Cómo estuve a punto de caer en una estafa con una invitación del calendario de Microsoft 365

La inteligencia artificial tiene el potencial de transformar el mundo, afirma el presidente de Microsoft.

El presidente y vicepresidente de Microsoft, Brad , analiza los retos y oportunidades que plantea la tecnología de inteligencia artificial enSpecial Report».

NUEVO¡Ahorapuedes escuchar los artículos Fox News !

Hay una nueva estafa de phishing que está burlando los filtros de los buzones de correo electrónico de formas inesperadas. En lugar de enviar enlaces sospechosos o malware evidente, esta estafa utiliza algo en lo que la mayoría de la gente confía: las invitaciones de calendario. Los usuarios de Microsoft 365 y Outlook están siendo blanco de una táctica que inyecta alertas de facturación falsas directamente en vuestros calendarios. A veces incluye archivos adjuntos maliciosos, pero en otros casos aprovecha la configuración predeterminada de los calendarios. Paul, de Cape Coral, Florida, nos escribió para compartir su experiencia:

Tuve una experiencia muy inquietante con un intento de phishing que casi me engañó. Soy suscriptor de Microsoft 365 y recientemente recibí los correos electrónicos habituales de renovación. Pero unos días más tarde, empecé a recibir invitaciones a reuniones en las que se decía que mi pago había fallado; aparecían directamente en mi calendario, aunque yo nunca había abierto ni hecho clic en nada. Me puse nervioso cuando intenté eliminarlas y vi que la única opción era «eliminar y rechazar», lo que podría haber provocado una respuesta del atacante. Nunca había visto nada parecido».

Paul verificó el estado de su suscripción y evitó interactuar con el evento, lo cual fue lo más prudente, pero su historia pone de manifiesto lo fácil que es caer en este tipo de estafas. A continuación te explicamos cómo funciona el ataque y qué hacer si aparece en tu calendario.

Suscríbete a mi informe gratuito CyberGuy
Recibe mis mejores consejos tecnológicos, alertas de seguridad urgentes y ofertas exclusivas directamente en tu bandeja de entrada. Además, obtendrás acceso instantáneo a mi Guía definitiva para sobrevivir a las estafas, gratis al unirte a miCYBERGUY.COM/NEWSLETTER.

Una mujer utilizando el calendario de Microsoft 365. (Kurt «CyberGuy» Knutsson)

Cómo funciona la estafa de las invitaciones del calendario de Microsoft 365

Este tipo de phishing combina eventos falsos en el calendario, la marca Microsoft y tácticas de ingeniería social para engañar a los usuarios y que revelen información personal o hagan clic en contenido malicioso.

Comienza con una alerta de facturación falsa: el mensaje parece provenir de Microsoft 365 y advierte que la renovación de tu suscripción ha fallado o se ha renovado. Algunas versiones incluyen un archivo adjunto .htm diseñado para parecerse a un portal de facturación que captura los datos de la tarjeta de crédito.

La invitación del calendario añade presión: muchas de estas estafas incluyen un archivo de calendario (.ics) que coloca el evento directamente en tu calendario. Si la configuración de Microsoft 365 o Outlook acepta automáticamente las invitaciones, el evento aparecerá sin que tú tengas que hacer nada.

El evento parece oficial: se utilizan títulos como «Pago fallido» o «Cuenta suspendida» para provocar una reacción rápida. Aunque no hagas clic en ningún enlace, el simple hecho de ver el evento puede provocar pánico o confusión.

Eliminar puede confirmar tu identidad: si tu única opción es «Eliminar y rechazar», se envía una respuesta al remitente. Esto confirma que tu correo electrónico está activo y es supervisado, lo que te convierte en un objetivo más importante.

Los estafadores utilizan dominios comprometidos: estos eventos suelen provenir de direcciones que parecen legítimas a simple vista, pero que en realidad se envían a través de dominios de terceros secuestrados, como los sitios .shop. Algunos incluso superan los controles de seguridad básicos, lo que los hace más difíciles de detectar.

Por qué las invitaciones de phishing de Microsoft 365 eluden los filtros de correo electrónico

Esta táctica es eficaz porque aprovecha una laguna en la forma en que Microsoft 365 procesa las invitaciones del calendario. Incluso si un correo electrónico de phishing se marca o se bloquea, el evento del calendario asociado a él puede seguir apareciendo en tu calendario. Así es como funciona:

Elude los filtros de correo electrónico tradicionales: herramientas como Microsoft Defender analizan los mensajes entrantes en busca de enlaces y archivos adjuntos maliciosos, pero en este caso, el atacante envía una invitación de calendario maliciosa que es procesada por los servicios de calendario backend de Microsoft. Así, aunque el correo electrónico sea detectado, el evento sigue apareciendo en tu calendario.

No es necesario hacer clic ni abrir nada: si la configuración permite que las invitaciones del calendario se añadan automáticamente, esa alerta de facturación falsa puede aparecer al instante, lo que la hace parecer urgente y legítima, especialmente cuando parece que proviene de Microsoft.

Aprovecha la confianza en las herramientas internas: dado que la invitación aparece dentro de Microsoft 365 o Teams, herramientas que usas a diario, parece más «real» que un correo electrónico procedente de un dominio aleatorio. Esa confianza es precisamente lo que buscan los estafadores.

Microsoft 365. (Kurt «CyberGuy» Knutsson)

Qué hacer si recibes una invitación de calendario fraudulenta en Microsoft 365

Si aparece un evento sospechoso en el calendario y tú no lo has aceptado, no interactúes con él. No hagas clic en los enlaces, no descargues archivos adjuntos y no rechaces la invitación, ya que incluso esa respuesta puede confirmar que tu correo electrónico está activo.

Outlook es la interfaz de Microsoft para gestionar el correo electrónico y los eventos del calendario, y está disponible en varias versiones diferentes. Las instrucciones que se indican a continuación abarcan las tres:

Nuevo Outlook: la moderna aplicación web y de escritorio incluida en Microsoft 365 (antes Office 365). La mayoría de los usuarios de Microsoft 365 utilizan actualmente el nuevo Outlook.
Outlook clásico: la versión de escritorio más antigua (habitual en entornos corporativos) con ajustes de calendario más detallados.
Outlook.com: la versión personal gratuita de Outlook a la que se accede a través de un navegador web. Comparte muchas características con el nuevo Outlook, pero algunos ajustes son exclusivos de la versión web.

La mayoría de las personas que utilizan Microsoft 365 actualmente utilizan el nuevo Outlook. A continuación, se indica qué hacer a continuación, según la versión que tengas:

Una mujer utilizando Microsoft 365 en tu ordenador portátil. (Kurt «CyberGuy» Knutsson)

1) No hagas clic ni rechaces la invitación del calendario de phishing.

Puede resultar tentador pulsar «Rechazar» y seguir adelante, pero eso puede enviar una respuesta al atacante, haciéndole saber que tu cuenta está activa. Por lo general, es seguro previsualizar el evento, pero evita hacer clic en enlaces, abrir archivos adjuntos o interactuar con él de cualquier forma.

2) Cómo eliminar un evento de calendario de phishing sin alertar al atacante

Nuevo Outlook (escritorio o web): esta versión ya no ofrece la opción «eliminar sin respuesta» desde la vista de calendario, lo que dificulta el manejo de invitaciones sospechosas. Esto es lo que puedes hacer en su lugar:

Opción 1: No hagas nada. Siel evento ya está en tu calendario y no hay ningún correo electrónico en la bandeja de entrada que ignorar, lo más seguro es no tocar nada. Aunque desmarques la casilla «Organizador del correo electrónico», tu respuesta seguirá registrándose. En el nuevo Outlook, no hay forma de desactivar completamente este seguimiento.

Opción 2: Utilizar «Ignorar» desde la bandeja de entrada: estono eliminará necesariamente el evento de tu calendario, pero es una forma útil de deshacerte del correo electrónico sin enviar una respuesta.

Ve ala vista de tubandeja de entrada (no a tu calendario).
Busca elcorreo electrónico con la invitación del calendario.
Haz clic con el botón derecho yselecciona Ignorar.

Esto moverá el correo electrónico a tu Papelera sin enviar ninguna respuesta ni mostrar el seguimiento de RSVP. Sin embargo, en algunos casos, el evento puede permanecer en tu calendario y puedes eliminarlo manualmente después. Según las pruebas realizadas, estono suelenotificarse al remitente, pero no hay garantía de que se evite el seguimiento de RSVP. Si la invitación sigue en tu calendario, lo más seguro es dejarla ahí.

Nota: La opción «Ignorar» solo está disponible en la vista de bandeja de entrada/correo. Si intentas gestionar la invitación desde la vista de calendario, las únicas opciones disponibles son Aceptar, Provisional o Rechazar, todas ellas notifican al remitente o dejan un registro de seguimiento de la respuesta.

Escritorio clásico de Outlook (versión anterior)

Esta versión sigue ofreciéndote una opción clara de no responder:

Haz clic con el botón derecho del ratónen el evento de tu calendario.
SeleccionaEliminar
Selecciona «No enviar respuesta» cuando se te solicite.

Esto elimina la invitación sin avisar al remitente ni registrar tu respuesta.

3) Cambia la configuración de Outlook para bloquear el spam del calendario y las invitaciones de phishing.

Nueva perspectiva

Desafortunadamente, no hay forma de evitar que las invitaciones a reuniones se añadan automáticamente a tu calendario. Microsoft ha eliminado esta opción en las versiones más recientes, y los usuarios solo pueden limitar ciertos tipos de «eventos de correo electrónico» (como reservas de viajes), pero no las invitaciones a reuniones propiamente dichas.

Escritorio clásico de Outlook

Puedes limitar el procesamiento automático de invitaciones para que Outlook no las añada automáticamente:

Ve aArchivo >Opciones > Correo.
Desplázate hasta lasección Seguimiento.
Desmarca «Procesar automáticamente las solicitudes de reunión y las respuestas a las solicitudes de reunión y las encuestas».

Esto no bloquea las invitaciones por completo, pero impide que Outlook actúe sobre ellas sin tu intervención.

4) Cómo denunciar una invitación de calendario de phishing sin alertar al remitente

Si el evento también apareció en tu bandeja de entrada, puedes denunciarlo utilizando la herramienta contra el phishing integrada en Outlook.

Nueva perspectiva

Selecciona la invitación en tu bandeja de entrada.
En la cinta de la barra de herramientas, ve a Home >Informe >Informar de phishing
O haz clic con el botón derecho del ratón en elcorreo electrónico y selecciona Informar >Phishing.

No reenvíes la invitación desde el calendario, ya que esto podría notificarlo al remitente y confirmar que tu cuenta está activa.

Si el botón para denunciar phishing no funciona, puedes enviar un correo electrónico con la denuncia a phish@office365.microsoft.com. Para hacerlo de forma segura:

Abre el correo electrónicoen tu bandeja de entrada.
Haz clic en lostres puntos situados en la parte superior derecha del mensaje.
SeleccionaOtras acciones de respuesta > Reenviar comoarchivo adjunto.

Este método reenvía el correo electrónico como archivo adjunto, evitando el riesgo de enviar la invitación real y notificarlo al remitente.

Outlook clásico

Ve a tubandeja de entrada.
Abre el correo electrónico con la invitación del calendario (no lo selecciones simplemente desde la bandeja de entrada).
En la cinta superior, haz clic enInformar de suplantación de identidad o Informar del mensaje.

Para reenviarlo manualmente a Microsoft:

Abre elcorreo electrónico en la vista Bandeja de entrada.
Haz clic en lostres puntos situados en la parte superior derecha del mensaje > Reenviar comoarchivo adjunto.
Enviar aphish@office365.microsoft.com

Una vez más, no reenvíes directamente desde el calendario. Reenvía siempre desde la vista de la bandeja de entrada utilizando la opción «Reenviar como archivo adjunto» para evitar interactuar con la invitación del calendario o notificar al remitente.

5) Comprueba tu cuenta de Microsoft en busca de signos de phishing o piratería informática e instala un antivirus potente.

Aunque no hayas interactuado con la invitación, es recomendable que revises tu cuenta por si acaso:

Ve a mysignins.microsoft.com
Revisa tus inicios de sesión y dispositivos recientes.
Cambia tucontraseña si algo te parece sospechoso.
Asegúrate de que la autenticación de dos factores (2FA) esté activada.

Una vez que hayas comprobado la actividad de tu cuenta, también vale la pena reforzar tus defensas de cara al futuro. La mejor manera de protegerte de los enlaces maliciosos que instalan malware y que podrían acceder a tu información privada es instalar un potente software antivirus en todos tus dispositivos. Esta protección también puede alertarte de correos electrónicos de phishing y estafas de ransomware, manteniendo a salvo tu información personal y tus activos digitales.

Consigue mis recomendaciones sobre los mejores antivirus de 2025 para tus dispositivos Windows, Mac, Android e iOS en CyberGuy.com/LockUpYourTech.

6) Vigila tu identidad después de un intento de phishing.

Si tu correo electrónico o información de inicio de sesión han sido expuestos, los estafadores pueden volver a intentarlo más adelante. Utiliza un servicio de protección de identidad para escanear la web oscura en busca de credenciales filtradas y alertarte antes de que puedan ser utilizadas indebidamente.

Las empresas especializadas en robo de identidad pueden supervisar información personal como tu número de la Seguridad Social (SSN), tu número de teléfono y tu dirección de correo electrónico, y avisarte si se está vendiendo en la web oscura o se está utilizando para abrir una cuenta. También pueden ayudarte a congelar tus cuentas bancarias y tarjetas de crédito para evitar un uso no autorizado por parte de delincuentes.

Consulta mis consejos y mejores recomendaciones sobre cómo protegerte del robo de identidad en Cyberguy.com/IdentityTheft.

7) Elimina tu información personal de los sitios web de corredores de datos para evitar futuras estafas.

Los estafadores suelen comprar información personal en sitios web de intermediación de datos, lo que les facilita volver a atacarte más adelante. Un servicio de eliminación puede ayudar a evitarlo, ya que analiza y elimina automáticamente tus datos de cientos de estos sitios web.

Echa un vistazo a mis mejores opciones de servicios de eliminación de datos y obtén un análisis gratuito para averiguar si tu información personal ya está en la web visitando Cyberguy.com/Delete.

Realiza un análisis gratuito para averiguar si tu información personal ya está en la web: Cyberguy.com/FreeScan.

Conclusiones clave de Kurt

Si aparece de repente un evento sospechoso en tu calendario, evita interactuar con él. Eso significa no hacer clic, no rechazarlo y no responder de ningún tipo. Por lo general, solo abrir el evento es seguro, pero responder de cualquier forma puede hacer que los estafadores sepan que tu cuenta está activa. Las nuevas versiones de Outlook hacen que esto sea más difícil de gestionar, por lo que lo más seguro es ignorar el evento, denunciarlo desde tu bandeja de entrada y comprobar dos veces la seguridad de tu cuenta. Hasta que Microsoft añada controles más estrictos, las estafas de calendario seguirán colándose, pero unas cuantas medidas de precaución pueden mantenerte protegido.

¿Qué responsabilidad tiene Microsoft de proteger a los usuarios de los fallos de seguridad en su propio ecosistema, especialmente cuando la configuración predeterminada puede exponer a las personas a ataques de phishing sin su conocimiento? Haznoslo saber escribiéndonos a Cyberguy.com/Contact.

Kurt «CyberGuy» Knutsson es un galardonado periodista tecnológico que siente un profundo amor por la tecnología, los dispositivos y los gadgets que mejoran la vida, y que colabora con Fox News FOX Business la mañana en el programaFOX & Friends». ¿Tienes alguna pregunta sobre tecnología? Suscríbete al boletín gratuito CyberGuy Newsletter de Kurt y comparte tu opinión, ideas para artículos o comentarios en CyberGuy.com.

Vídeos recomendados

El exjefe de la estación de la CIA aborda la posibilidad de alcanzar la paz en Ucrania.

El autor insta a los jóvenes estadounidenses a dejar de usar los teléfonos inteligentes en su nuevo libro.

Trump ha convertido la IA en una «parte fundamental» de tu agenda, según los expertos.

El movimiento conservador juvenil «nunca ha estado en mejores manos», afirma el presentador de un podcast.

Guía de última hora para regalos navideños para gamers

Waymo reanuda el servicio tras un corte de electricidad que dejó los robotaxis paralizados.

Encuesta: el 80 % de los votantes piden cautela con la IA y quieren mayores garantías de seguridad.

Un apagón masivo deja a partes de San Francisco oscuras

Las contraseñas más utilizadas en 2025 incluyen «123456» y «contraseña».

¿Va a estallar la burbuja de la inteligencia artificial?

The Faulkner Focus visita la central nuclear de Three Mile Island antes de su reinicio previsto

Trump revela por qué Dan ha terminado con el FBI

«ENTORNO CIRCENSE»: Un exagente FBI ridiculiza la «total incompetencia» de la investigación de la Universidad de Brown.

El excomisario de policía de Boston lanza una advertencia sobre la persecución en la Universidad de Brown.

Un exagente FBI critica las medidas de seguridad de la Universidad Brown calificándolas de «fracaso épico».

Los nuevos programas tienen como objetivo abordar la brecha tecnológica generacional.

Es «responsabilidad» de la universidad garantizar la seguridad de los estudiantes: FBI

Los «primeros errores» en la investigación del tiroteo de la Universidad Brown bajo la lupa

Dana Perino: La única forma de proteger nuestro estilo de vida occidental es «mantener la ofensiva».

Un nuevo juguete ayuda a las familias a centrar su fe durante el Adviento

Cómo casi caigo en una estafa con una invitación del Calendario de Microsoft 365

No caigas en esta nueva y astuta estafa que se cuela en tu bandeja de entrada y en tu calendario.