de la versión web.

La mayoría de las personas que utilizan Microsoft 365 hoy en día están en el nuevo Outlook. Esto es lo que debes hacer, dependiendo de tu versión:

Una mujer usando Microsoft 365 en su portátil. (Kurt "CyberGuy" Knutsson)

1) No hagas clic ni rechaces la invitación del calendario de phishing

Puede resultar tentador pulsar "Rechazar" y seguir adelante, pero en realidad eso puede enviar una respuesta al atacante, haciéndole saber que tu cuenta está activa. Previsualizar el evento suele ser seguro, pero evita hacer clic en enlaces, abrir archivos adjuntos o interactuar con él de cualquier forma.

2) Cómo eliminar un evento de calendario de phishing sin alertar al atacante

Nuevo Outlook (escritorio o web): Esta versión ya no ofrece la opción "eliminar sin respuesta" desde la vista de calendario, lo que hace más difícil gestionar las invitaciones sospechosas. Esto es lo que puedes hacer en su lugar:

Opción 1: Déjalo estar - Si el evento ya está en tu calendario y no hay ningún correo electrónico en la bandeja de entrada que ignorar, tu apuesta más segura es dejarlo estar. Aunque desmarques "Organizador de correo electrónico", seguirá registrando tu confirmación de asistencia. En el nuevo Outlook, no hay forma de desactivar completamente este seguimiento.

Opción 2: Utiliza "Ignorar" de la bandeja de entrada - Esto no eliminará necesariamente el evento de tu calendario, pero es una forma útil de deshacerte del correo electrónico sin enviar una respuesta.

Ve a la vista Bandeja de entrada (no a tu calendario)
Encuentra el correo electrónico de invitación al calendario
Haz clic con el botón derecho y elige Ignorar

Esto moverá el correo electrónico a tu Papelera sin enviar ninguna respuesta ni mostrar el seguimiento de RSVP. Sin embargo, en algunos casos, el evento puede permanecer en tu calendario, y puedes eliminarlo manualmente después. Según las pruebas realizadas, esto no suelenotificar al remitente, pero sigue sin haber garantías de que se evite el seguimiento de RSVP. Si la invitación sigue en tu calendario, lo más seguro es dejarla.

Nota: La opción "Ignorar" sólo está disponible en la vista de bandeja de entrada/correo. Si intentas gestionar la invitación desde la vista de calendario, tus únicas opciones son Aceptar, Tentativa o Rechazar, todas las cuales notifican al remitente o dejan un seguimiento de las RSVP.

Escritorio clásico de Outlook (versión antigua)

Esta versión sigue ofreciéndote una opción limpia, sin respuesta:

Haz clic con el botón derecho en el evento de tu calendario
Elige Eliminar
Selecciona "No enviar respuesta" cuando se te pida

Esto elimina la invitación sin avisar al remitente ni registrar tu RSVP.

3) Cambia la configuración de Outlook para bloquear el spam de calendario y las invitaciones de phishing

Nuevas perspectivas

Por desgracia, no hay forma de evitar que las invitaciones a reuniones se añadan automáticamente a tu calendario. Microsoft eliminó este control en las versiones más recientes, y los usuarios sólo pueden limitar ciertos tipos de "Eventos de correo electrónico" (como las reservas de viajes), no las invitaciones a reuniones propiamente dichas.

Escritorio clásico de Outlook

Puedes limitar el autoprocesamiento de invitaciones para que Outlook no las añada automáticamente:

Ve a Archivo > Opciones > Correo
Desplázate hasta la sección Seguimiento
Desmarca "Procesar automáticamente convocatorias de reunión y respuestas a convocatorias de reunión y sondeos"

Esto no bloquea completamente las invitaciones, pero impide que Outlook actúe sobre ellas sin tu intervención.

4) Cómo denunciar una invitación de calendario phishing sin alertar al remitente

Si el evento también apareció en tu bandeja de entrada, puedes denunciarlo utilizando la herramienta de suplantación de identidad integrada en Outlook.

Nuevas perspectivas

Selecciona la invitación de tu bandeja de entrada
En la cinta de la barra de herramientas, ve a Home > Informar > Informar de phishing
O haz clic con el botón derecho en el correo electrónico y selecciona Informe > Phishing

No reenvíes la invitación desde el calendario, ya que esto puede notificar al remitente y confirmar que tu cuenta está activa.

Si el botón de denuncia de phishing no funciona, puedes enviar una denuncia por correo electrónico a phish@office365.microsoft.com. Para hacerlo de forma segura:

Abre el correo electrónicoen la vista de bandeja de entrada
Haz clic en los tres puntos de la parte superior derecha del mensaje
Selecciona Otras acciones de respuesta > Reenviar como adjunto

Este método reenvía el correo electrónico como un archivo adjunto, evitando el riesgo de enviar la invitación real y notificárselo al remitente.

Perspectiva clásica

Ir a tu bandeja de entrada
Abre el correo electrónico de invitación al calendario (no lo selecciones simplemente de la bandeja de entrada)
En la cinta superior, haz clic en Informar de phishing o Informar de mensaje

Para reenviarlo manualmente a Microsoft:

Abre el correo electrónico en la vista Bandeja de entrada
Haz clic en los tres puntos de la parte superior derecha del mensaje > Reenviar como archivo adjunto
Enviar a phish@office365.microsoft.com

De nuevo, no reenvíes directamente desde el calendario. Reenvía siempre desde la vista de bandeja de entrada utilizando "Reenviar como archivo adjunto" para evitar interactuar con la invitación del calendario o notificárselo al remitente.

5) Comprueba si tu cuenta de Microsoft presenta signos de phishing o piratería informática e instala un antivirus potente

Aunque no hayas interactuado con la invitación, es inteligente revisar tu cuenta por si acaso:

Ir a mysignins.microsoft.com
Revisa tus inicios de sesión y dispositivos recientes
Cambia tu contraseña si algo parece raro
Asegúrate de que la autenticación de dos factores (2FA ) está activada

Una vez que hayas comprobado la actividad de tu cuenta, también merece la pena reforzar tus defensas de cara al futuro. La mejor forma de protegerte de los enlaces maliciosos que instalan programas maliciosos, que podrían acceder a tu información privada, es tener instalado un potente software antivirus en todos tus dispositivos. Esta protección también puede alertarte de correos electrónicos de phishing y estafas de ransomware, manteniendo a salvo tu información personal y tus activos digitales.

Consigue mis selecciones de los mejores 2025 ganadores en protección antivirus para tus dispositivos Windows, Mac, Android e iOS en CyberGuy.com/LockUpYourTech.

6) Controla tu identidad tras un intento de phishing

Si tu correo electrónico o tus datos de acceso han quedado al descubierto, los estafadores pueden volver a intentarlo más tarde. Utiliza un servicio de protección de identidades para escanear la web oscura en busca de credenciales filtradas y alertarte antes de que puedan ser utilizadas indebidamente.

Las empresas de Robo de Identidad pueden controlar información personal como tu número de la Seguridad Social (SSN), número de teléfono y dirección de correo electrónico, y alertarte si se está vendiendo en la web oscura o se está utilizando para abrir una cuenta. También pueden ayudarte a congelar tus cuentas bancarias y de tarjetas de crédito para evitar que los delincuentes las sigan utilizando sin autorización.

Consulta mis consejos y mejores elecciones sobre cómo protegerte del robo de identidad en Cyberguy.com/IdentityTheft.

7) Elimina tu información personal de los sitios de intermediación de datos para evitar futuras estafas

Los estafadores suelen comprar información personal en sitios de intermediación de datos, lo que les facilita volver a dirigirse a ti más adelante. Un servicio de eliminación puede ayudar a evitarlo escaneando y eliminando automáticamente tus datos de cientos de estos sitios.

Echa un vistazo a mis mejores opciones de servicios de eliminación de datos y obtén un escaneado gratuito para averiguar si tu información personal ya está en la red visitando Cyberguy.com/Eliminar.

Obtén un escaneo gratuito para averiguar si tu información personal ya está en la red: Cyberguy.com/Exploración gratuita.

Conclusiones clave de Kurt

Si de repente aparece un evento sospechoso en tu calendario, evita interactuar con él. Eso significa no hacer clic, no rechazar y no responder de ningún modo. Abrir el evento suele ser seguro, pero responder de cualquier forma puede hacer que los estafadores sepan que tu cuenta está activa. Las nuevas versiones de Outlook hacen que esto sea más difícil de gestionar, así que lo más seguro es dejar el evento en paz, denunciarlo desde tu bandeja de entrada y volver a comprobar la seguridad de tu cuenta. Hasta que Microsoft añada controles más estrictos, las estafas de calendario seguirán colándose, pero unos pocos pasos cuidadosos pueden mantenerte protegido.

¿Qué responsabilidad tiene Microsoft de proteger a los usuarios de los fallos de seguridad de su propio ecosistema, especialmente cuando la configuración predeterminada puede exponer a las personas a ataques de phishing sin que lo sepan? Háznoslo saber escribiéndonos a Cyberguy.com/Contacto.

Kurt "CyberGuy" Knutsson es un galardonado periodista tecnológico que siente un profundo amor por la tecnología, los equipos y los artilugios que hacen la vida mejor, con sus colaboraciones para Fox News y FOX Business Business, empezando por las mañanas enFOX & Friends". ¿Tienes alguna pregunta sobre tecnología? Recibe el boletín gratuito CyberGuy de Kurt, comparte tu voz, una idea para un artículo o un comentario en CyberGuy.com.

Vídeos recomendados

Un vídeo viral desata una campaña masiva de recaudación de fondos para un veterano de 88 años

«Les fríe el cerebro»: Jesse Watters saca a la luz los peligros de la «putrefacción cerebral».

Emily : CNN esta «suposición total».

El secretario de Energía de EE. UU. hace hincapié en el impulso para que la energía vuelva a ser asequible.

John elogia el «buen trabajo detectivesco a la antigua usanza» FBI en el caso de las bombas caseras en Washington D. C.

El fundador de Physical Phones vende 120 000 dólares en teléfonos fijos modernos en tres días.

El Dr. Michio Kaku habla sobre la «espada de doble filo» de la IA y el temor a la pérdida de puestos de trabajo.

FBI los compradores navideños a tener cuidado con los estafadores en línea.

Dan : La investigación sobre las bombas caseras en Washington D. C. acaba de empezar.

Este tipo de delito requiere «una planificación considerable», afirma un exagente FBI

FBI al sospechoso del atentado con bomba del 6 de enero tras una investigación de cinco años.

Jeanine Pirro destaca el arresto por el atentado con bombas en Washington D. C. como si FBI «una aguja en un pajar».

Paul Mauro elogia la detención FBI del sospechoso del atentado con bomba casera del 6 de enero: «Es una victoria».

Estudio: Los menores que usan las redes sociales tienen un mayor riesgo de sufrir depresión y obesidad.

Los gigantes tecnológicos construyen megacentros de datos en pequeñas ciudades de Estados Unidos

Kash : «No dejaremos piedra sin remover» en la investigación del ataque a los miembros de la Guardia Nacional.

La IA está cambiando las pautas de las compras navideñas

Kurt 'CyberGuy' Knutsson advierte de las trampas navideñas de la IA: "Los estafadores van de compras

La IA amenaza con cambiar la guerra moderna

CEO toma medidas contra el mal uso de la IA