El uso de invitaciones de reuniones como vector de phishing ha aumentado, aprovechando que muchas plataformas crean entradas de calendario de forma automática aun cuando el correo original es eliminado. Esta brecha permitía que los usuarios interactuaran con una invitación dañina mucho después de que el mensaje fuese removido del buzón. Las nuevas mejoras introducidas en Microsoft 365 buscan cerrar este vacío operativo.
El problema: invitaciones que sobreviven al correo
Los atacantes han estado enviando invitaciones maliciosas que, al llegar a Outlook, se transforman automáticamente en un evento de calendario. Incluso después de que el mensaje es eliminado por un analista, la entrada permanece visible y lista para que un usuario la abra desde su calendario.
Esto se convierte en un punto débil recurrente:
El correo desaparece, pero el evento sigue ahí.
Los usuarios abren el evento sin verificar el origen.
Las invitaciones pueden reaparecer si el atacante vuelve a enviarlas.
La solución: eliminación vinculada al calendario
La actualización introduce un cambio crítico: la acción Hard Delete ahora elimina también el evento asociado, integrando correo y calendario en un solo flujo de remediación.
Este comportamiento aplica en todos los frentes de seguridad dentro de Office 365:
Vista de Explorer
Advanced Hunting
API de remediación
Acciones manuales del SOC
En todos los casos, el evento desaparece al mismo tiempo que el correo, evitando que la víctima tenga contacto posterior con la invitación maliciosa.
Limitaciones conocidas
Hay dos aspectos importantes a tener en cuenta:
Los eventos que se agregan mediante archivos .ics no se ven afectados.
Las entradas pueden reaparecer si el atacante reenvía la misma invitación.
Bloqueo por dominio para combatir campañas repetitivas
El segundo cambio mejora la gestión de phishing basado en enlaces. Los atacantes suelen reutilizar el mismo dominio mientras rotan URLs, lo que obliga a los analistas a bloquear enlace por enlace.
Ahora se puede bloquear el dominio completo desde el Tenant Allow/Block List, reduciendo la carga operativa en campañas donde aparecen decenas de variaciones del mismo host.
Impacto para SOC y equipos de TI
Estas mejoras aportan beneficios directos tanto para seguridad como para soporte técnico:
Para SOC
Reduce el riesgo residual al eliminar entradas de calendario que antes quedaban vivas.
Disminuye la cantidad de alertas repetitivas en campañas que reutilizan dominios.
Simplifica la remediación, unificando correo y calendario bajo el mismo ciclo de respuesta.
Para TI
Evita confusiones de usuarios que preguntan por qué una invitación sospechosa seguía activa.
Reduce trabajo adicional por enlaces repetidos.
Alinea la limpieza del calendario con las acciones aplicadas en Defender.
