AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

**Cibercriminales Abusan de Invitaciones de iCloud Calendar para Phishing de Callback: Riesgos y Contramedidas**

admin

### Introducción

A lo largo de 2024, los profesionales de la ciberseguridad han observado un repunte en el uso de servicios legítimos como vectores para ataques de phishing. La última tendencia detectada involucra el abuso de las invitaciones de iCloud Calendar, permitiendo a los atacantes enviar correos de phishing de tipo «callback» directamente desde los servidores de Apple. Este enfoque incrementa significativamente la probabilidad de evadir filtros antispam y comprometer tanto a usuarios como a organizaciones.

### Contexto del Incidente o Vulnerabilidad

El vector de ataque detectado explota la función de invitaciones de calendario en iCloud, el servicio de almacenamiento y sincronización de Apple. Tradicionalmente, los actores de amenazas habían utilizado plataformas como Google Calendar o Zoom para este tipo de campañas, pero la transición a iCloud evidencia una búsqueda activa de servicios menos monitorizados y con mayor reputación de entrega.

El abuso se produce mediante el envío masivo de invitaciones de calendario que simulan ser notificaciones de compras o cargos no autorizados. Estas invitaciones llegan a las bandejas de entrada de los usuarios legítimamente, al provenir de los servidores de Apple, lo que dificulta su filtrado y aumenta las tasas de éxito del phishing.

### Detalles Técnicos

#### CVE y Vectores de Ataque

Hasta el momento, no se ha asignado un CVE específico, ya que la técnica aprovecha una funcionalidad legítima en lugar de una vulnerabilidad explotable tradicional. El vector principal es la funcionalidad de compartir calendario de iCloud, que permite a cualquier usuario enviar invitaciones a direcciones de correo electrónico arbitrarias.

#### Tácticas, Técnicas y Procedimientos (TTP)

– **Vector inicial (MITRE ATT&CK T1566.001)**: Phishing a través de servicios legítimos de calendario.
– **Metodología de ataque**: Los atacantes generan invitaciones de iCloud Calendar con asuntos como «Factura de compra» o «Confirmación de pedido», incluyendo detalles falsos de transacciones y un número de teléfono (callback) o enlace para «cancelar» la supuesta compra.
– **Evasión de controles (T1588.002)**: Uso de infraestructuras legítimas (servidores de Apple) para dificultar la detección basada en reputación IP o lista negra de dominios.
– **Ingeniería social**: El usuario, al ver la invitación y asustado por el cargo, llama al número proporcionado, lo que inicia la segunda fase del ataque (phishing telefónico o vishing).

#### Indicadores de Compromiso (IoC)

– Invitaciones de calendario inesperadas con asuntos relacionados con compras o cargos no autorizados.
– Números de teléfono incluidos en descripciones de eventos.
– URLs acortadas o enlaces externos dentro de la invitación.
– Remitentes con direcciones de Apple legítimas, pero con nombres de usuario aleatorios.

#### Herramientas y Frameworks

Se han detectado scripts automatizados para el envío masivo de invitaciones a través de la API de iCloud Calendar, aunque no se ha evidenciado uso directo de frameworks como Metasploit o Cobalt Strike en la fase inicial.

### Impacto y Riesgos

El principal riesgo es el bypass de filtros antispam, ya que el correo es emitido desde los servidores de Apple y presenta cabeceras legítimas. Esto incrementa la superficie de ataque incluso en organizaciones con políticas de filtrado robustas.

El ataque puede derivar en:

– **Robo de credenciales** si el usuario accede a enlaces fraudulentos.
– **Compromiso financiero** mediante ingeniería social, donde el atacante solicita información bancaria o pagos.
– **Pérdida de confianza en servicios SaaS** corporativos.
– **Incumplimiento de GDPR y NIS2** ante filtraciones de datos personales o incidentes de seguridad no reportados.

Aunque no existen cifras exactas, se estima que campañas similares han afectado a decenas de miles de usuarios en Europa y América del Norte, con tasas de éxito superiores al 5% en respuestas a llamadas de callback.

### Medidas de Mitigación y Recomendaciones

– **Configuración restrictiva de iCloud Calendar**: Deshabilitar la recepción automática de invitaciones de usuarios no conocidos o externos.
– **Filtrado avanzado de eventos de calendario**: Implementar soluciones DLP y SIEM que monitoricen la creación de eventos sospechosos en cuentas corporativas.
– **Formación de usuarios**: Instruir sobre la identificación de invitaciones de calendario y la peligrosidad de interactuar con enlaces o números sospechosos, incluso si provienen de servicios legítimos.
– **Monitorización de IoC**: Actualizar continuamente las listas de IoC y emplear soluciones EDR para correlacionar eventos anómalos relacionados con calendarios.
– **Auditoría y reporte**: Registrar y reportar eventos sospechosos conforme a los requisitos de la GDPR y NIS2, asegurando una respuesta temprana ante posibles brechas de seguridad.

### Opinión de Expertos

Especialistas en ciberseguridad consultados coinciden en que este vector representa una evolución en el abuso de servicios legítimos para eludir controles. Tal y como señala el analista jefe de amenazas de una firma europea de MSSP, «la confianza depositada en los grandes proveedores cloud es un arma de doble filo; los atacantes buscan constantemente nuevas formas de explotar la reputación para maximizar sus tasas de éxito».

Desde la industria se demanda a los proveedores de SaaS, como Apple, la implementación de controles antiabuso adicionales y mejores mecanismos para reportar e invalidar invitaciones maliciosas.

### Implicaciones para Empresas y Usuarios

Para las empresas, este incidente subraya la necesidad de revisar las políticas de gestión de calendarios y acceso a servicios cloud, considerando no solo el correo tradicional, sino también canales alternativos de comunicación y colaboración. Los usuarios, por su parte, deben desconfiar de cualquier comunicación inesperada, incluso si aparenta legitimidad técnica.

El cumplimiento normativo (GDPR, NIS2) puede verse comprometido si la organización no detecta ni notifica a tiempo intentos de phishing que involucren datos personales o financieros.

### Conclusiones

El abuso de invitaciones de iCloud Calendar para campañas de phishing de callback demuestra la sofisticación creciente de los ciberataques, así como la necesidad de adoptar una aproximación integral de seguridad que contemple todos los vectores de comunicación digital. Las organizaciones deben adaptar sus controles, concienciar a los usuarios y exigir a los proveedores cloud mecanismos más robustos frente a usos indebidos de sus servicios.

(Fuente: www.bleepingcomputer.com)