Campaña de phishing «Browser-in-the-Browser» (BitB)

24 de junio de 2026

Por Rikesh Vekaria

Resumen de la campaña

Los atacantes han descubierto una nueva forma de burlar las herramientas de análisis de códigos QR: dañar el archivo a propósito.

En mayo de 2026, el equipo de investigación de amenazas de Mimecast identificó una campaña de «quishing» de gran envergadura que incorporaba códigos QR maliciosos en los archivos adjuntos de invitaciones de calendario y que deformaba deliberadamente dichos archivos para incumplir la norma RFC 2445, la especificación en la que se basan los archivos de calendario. El resultado fue que las herramientas automatizadas que intentaban extraer y analizar el código QR fallaron en la fase de análisis, antes de que pudieran identificar ningún elemento malicioso.

La campaña también mostró indicios de una automatización imperfecta. La imagen de cada correo electrónico mostraba un mensaje con la marca de Microsoft, pero su texto alternativo hacía referencia al dominio de la propia organización del destinatario, lo que sugiere que la herramienta del atacante estaba diseñada para extraer el logotipo del objetivo de forma dinámica y no lo consiguió. Las direcciones de remitente, los asuntos y el contenido de los mensajes se fueron alternando a lo largo de todo el proceso, con el objetivo específico de eludir los controles basados en firmas y en la reputación.

Mayo de 2026: Campaña de supresión de ICS con datos malformados

Estructura y ejecución de la campaña

Leyenda: El archivo adjunto a la invitación del calendario contenía un código QR que, una vez escaneado, dirigía al destinatario a un paso de verificación manual antes de entregarle el contenido malicioso.

Leyenda: Esta etapa intermedia se diseñó para eludir el análisis automatizado y para dotar a la experiencia de una sensación de legitimidad.

Leyenda: A lo largo de la campaña, las direcciones de remitente, los asuntos y el contenido de los mensajes variaron continuamente, lo que redujo considerablemente la eficacia de la detección basada en firmas.

Técnicas de evasión por capas

La campaña combinó múltiples tácticas de evasión para burlar sistemáticamente cada nivel de detección automatizada:

Origen de confianza: los mensajes se enviaron desde servidores de correo de Google y superaron las autenticaciones SPF, DKIM y DMARC, lo que les otorgó una reputación de envío impecable ante los sistemas receptores.

Carga útil mínima: cada correo electrónico contenía únicamente una imagen y una invitación de calendario en formato .ics formato, omitiendo el cuerpo del texto, los enlaces y los archivos adjuntos que suelen analizar los motores de detección.

Archivo adjunto ofuscado: El archivo adjunto .ics infringía deliberadamente la norma RFC 2445, la especificación de archivos de calendario, y sus líneas de propiedades X estaban rellenas de contenido generado aleatoriamente, diseñado específicamente para provocar que las herramientas de extracción de códigos QR fallaran en la fase de análisis.

Código QR integrado: Se incluyó un código QR en la invitación del calendario, con lo que el elemento interactivo pasó del cuerpo del correo electrónico al dispositivo móvil del destinatario, quedando fuera del alcance de los filtros de correo electrónico corporativos y de los controles de los terminales.

Barrera de verificación manual: al escanear el código QR, se redirigía al destinatario a un paso de verificación manual antes de llegar al destino controlado por el atacante, lo que impedía el rastreo automatizado y mantenía la URL de destino oculta a las herramientas de análisis.

Segmentación dinámica con una ejecución imperfecta: la campaña intentó insertar dinámicamente los logotipos de las organizaciones destinatarias en el mensaje de phishing, pero no lo consiguió, por lo que en la imagen quedó la marca de Microsoft, mientras que el texto alternativo hacía referencia al dominio del destinatario —lo que pone de manifiesto el uso de herramientas sofisticadas con deficiencias en su implementación—.

Archivos ICS con formato incorrecto: incumplimiento de las normas para eludir la detección

La técnica de evasión de la campaña consistía en infringir deliberadamente la norma RFC-5545, la especificación técnica que define cómo deben estructurarse los archivos de calendario. Las líneas de la propiedad X del archivo adjunto .ics se rellenaron con contenido generado aleatoriamente, diseñado para provocar que las herramientas de extracción de códigos QR fallaran en la fase de análisis.

Incumplimiento de la norma RFC-5545

1. El contenido aparece antes de «BEGIN:VCALENDAR»
   El archivo comienza con numerosas líneas «X-...» antes de que comience realmente el calendario. Esto no es válido según el RFC 5545.
   Las herramientas de seguridad y los analizadores sintácticos suelen buscar primero «BEGIN:VCALENDAR». Las líneas adicionales al principio pueden hacer que el contenido sospechoso pase desapercibido en los análisis básicos y genere dudas del tipo «¿se trata de un calendario?». comprobaciones, o bien ocultar la invitación real en una parte menos visible del archivo adjunto para que tanto las personas como los sistemas automatizados la pasen por alto.
2. Líneas X con formato incorrecto + nombres experimentales
   Las líneas parecen metadatos de calendario (X-GENERATION; FUTURE:, X-ADULT; CUSTOMER:), pero utilizan «; WORD:» en lugar de la sintaxis válida («;WORD=valor:» o «X-WORD:valor»).
   Por qué lo hacen los atacantes:
   • Las propiedades «X-» están permitidas en la especificación RFC, por lo que el archivo parece «técnico» y legítimo a primera vista.
   • Los pares de palabras aleatorios (GENERACIÓN / FUTURO, PAPEL / DENTRO) imitan campos reales sin ser nombres estándar; se trata de ruido que desactiva los analizadores sintácticos estrictos, pero que puede seguir mostrándose en clientes menos rigurosos.
   • Los parámetros mal formados hacen que algunos analizadores de seguridad fallen u omitan el archivo, mientras que algunas aplicaciones de calendario pueden seguir abriéndolo parcialmente: un truco clásico de «abuso de formato».

Este enfoque frustra el análisis automatizado de varias maneras:

• Los motores de análisis sintáctico se detienen prematuramente: las herramientas de seguridad que esperan archivos que cumplan con los estándares detectan datos mal formados y interrumpen el procesamiento antes de llegar al código QR incrustado.
• Error en la extracción del código QR: las herramientas diseñadas para localizar y procesar imágenes incrustadas no pueden funcionar cuando la estructura del archivo se ha dañado deliberadamente
• Las tecnologías que dependen de la URL no tienen nada que analizar: las tecnologías de detección tradicionales que se basan en la resolución de la URL de destino para llegar a una conclusión —como el sandboxing, el análisis de URL y los agentes LLM— fallan porque la URL permanece oculta dentro de un archivo adjunto dañado.

Uso indebido de las invitaciones del calendario: un panorama de amenazas más amplio

Si bien la campaña de «quishing» con archivos ICS malformados de mayo de 2026 representa la última evolución de los ataques basados en el calendario que Mimecast ha observado, esta se inscribe en un contexto más amplio de uso indebido de las invitaciones de calendario. Los autores de amenazas siguen aprovechando las funciones del calendario en múltiples variantes de ataque:

Phishing mediante código HTML incrustado

Algunos ataques incrustan contenido HTML directamente en archivos .ics archivos que, al abrirlos, redirigen a páginas de phishing. La propia invitación del calendario actúa como mecanismo de distribución, con código HTML incrustado que muestra formularios para el robo de credenciales o redirige a una infraestructura externa de phishing. Este método elude el análisis tradicional del contenido de los correos electrónicos, ya que el contenido malicioso nunca aparece en el cuerpo del mensaje.

Estafas de «vishing» mediante devolución de llamada

Las invitaciones del calendario pueden incluir números de teléfono junto con mensajes urgentes diseñados para iniciar ataques de suplantación de identidad por voz. Estas invitaciones suelen hacer referencia a problemas de seguridad de la cuenta, pagos atrasados o incidencias informáticas graves que requieren una atención inmediata mediante una llamada telefónica. El formato de calendario aporta credibilidad a la solicitud, ya que los usuarios perciben los eventos programados como más legítimos que los correos electrónicos no solicitados.

Por qué resulta eficaz el uso indebido de las invitaciones del calendario

Los ataques basados en el calendario aprovechan varias vulnerabilidades fundamentales en la forma en que las organizaciones y los usuarios interactúan con los sistemas de planificación:

Inclusión automática en los calendarios: La configuración predeterminada de Google Calendar y Microsoft 365 suele añadir automáticamente las invitaciones externas a los calendarios de los usuarios sin necesidad de que estas sean aceptadas de forma explícita. Esta automatización implica que los usuarios pueden verse expuestos a contenidos maliciosos sin haber decidido conscientemente interactuar con ellos.

La confianza de los usuarios en las notificaciones del calendario:Los usuarios confían de forma natural en las notificaciones del calendario, ya que forman parte de su flujo de trabajo habitual. Cuando un acto fraudulento aparece junto a reuniones de negocios legítimas, su ubicación en ese contexto genera una credibilidad implícita que los atacantes aprovechan.

Menor control en comparación con el correo electrónico: las invitaciones de calendario son objeto de un control menos riguroso que los correos electrónicos habituales, tanto por parte de las tecnologías de seguridad como de los propios usuarios, a quienes se les ha enseñado a examinar minuciosamente los enlaces de los correos electrónicos, pero no el contenido de los eventos del calendario.

Persistencia tras la eliminación del correo electrónico: incluso cuando el correo electrónico de phishing original se identifica y se elimina de la bandeja de entrada de un usuario, es posible que el evento del calendario persista en su agenda, lo que sigue exponiéndole a contenido malicioso.

Protección de Mimecast

Mimecast ha implementado funciones de detección diseñadas específicamente para identificar invitaciones de calendario maliciosas y ataques de «quishing» que se aprovechan de archivos ICS mal formados. La protección multivectorial contra amenazas (MVTP) aplica un análisis basado en principios fundamentales, en lugar de basarse en la URL de destino final resuelta para la detección de phishing o centrarse exclusivamente en los indicadores de la fase de explotación para la detección de malware. Correlaciona, en su contexto, las señales previas a la ejecución —entre las que se incluyen las URL de llamada a la acción, los patrones de entrega, el comportamiento de redireccionamiento, el contexto de autenticación y los atributos a nivel de mensaje— para llegar a una conclusión.

El equipo de Investigación de Amenazas sigue vigilando los cambios en las técnicas empleadas por las operaciones maliciosas que se aprovechan de la infraestructura del calendario y ha incorporado varios atributos de la campaña de mayo de 2026 a sus capacidades de detección.

Público objetivo: A nivel mundial, aunque con especial atención al Reino Unido, Alemania y EE. UU.; en todos los sectores

Indicadores de compromiso (IOC)

Asignaturas comunes

• Código de conducta de marzo de 2026
• Manual del programa de formación en ética
• Política sobre el modelo híbrido en el sector energético
• Procedimientos del manual del personal
• Manual de políticas de evaluación
• Ética en la cadena de suministro
• Manual de procedimientos
• Guía del programa de recompensas de pólizas
• Política sobre el modelo híbrido
• Política de cumplimiento en materia de seguridad y salud
• Guía de programación
• Ética en la cadena de suministro
• Normas de responsabilidad corporativa

Lo que deben tener en cuenta los defensas

Las campañas de «quishing» que ocultan códigos QR en archivos adjuntos de calendarios se aprovechan de un punto ciego fundamental: para cuando el usuario escanea el código, el ataque ya se ha trasladado a un dispositivo móvil personal, donde los filtros de correo electrónico, la protección web y la supervisión de terminales suelen estar ausentes o son considerablemente más débiles. Si en esa fase se roban las credenciales, es posible que el sistema de seguridad de la empresa nunca llegue a saber que se produjo dicha interacción.

Las tecnologías de detección tradicionales, entre las que se incluyen el sandboxing, el análisis de URL y los agentes basados en modelos de lenguaje grande (LLM), dependen de la resolución de la URL de destino para emitir un veredicto. Cuando esa URL se oculta tras un archivo adjunto malformado, un código QR y un proceso de verificación manual, esas herramientas no tienen nada que analizar.

Los responsables de la seguridad deben considerar como de alto riesgo las invitaciones de calendario autenticadas con un contenido mínimo en el cuerpo del mensaje y con cargas útiles compuestas únicamente por imágenes, independientemente del estado de autenticación del remitente. El análisis de archivos adjuntos debe ser capaz de detectar encabezados ICS malformados, y los usuarios deben comprender que escanear un código QR equivale a hacer clic en un enlace no verificado.

Los defensores también deben partir de la base de que el volumen y la variedad de las técnicas de evasión seguirán aumentando. Los modelos de IA están permitiendo a los autores de amenazas generar evasiones en varias capas y sus variantes a gran escala; por ello, los controles de seguridad deben basarse en la detección basada en principios fundamentales, en lugar de en la comparación de patrones con variantes conocidas.