Actores maliciosos están explotando invitaciones de iCloud Calendar para entregar “recibos” falsos que inician callback phishing (TOAD, por sus siglas en inglés). Las invitaciones llegan desde la infraestructura de Apple ([email protected]) y superan verificaciones SPF, DKIM y DMARC, aumentando su entregabilidad y reduciendo el bloqueo por antispam. Un caso observado por BleepingComputer simulaba un cargo de 599 USD por PayPal e incluía un número de “soporte”, con el objetivo de que la víctima llamara para “cancelar” el pago.
Cómo funciona la campaña: invitaciones de calendario con “recibos”
El vector clave es el abuso del campo Notes en las invitaciones de iCloud. Al invitar a participantes externos, Apple envía automáticamente un correo de invitación con remitente [email protected] desde el dominio email.apple.com. Los atacantes insertan en Notes el texto del “recibo” y el teléfono a contactar, usando un canal legítimo y de alta reputación que los filtros suelen confiar.
Ingeniería social: del calendario al teléfono
Una vez que la víctima llama al número provisto, el operador asegura que la cuenta está comprometida y ofrece instalar software para el “reembolso” o solicita acceso remoto. Este guion habilita robo de fondos, instalación de malware y exfiltración de datos. Es el patrón típico de TOAD: evitar enlaces y adjuntos maliciosos, trasladando la interacción al teléfono para eludir filtros, URL blocklists y sandboxing.
Por qué superan SPF, DKIM y DMARC
Muchos envíos se dirigen a buzones de Microsoft 365 asociados a listas de distribución. La reenvío suele romper SPF, pero Microsoft 365 aplica Sender Rewriting Scheme (SRS), reescribiendo el return-path al dominio del servidor que reenvía, lo que permite que SPF=pass en el destinatario final. Si la firma DKIM de Apple permanece intacta y existe alineación de dominios, DMARC también puede aprobar. El resultado: mensajes que parecen completamente legítimos a pesar de un contenido abiertamente fraudulento.
El papel de las listas de distribución en la amplificación
Las listas de distribución multiplican el alcance con un solo envío. Cuando se preservan o “restauran” los resultados de autenticación durante el reenvío, la reputación del emisor original se mantiene. Esto, combinado con la confianza en dominios de Apple, explica la alta tasa de entrega y la baja fricción con controles que priorizan autenticación sobre análisis de contenido.
Contexto: auge del callback phishing (TOAD) y tendencias delictivas
La campaña refleja un crecimiento sostenido de las ataques orientados al teléfono, donde los delincuentes evitan indicadores clásicos (URLs, adjuntos) y dirigen a la víctima a un canal fuera del correo. Informes sectoriales y estadísticas del FBI IC3 han señalado pérdidas de cientos de millones de dólares anuales asociadas a estafas de soporte técnico y fraudes telefónicos, con especial impacto en colectivos de mayor edad. BleepingComputer notificó a Apple sobre el abuso de invitaciones de iCloud Calendar; al momento del reporte, no se había comunicado respuesta.
Recomendaciones prácticas y controles de seguridad
Para usuarios finales: no llame a números incluidos en “recibos” no solicitados. Verifique cualquier cargo directamente en la app o el portal oficial (p. ej., PayPal o su banco) y utilice solo canales de soporte verificados. No instale software ni otorgue acceso remoto a petición de llamadas o correos inesperados.
Para administradores y equipos SOC: restrinja o ponga en cuarentena invitaciones externas de calendario dirigidas a listas de distribución en Microsoft 365. Cree reglas de transporte para analizar archivos .ics y filtrar el campo Notes cuando contenga patrones de “recibo” y números de teléfono. Evite que las allowlists de “dominios confiables” salten la inspección de contenido. Refuerce la defensa en endpoints con EDR/NGAV, políticas de AppLocker/WDAC y bloqueo de herramientas de soporte remoto no autorizadas. Capacite regularmente a usuarios para identificar TOAD y ejecute simulaciones de phishing.
Ante “recibos” con teléfonos, verifique primero en su cuenta oficial y evite el contacto por los números provistos. Elevar la filtración de contenido, limitar la recepción de invitaciones de calendario externas y endurecer la verificación de pagos reduce de forma drástica la eficacia de estas campañas.
