Compartir
PHISHING DE CALENDARIO

La invitación de Google Calendar que en realidad es phishing

Mañana a las 10:00 aparece una reunión en tu calendario. El título dice "Revisión de beneficios Q4 - obligatoria". Tú no aceptaste nada, pero ya está ahí, con un enlace de Google Meet, una descripción y una URL en la que se puede hacer clic dentro de esa descripción.

SafeBrowz Threat Research Investigación de seguridad13 de junio de 20269 min de lectura

Lo esencial en 60 segundos

Veredicto: Estafa. Un cobro de verdad nunca llega como una invitación de Google Calendar. Trata como phishing cualquier evento de calendario que muestre una renovación de suscripción, una factura, un aviso de "pago rechazado" o un número de teléfono para llamar y "disputar" un cargo. Las empresas reales te cobran por correo desde su propio dominio, por un mensaje dentro de la app o por un aviso en tu cuenta, no soltando una reunión en tu calendario.

La solución son dos minutos. Desactiva el añadido automático en Google Calendar (Configuración, luego Configuración de eventos, y pon "Añadir invitaciones al calendario" en "Solo si el remitente es conocido" o "Cuando responda a la invitación por correo electrónico"), después elimina y reporta el evento. Nunca llames al número del evento. Google nombró esta táctica como "Calendar Phishing" en su Aviso de Fraudes y Estafas del 8 de junio de 2026.

Por qué las invitaciones de calendario esquivan todos los filtros de spam

Cuando alguien te envía una invitación de Google Calendar, los servidores de Google añaden el evento a tu calendario de forma automática por defecto. El correo de la invitación que cae en tu bandeja viene de verdad de Google. Supera SPF, DKIM y DMARC porque la firma criptográfica del mensaje es la del propio Google. Cualquier escáner de correo del camino (el filtro de tu proveedor, la pasarela corporativa, el antivirus que tengas instalado) ve una notificación legítima de Google y la deja pasar. La carga del phishing no está en el correo. Vive dentro de la descripción del evento de calendario, donde ningún escáner de correo mira, porque esa descripción no forma parte del cuerpo del correo: son datos asociados a una entrada de calendario en el lado de Google. Para cuando el evento ya está en tu calendario, el enlace ha superado todas las defensas de tu bandeja. La misma arquitectura aplica a Outlook y Microsoft 365.

Las cinco variantes del phishing de calendario

Guiones distintos, el mismo canal de entrega. Estas son las cinco versiones que golpean a usuarios de Gmail y Outlook en 2026.

1. Falsa reunión de "RR. HH." sobre beneficios

Llega un evento titulado "Inscripción de beneficios 2026 - acción requerida" con una descripción que pide iniciar sesión en el portal. El enlace apunta a un clon del login de Workday, ADP o de un portal de RR. HH. genérico. La víctima escribe sus credenciales corporativas, el atacante las captura y consigue el primer pie dentro. Especialmente eficaz durante la semana real de inscripción abierta.

2. Evento de "reclamación" de un airdrop cripto

El título dice "Ventana de reclamación del airdrop de Coinbase - 27 de mayo" o "Airdrop de Optimism OP - reclama antes de la fecha límite". La descripción enlaza a una página de reclamación falsa que pide conectar la billetera y firmar una transacción. Esa transacción es una aprobación de tokens o una firma de tipo Permit2 que entrega el control de la billetera al atacante. Chainalysis señaló este patrón exacto en su informe de delitos cripto de 2024.

3. Falsa alerta de seguridad

"Urgente: verifica tu cuenta de Google - actividad sospechosa detectada", con el logo de Google pegado en la descripción. El enlace va a una página falsa de inicio de sesión de Google. Los usuarios de Microsoft 365 ven el mismo patrón con títulos de "alerta de seguridad de Microsoft". Un evento de calendario es un sitio raro para recibir una alerta de seguridad, así que la gente no llega con la misma desconfianza que llevaría a un correo de seguridad.

4. Evento de factura falsa con enlace de pago

"Factura n.º 88421 - pago vence el 28 de mayo" con una descripción que apunta a un "portal seguro". El enlace cosecha datos de tarjeta o saca una autorización de domiciliación fraudulenta. El personal de finanzas y de cuentas por pagar son el objetivo de alto valor, sobre todo en pequeñas empresas donde una sola persona gestiona todos los pagos a proveedores.

5. Spam de eventos en dos fases

La primera invitación es inofensiva: título vago, descripción vacía, sin enlace. Los filtros la ignoran. El día del evento, quien lo envió lo edita y pega el enlace de phishing en la descripción. La notificación de las 9:55 para un evento de las 10:00 ya contiene un enlace que el filtro de spam nunca vio, porque el enlace se añadió después de la entrega. Esto derrota a cualquier filtro que solo analice las invitaciones al llegar.

La factura falsa de renovación que está disparándose ahora mismo

Una variante ha tomado ventaja sobre el resto en 2026: el falso recibo de renovación de suscripción. En lugar de un correo, el estafador envía un evento de Google Calendar que se autoañade a tu calendario porque el ajuste por defecto acepta invitaciones de cualquiera. El evento tiene aspecto de aviso de facturación: "Tu suscripción se renueva por 499,99 $", "Pago de 329 $ realizado con éxito" o "Renovación automática procesada". Lleva un número de membresía inventado y un código de transacción para parecer un recibo real, y un número de teléfono en la descripción del evento para llamar y "disputar" o "cancelar" el cargo.

Dos cosas lo hacen funcionar. Primero, como llega como evento de calendario y no como correo, nunca toca tu filtro de spam, la misma razón por la que existe el resto de esta página. Segundo, la cifra grande en dólares está diseñada para que te entre el pánico y llames antes de pensar. No hay ningún enlace malicioso que pulsar; la trampa es el teléfono. Es una estafa de phishing de devolución de llamada (también llamada TOAD, ataque dirigido por teléfono). En cuanto llamas, la persona al otro lado es el estafador. Te pedirá los datos de tu tarjeta o de tu banco para "procesar el reembolso", te empujará a instalar software de acceso remoto para "arreglar" el cargo o te guiará para hacer una transferencia. Algunas versiones, en cambio, te llevan a una página de phishing que cosecha tu inicio de sesión o tus datos de pago.

Google nombró la "Calendar Phishing" como táctica emergente en su Aviso de Fraudes y Estafas del 8 de junio de 2026, donde describe avisos falsos de renovación añadidos directamente a invitaciones de Calendar. La firma de seguridad Malwarebytes documentó una campaña activa en marzo de 2026 en la que los estafadores suplantaban a la propia Malwarebytes con avisos falsos de renovación colocados en el calendario de las víctimas. Techlicious informó de que las víctimas recibían recibos falsos de renovación de varios años cargados de números de membresía y códigos de transacción inventados, cada uno con un teléfono en la descripción del evento para llamar y disputar el cargo.

La pista es sencilla: ninguna empresa legítima envía una factura, un recibo de renovación o una oferta de reembolso como una cita de calendario creada por una dirección de correo privada. Una renovación que sí tengas aparece en el historial de facturación de tu cuenta y en tu correo desde el dominio propio de la empresa, no como una reunión en tu agenda. Si un evento de calendario te pide llamar a un número por dinero, es una estafa. No llames. Elimínalo, repórtalo y desactiva el añadido automático para que el siguiente ni siquiera entre.

Por qué los ajustes por defecto de Google lo ponen fácil

El valor por defecto de Google Calendar para "Añadir invitaciones al calendario" es "De todos" o "Añadir automáticamente todas las invitaciones". Eso significa que cualquier persona de internet que conozca tu dirección de correo puede soltar un evento en tu calendario sin que tú abras, aceptes ni siquiera leas la invitación. Google endureció este valor en 2023 tras la presión de investigadores, y las cuentas nuevas creadas desde entonces vienen, en algunas regiones, con "Mostrar solo las invitaciones a las que he respondido". Pero el ajuste es por cuenta y sigue siendo permisivo en cuentas antiguas y en muchas instalaciones de Workspace donde los administradores no han impuesto un valor más estricto. Outlook y Microsoft 365 se comportan igual: el ajuste por defecto "Procesar automáticamente las solicitudes de reunión" acepta las invitaciones en el calendario sin acción explícita del usuario. El resultado en ambas plataformas es el mismo: un desconocido escribe tu dirección en un campo de reunión, pulsa enviar y el evento se materializa en tu calendario.

Casos reales y verificables

El phishing de calendario no es teórico ni nuevo. El patrón está documentado una y otra vez.

  • Oleada de Google Calendar de Kaspersky en 2019. En junio de 2019, una investigadora de Kaspersky publicó un análisis de una campaña que abusaba de Google Calendar para empujar eventos de phishing a cuentas de Gmail. La campaña apuntó a unos 50.000 usuarios con eventos falsos de premios y encuestas pagadas que enlazaban a páginas de robo de credenciales. El artículo de Kaspersky Securelist es la referencia pública fundacional de la técnica.
  • Oleada de spam de calendario en Microsoft 365 en 2022. La comunidad técnica de Microsoft publicó en 2022 un aviso sobre una oleada sostenida de invitaciones de calendario no deseadas que golpeaban a tenants de Microsoft 365, con instrucciones para que los administradores desactivaran la aceptación automática a nivel de tenant.
  • Informe de delitos cripto de Chainalysis 2024. El informe anual de delitos cripto de Chainalysis señaló el phishing de airdrop por calendario como un vector en crecimiento. Los drenadores de billeteras operan kits de phishing que incluyen una opción de entrega por invitación de calendario junto al correo y los mensajes directos, porque la vía del calendario esquiva los filtros de bandeja que sí atrapan la misma carga en un correo.
  • Actualización de la documentación de Google Workspace. Las páginas de seguridad de Workspace de Google ya incluyen indicaciones explícitas para endurecer los ajustes de invitaciones, un reconocimiento de que el comportamiento por defecto es un canal de ataque habitual.

Cómo blindarlo en tres pasos

Tres cambios de ajustes bloquean el grueso del phishing de calendario en su origen. Cinco minutos de clics.

  1. Google Calendar. Abre Calendar, pulsa el icono de engranaje, elige Configuración y, en la columna izquierda, entra en Configuración de eventos (dentro de General). Busca la fila "Añadir invitaciones al calendario" y cámbiala de "De todos" a "Solo si el remitente es conocido" o "Cuando responda a la invitación por correo electrónico". La opción "Cuando responda" es la más estricta: nada cae en el calendario hasta que aceptas activamente la invitación por correo en Gmail. "Solo si el remitente es conocido" es la opción más cómoda y aun así bloquea casi todo el spam, porque solo autoañade eventos de personas de tus contactos o de tu dominio.
  2. Outlook de escritorio. Abre Outlook, ve a Archivo, luego Opciones, luego Calendario. Busca la sección de aceptación o rechazo automático y entra en "Aceptación o rechazo automático". Desmarca "Aceptar automáticamente las solicitudes de reunión y quitar las reuniones canceladas". Del lado de administración de Microsoft 365, un administrador puede imponer el ajuste equivalente para todo el tenant con el cmdlet Set-CalendarProcessing de PowerShell, poniendo AutomateProcessing en None para los buzones de usuario.
  3. Bloquea al remitente en la capa de correo. Cuando entre un evento de phishing, abre la notificación por correo en Gmail y usa "Bloquear remitente" en el menú de tres puntos del mensaje. En Outlook, haz clic derecho en el mensaje y elige "Correo no deseado - Bloquear remitente". Bloquear la dirección de correo a nivel de bandeja también corta las futuras invitaciones de calendario de esa misma dirección, porque ambas pasan por el mismo sistema de entrega.

Si hiciste clic en el enlace de un evento de calendario

La recuperación es la misma que ante cualquier clic de phishing. La velocidad importa en la primera hora.

  1. En los primeros 30 minutos. Si introdujiste datos de tarjeta, llama a tu banco para un bloqueo por fraude y una tarjeta de reemplazo. Si introdujiste una contraseña, cámbiala desde otro dispositivo y activa la verificación en dos pasos en esa cuenta.
  2. En las primeras 2 horas. Si conectaste una billetera o firmaste una transacción, entra en revoke.cash y revoca cada aprobación de tokens activa. Si firmaste un mensaje Permit2, mueve los fondos que queden a una billetera nueva desde un dispositivo limpio.
  3. En las primeras 24 horas. Denúncialo. En España, reporta al INCIBE por su línea de ayuda en ciberseguridad (017) o a la Oficina de Seguridad del Internauta (OSI). En México, presenta el caso ante la CONDUSEF. Reporta también el evento de phishing a Google o a Microsoft desde la notificación por correo.
  4. En la primera semana. Si quedaron expuestos datos de identidad (documento nacional, fecha de nacimiento), vigila tu cuenta. Revisa el historial de inicios de sesión y cierra las sesiones que no reconozcas.

Cómo identificar un evento de phishing en segundos

Cinco señales aparecen en casi todos los eventos de phishing de calendario. Dos o más, trátalo como malicioso.

  • Un remitente que no reconoces. Las reuniones reales vienen de un colega, proveedor o reclutador conocido. Un evento de un nombre que no ubicas, sin ningún hilo de correo previo, es sospechoso por defecto.
  • Título vago y sin contexto. "Revisión Q4", "seguimiento", "reunión urgente" sin nombre de proyecto ni cliente. Las reuniones reales tienen detalles concretos.
  • Eres el único asistente. Abre el evento y mira la lista de asistentes. Los eventos de phishing suelen mostrar solo tu dirección, porque el atacante lanza un evento por objetivo.
  • Franja horaria redonda y genérica. Las reuniones reales suelen caer en horas raras (10:15, 14:30, 9:45) porque se reservan entre otras reuniones. Franjas perfectamente redondas y sin vecinas son una señal débil que suma con las demás.
  • El enlace de la descripción va a un dominio inesperado. Pasa el cursor sin pulsar. Acortadores genéricos (bit.ly, tinyurl, t.co) o dominios que nunca has oído son banderas rojas. Los enlaces reales de seguridad de Google van a accounts.google.com, no a parecidos.
🛡 VERIFICACIÓN EN VIVO

Comprueba el enlace de un evento antes de hacer clic

¿Apareció un evento en tu calendario con un enlace en la descripción y no estás seguro? Pega la URL aquí antes de pulsar. Nuestro motor de 3 capas (Local + APIs + IA) devuelve un veredicto en unos 3 segundos. Gratis, sin registro.

Análisis completo con IA profunda → · Ninguna URL se vincula a tu identidad.

Dónde encaja la defensa en el navegador

El blindaje de ajustes impide que la mayoría de eventos de phishing lleguen siquiera a tu calendario. Para los que sí entran, y para el momento en que un usuario pulsa el enlace de la descripción, la protección en el navegador atrapa la URL de destino. SafeBrowz es una extensión gratuita para Chrome, Firefox y Edge (Safari muy pronto) que analiza la URL de destino antes de que la página se cargue y bloquea clones que roban credenciales, páginas de reclamación que drenan billeteras y falsas pantallas de inicio de sesión de Google o Microsoft. No bloquea el evento de calendario en sí (de eso se encargan los ajustes), pero sí bloquea la página de aterrizaje si el usuario hace clic de todos modos. La combinación de ajustes estrictos de calendario más un escáner en el navegador cierra las dos mitades de la cadena del ataque.

Cómo SafeBrowz bloquea esta amenaza

SafeBrowz funciona con una arquitectura de detección de 3 capas: Local + APIs + IA.

  • Capa 1 - Detección local: más de 60 firmas de patrones de URL, una base de datos de más de 550 marcas y comprobaciones de homógrafos y Punycode, todo dentro de la extensión antes de que la página se cargue. Detecta al instante los patrones de enlace inyectado en la descripción de un evento y los dominios que suplantan a Google Meet.
  • Capa 2 - Comprobaciones por API: agrega Google Safe Browsing, PhishTank, URLhaus y feeds de ScamAdviser, más más de 30 listas de TLD de estafa, para marcar dominios ya conocidos como maliciosos.
  • Capa 3 - Análisis profundo con IA (Premium): el análisis de contenido en más de 100 idiomas detecta variantes nuevas en segundos.

Las firmas de detección provienen de investigación de inteligencia de amenazas y de nuestra base de datos interna de marcas, no de los datos de navegación de los usuarios. SafeBrowz no almacena el historial de navegación por usuario.

Instala SafeBrowz gratis

Añade la extensión de navegador que ejecuta cada comprobación de este artículo automáticamente, en cada página, antes de que se cargue. Gratis para siempre, con análisis profundo de IA Premium opcional por 14,99 $ al año.

Chrome Añadir a Chrome Firefox Añadir a Firefox Edge Añadir a Edge

Ver precios y funciones Premium

Preguntas frecuentes

¿El evento de factura o de renovación de suscripción en Google Calendar es un cobro real?

No. Un cobro real nunca llega como una invitación de Google Calendar. Las empresas legítimas te cobran por correo desde su propio dominio, por un mensaje dentro de la app o en el historial de facturación de tu cuenta, no como una reunión en tu calendario. Cualquier evento que muestre un importe de renovación, una factura o un teléfono para llamar y disputar un cargo es phishing. No llames al número, elimina el evento y desactiva el añadido automático de invitaciones en la configuración de Calendar.

Un evento dice que mi suscripción se renovó por cientos de dólares y que llame a un número. ¿Qué hago?

No llames al número. Es una estafa de phishing de devolución de llamada, también llamada TOAD. El importe grande está pensado para que entres en pánico y llames antes de comprobar. En la llamada, el estafador pide los datos de tu tarjeta o banco, te empuja a instalar software de acceso remoto o te convence de hacer una transferencia. Verifica cualquier cargo real solo en el historial de facturación de tu cuenta en el sitio oficial de la empresa. Después elimina y reporta el evento.

¿Cómo terminó una reunión en mi calendario si nunca la acepté?

El valor por defecto de Google Calendar para "Añadir invitaciones al calendario" es "De todos" en muchas cuentas. Cualquiera que conozca tu correo puede escribir una invitación y aparece automáticamente. Outlook se comporta igual. Cambia el ajuste a "Cuando responda a la invitación por correo electrónico" para el comportamiento más estricto.

El correo de la invitación es de Google. ¿Eso prueba que la reunión es real?

No. La notificación la envían de verdad los servidores de Google, por eso supera SPF, DKIM y DMARC. Pero el contenido del evento (título, descripción, enlace) lo aporta quien creó la invitación. Google entrega; no verifica. Un evento de phishing de un desconocido se entrega igual que una reunión real de tu jefe.

¿Rechazar el evento le confirma al atacante que mi dirección es válida?

Sí. Cualquier respuesta, aceptar o rechazar, le confirma al organizador que tu dirección está activa. No pulses responder. Elimina el evento con la opción de notificar al organizador desactivada, o cambia el ajuste del calendario para que los eventos no entren de entrada, y reporta el correo como phishing.

¿Puedo bloquear las invitaciones de calendario de un remitente concreto?

Sí. En Gmail, abre la notificación del calendario, pulsa el menú de tres puntos y elige Bloquear remitente. En Outlook, haz clic derecho en el mensaje y elige Correo no deseado y luego Bloquear remitente. Ambos clientes entregan los eventos de calendario por la tubería del correo, así que bloquear la dirección bloquea las invitaciones.

Hice clic en un enlace pero no introduje nada. ¿Estoy a salvo?

Probablemente, pero el clic reveló tu IP y confirmó que tu correo está activo. Si la página intentó soltar una descarga, analiza tu dispositivo. Si no firmaste ninguna transacción de billetera, no se movió ningún fondo. Si firmaste algo, revoca las aprobaciones y mueve los fondos.

¿Este mismo truco funciona en Zoom, Teams o Apple Calendar?

El truco de fondo (entrega a través de un servicio de calendario legítimo cuyas notificaciones superan la autenticación de correo) funciona contra cualquier calendario que acepte invitaciones automáticamente. Apple Calendar en iCloud tiene un valor por defecto más estricto y usa una bandeja separada para las invitaciones. El calendario de Teams hereda los ajustes de Outlook. Endurece la aceptación automática en cada herramienta de calendario que uses.

Más cobertura de SafeBrowz

En resumen: el phishing de calendario gana porque el correo de la invitación viene de verdad de Google o Microsoft, el enlace fraudulento vive en la descripción del evento donde ningún escáner de correo lee, y los ajustes por defecto dejan que cualquier desconocido suelte una reunión en tu calendario. Cinco minutos de ajustes bloquean el grueso. Pon "Añadir invitaciones al calendario" en "Cuando responda a la invitación por correo electrónico" en Google Calendar, desmarca "Aceptar automáticamente las solicitudes de reunión" en Outlook y bloquea a los remitentes de phishing en la capa de correo cuando alguno se cuele. Para el enlace de la descripción que igual acabas pulsando, usa un escáner en el navegador como SafeBrowz como segunda línea.