Querían fiestas, pero recibieron virus: cientos de dominios abandonados atacan a 4 millones de dispositivos Apple
Mientras nos enseñan a temer los correos de phishing, la verdadera amenaza se cuela por la confiable aplicación de calendario del móvil.
Los calendarios digitales hace tiempo que se han convertido en una forma cómoda de no perderse en las tareas diarias; sin embargo, un nuevo estudio de Bitsight muestra que la herramienta habitual puede transformarse en un canal de ataque completo. Los especialistas de Bitsight detectaron más de 390 dominios abandonados relacionados con la sincronización iCalendar, desde los cuales diariamente se recibían solicitudes de aproximadamente 4 millones de dispositivos con iOS y macOS. Cualquiera que registre de nuevo esos dominios obtiene la posibilidad de añadir sin ser visto eventos en los calendarios de los usuarios —con enlaces, archivos y cualquier otro contenido.
El problema es que las suscripciones a calendarios de terceros suelen hacerse con un solo clic —para fechas festivas, calendarios de eventos, ofertas o recordatorios de aplicaciones. Pero junto con la comodidad llega el riesgo: los atacantes pueden crear una infraestructura que engañe al usuario para que se suscriba a sus "actualizaciones". Y a partir de ese momento el dispositivo, sin intervención del propietario, empezará a consultar regularmente el dominio, recibiendo nuevos archivos .ics. Si el dominio es re registrado por ciberdelincuentes, en el calendario empiezan a aparecer recordatorios persistentes, enlaces de phishing, notificaciones falsas sobre antivirus o VPN —todo lo que pueda inducir a la víctima a hacer clic.
Los especialistas hallaron cientos de esos dominios, muchos de los cuales se comunicaban con millones de direcciones IP únicas. Las solicitudes claramente no procedían de nuevas suscripciones, sino de calendarios antiguos olvidados por los usuarios —por ejemplo, con fechas festivas de distintos países. Basta con interceptar el dominio para obtener al instante un "canal de entrega" hacia una enorme cantidad de dispositivos.
Paralelamente, Bitsight identificó toda una infraestructura destinada a la difusión masiva de suscripciones maliciosas: sitios comprometidos cargaban silenciosamente scripts ofuscados que redirigían a los visitantes a páginas falsas de CAPTCHA. Allí se convencía a las víctimas de pulsar "Permitir" —supuestamente para pasar la verificación— cuando en realidad eso activaba la suscripción inmediatamente a notificaciones push o a eventos de calendario. Tales cadenas de redireccionamiento solían usar dominios con .biz y .bid y estaban relacionadas con la conocida campaña maliciosa Balada Injector.
Este esquema no fue el único. Los investigadores encontraron archivos APK y documentos PDF que conducían a las mismas cadenas. Las aplicaciones para Android se disfrazaban de juegos, se ocultaban tras el lanzamiento y abrían las URL necesarias mediante WebView. Los documentos PDF contenían enlaces tinyurl que dirigían a las mismas páginas falsas. Toda la infraestructura estaba bien organizada: decenas de hospedajes, cientos de dominios, miles de APK, certificados comunes y una red interconectada de redireccionamientos.
La monetización también resultó bastante concreta. Existen plataformas publicitarias que ya venden "espacio" en el calendario: se puede comprar la aparición de un evento propio en el dispositivo del usuario, promocionar VPN, juegos o servicios. Esos anuncios parecen recordatorios corrientes, y el público objetivo —propietarios de dispositivos iOS— se considera "con capacidad de pago". Los atacantes utilizan activamente métodos de phishing para difundir tales esquemas.
A pesar de la magnitud del problema, la protección es casi inexistente. Las soluciones MDM no pueden impedir que los usuarios añadan sus suscripciones ni siquiera ver la lista de las ya existentes. Comprobaciones, filtros, análisis antivirus —todo eso está desarrollado para el correo electrónico, pero casi no existe para los calendarios, que se perciben como una herramienta inherentemente segura.
Bitsight recomienda que usuarios y empresas revisen regularmente las suscripciones activas, traten los enlaces y adjuntos en los eventos con la misma cautela que los correos, introduzcan políticas sobre el uso de calendarios de terceros y, cuando sea posible, bloqueen suscripciones sospechosas a nivel de red. Pero la medida principal es aumentar la concienciación: el calendario no es solo una utilidad conveniente, sino otro vector potencial de ataque que hoy los atacantes usan activamente. El conocimiento de los métodos de ingeniería social ayudará a enfrentar tales amenazas.