Alerta por phishing en iCloud Calendar con facturas falsas

iPhone World » General » El fraude de iCloud Calendar que cuela facturas falsas y números de soporte

Los estafadores usan invitaciones de iCloud Calendar para enviar "recibos" falsos que parecen salir de Apple.
El gancho es un cobro de 599 $ a PayPal con un número para que la víctima llame y caiga en una estafa de devolución.
La campaña abusa de Microsoft 365 y del esquema SRS para reenviar y pasar SPF/DMARC/DKIM sin alertas.
Consejos clave: verificar en PayPal, desconfiar de urgencias, bloquear auto-invitaciones y activar 2FA.

Un nuevo modus operandi de phishing está explotando las invitaciones de iCloud Calendar para colar correos que parecen legítimos y que, además, superan los filtros antispam porque salen de los propios servidores de Apple. El resultado es que más usuarios ven en su bandeja mensajes que aparentan ser notificaciones reales del sistema.

El cebo es simple: una supuesta factura de 599 dólares en PayPal y un número de teléfono para “revisar” el pago. Quien llama, se topa con falsos agentes que intentan convencerle de que su cuenta fue comprometida y que necesita instalar software o dar acceso remoto, una táctica vista antes para robar dinero, datos o plantar malware.

Cómo funciona el engaño con iCloud Calendar

Aunque el correo parece un justificante de compra, en realidad es una invitación de iCloud Calendar con el texto fraudulento metido en el campo Notas. Así, el mensaje se envía desde la dirección noreply@email.apple.com y pasa las comprobaciones SPF, DKIM y DMARC, lo que añade una pátina de legitimidad difícil de tumbar por los filtros.

Los actores detrás de la campaña invitan a una cuenta de Microsoft 365 que controlan (por ejemplo, «Billing3@WilliamerDickinsonerLTD.onmicrosoft.com»). Todo apunta a que se trata de una lista de distribución que reenvía automáticamente la invitación a múltiples objetivos, multiplicando el alcance del engaño.

Para que ese reenvío no rompa la autenticación, Microsoft aplica el Sender Rewriting Scheme (SRS), reescribiendo la ruta de retorno a un dominio propio. De este modo, el mensaje reencaminado sigue superando SPF y llega con apariencia intacta: en el cliente de correo se sigue viendo como remitente una cuenta asociada a Apple, lo que reduce la sospecha.

Señales de alerta en estos mensajes

Aunque el envío se apalanque en infraestructura legítima, el contenido exhibe marcadores típicos de phishing que conviene tener en el radar.

Urgencia artificial: una cantidad elevada supuestamente cargada para forzar que llames.
Saludos genéricos: “Hello customer” en lugar de tu nombre real.
Destinatario dudoso: la dirección a la que va la invitación puede ni siquiera ser la tuya.
Errores llamativos: el número de teléfono aparece con +1 repetido (+1 +1 …).
Instrucciones para llamar a un “soporte” que no verifica tu identidad por canales oficiales.

Objetivo final y riesgos asociados

El propósito es llevarte a una estafa de callback: al llamar, intentarán que instales herramientas de acceso remoto o que compartas credenciales “para tramitar un reembolso”. Esa combinación puede derivar en vaciado de cuentas bancarias, robo de datos y compromiso del equipo.

Más allá del anzuelo del cobro PayPal por 599 $, se han observado variantes orientadas a acceso total al Mac o PC bajo pretexto de “verificación”, reforzando un patrón de vishing y soporte falso. Consultadas por algunos medios, Apple no ha respondido de momento a las preguntas sobre esta campaña.

Un problema que recuerda a otras oleadas de spam en Calendario

El abuso de las invitaciones de calendario no es nuevo: años atrás ya se dispararon oleadas de spam en Apple Calendar y la compañía introdujo opciones como Reportar basura en iCloud.com. En ciclos recientes, además del gancho de pagos, se han visto invitaciones con supuestas promociones cripto que buscan captar clics hacia sitios de phishing.

Estas notificaciones son especialmente molestas porque bypassean filtros al nacer en servidores legítimos y, si aceptas sin querer, puedes alimentar más envíos. El fenómeno ha reaparecido periódicamente, señal de que los atacantes se adaptan a las defensas existentes.

Qué puedes hacer para protegerte

El hecho de que el remitente pase controles técnicos no lo convierte en inocuo: lo clave es verificar la intención del mensaje y no seguir instrucciones impulsivas.

Si ves un cargo inesperado, entra directamente a PayPal.com o a la app (sin usar enlaces del mensaje) para comprobar notificaciones.
Busca el número de teléfono y la dirección de correo en Internet para detectar reportes de fraude.
Activa 2FA en PayPal y en tus cuentas principales para elevar la barrera ante intrusiones.
Reporta correos sospechosos a phishing@paypal.com y elimina el mensaje.
En iPhone, iPad o Mac, desactiva la adición automática de invitaciones, revisa permisos de calendarios compartidos y considera activar el filtro de spam en Apple Mail.
Aplica la misma desconfianza a las invitaciones de calendario que a los emails: si no lo esperabas, verifica por un canal conocido.

En entornos corporativos, conviene reforzar políticas: formación para evitar responder a números desconocidos, controles de listas de distribución que impidan reenvíos indiscriminados y reglas de seguridad que examinen invitaciones externas y su alineación con DMARC al pasar por SRS.

Lo que hay detrás a nivel técnico

La eficacia de la campaña reside en la combinación de tres factores: un origen confiable (email.apple.com), el enmascaramiento del gancho en el campo Notas de la invitación y el reenvío mediante grupos de Microsoft 365 con reescritura SRS que mantiene vivo SPF. No es que el señuelo sea especialmente sofisticado, sino que el uso de infraestructura legítima le presta credibilidad y complica la detección automática.

Ante este uso indebido de funciones legítimas, la recomendación es elevar la vigilancia del usuario y ajustar políticas de correo y calendario, mientras los grandes proveedores afinan filtros y controles para identificar patrones de abuso sin penalizar el tráfico legítimo.