Si recibes un mensaje que parece provenir de tu propia dirección y amenaza con difundir un supuesto vídeo íntimo a todos tus contactos, es normal que entres en pánico. Sin embargo, este tipo de correo de sextorsión es un engaño bien documentado que aprovecha contraseñas filtradas en antiguas brechas de datos y el miedo a la exposición pública para asustarte y forzarte a pagar. A continuación, encontrarás una guía práctica y extensa para entender cómo funciona la estafa, qué riesgos son reales, cómo blindar tu información y de qué forma evitar que este incidente vuelva a ocurrir.
Por qué el atacante “envía” correos desde tu propio buzón
El remitente no ha tomado realmente el control de tu cuenta: simplemente ha falsificado la cabecera “From” mediante técnicas de spoofing. Es comparable a poner un remitente falso en una carta física: el sobre parece legítimo, pero el interior carece de pruebas. Los delincuentes añaden tu contraseña antigua para ganar credibilidad, convencidos de que el shock será suficiente para que sigas sus instrucciones.
Cómo reconocer de inmediato la estafa de sextorsión
- Contraseña obsoleta: la clave suele proceder de una filtración pública ocurrida años atrás; no implica acceso actual a tu bandeja.
- Exigencia urgente de pago: la amenaza fija un plazo de 24 a 48 h para generar presión psicológica y evitar que verifiques la información.
- Falta de pruebas concretas: jamás adjuntan un vídeo real; todo se basa en insinuaciones vagamente creíbles.
- Petición exclusiva de Bitcoin: buscan transacciones anónimas, imposibles de revertir.
Por qué nunca debes pagar ni contestar
Pagar refuerza la economía delictiva y te convierte en un objetivo recurrente. Muchos reportes de víctimas muestran que, incluso tras el pago, los extorsionadores vuelven a exigir más dinero. Responder, por su parte, confirma la actividad de la dirección y aumenta el volumen de spam dirigido a ti.
Pasos inmediatos para proteger tu cuenta
1. Cambia la contraseña por una única y robusta
Elige al menos 16 caracteres combinando mayúsculas, minúsculas, números y símbolos. Usa una frase aleatoria o un gestor de contraseñas para generar y almacenar claves únicas por servicio.
2. Habilita la autenticación de dos factores (2FA)
Con 2FA, aunque un atacante robe tu contraseña, necesitará un código adicional temporal: un obstáculo casi insalvable para el método de ataque masivo empleado en estas campañas.
3. Revisa la actividad de inicio de sesión
La mayoría de proveedores (Gmail, Outlook, Proton, etc.) ofrecen un registro de ubicaciones y dispositivos. Cierra cualquier sesión desconocida y revoca tokens con un clic.
4. Depura las aplicaciones con acceso a tu cuenta
Revoca permisos antiguos de apps que ya no usas. Herramientas de terceros a veces conservan tokens persistentes que podrían convertirse en vías de entrada.
Cómo evitar que el correo dañe a tus contactos
El texto por sí solo no instala malware, pero sí puede generar alarma si reenvían capturas. Para minimizar riesgos:
- Informa a familiares y colaboradores de que el mensaje es falso y de que nunca deben descargar archivos inesperados que parezcan venir de ti.
- Configura filtros automáticos que muevan a la carpeta de spam correos que incluyan tu propia dirección en el campo «From» y contengan palabas clave como “Bitcoin”, “48 horas” o “sextape”.
- Refuerza las políticas SPF, DKIM y DMARC si administras tu propio dominio para reducir el spoofing.
Cómo comprobar filtraciones pasadas sin exponer tu identidad
Utiliza servicios de verificación de brechas reconocidos (por ejemplo, el popular portal de filtraciones gestionado por investigadores independientes) para consultar tu correo sin publicarlo. Si aparece en varias bases de datos, cambia cualquier otra contraseña que compartiera la misma clave y activa 2FA de inmediato.
Buenas prácticas de higiene digital que reducen riesgos futuros
Las estafas evolucionan, pero tu postura de seguridad puede adelantarse siguiendo un conjunto coherente de hábitos:
- Actualiza el sistema operativo y el navegador: los parches corrigen vulnerabilidades que los atacantes aprovechan para ejecutar malware.
- Mantén el antivirus activo y actualizado: combinaciones de filtros de reputación, heurística y sandboxing incrementan la detección de adjuntos maliciosos.
- Activa el bloqueo de macros en Office para impedir la carga automática de código incrustado en documentos.
- Realiza copias de seguridad periódicas con al menos una versión fuera de línea; así un ransomware no comprometerá tus archivos críticos.
- Revisa los permisos de cámara y micrófono; deshabilita o restringe software que no necesite acceso continuo.
Tabla de pasos esenciales
| Paso | Acción concreta | Resultado esperado |
|---|---|---|
| Reconocer la estafa | Identificar contraseña obsoleta y plazo corto de pago | Reducción del pánico, toma de decisiones racionales |
| Cambiar la contraseña | Crear clave única con gestor de contraseñas | Impedir el acceso con credenciales filtradas |
| Activar 2FA | Configurar código por app o llave física | Capar accesos no autorizados pese a filtraciones futuras |
| Revisar actividad | Cerrar sesiones desconocidas | Bloquear intrusos presentes |
| Advertir a contactos | Enviar breve comunicado preventivo | Evitar reenvíos y descargas de malware |
| Verificar filtraciones | Buscar el correo en bases de datos públicas | Actualizar contraseñas reutilizadas |
Preguntas frecuentes
¿El atacante puede activar mi cámara sin que yo lo note?
Muy improbable. Las cámaras modernas exigen permisos de sistema operativo. Sería necesario que previamente instalaras un programa malicioso o que explotara una vulnerabilidad específica; nada de eso ocurre al abrir un correo de texto.
¿Debo formatear el ordenador por precaución?
Solo si encuentras indicios claros de software no autorizado. El mensaje en sí no compromete tu equipo. Mantén actualizados antivirus y parches; realiza un análisis profundo para descartar infecciones.
¿Puedo denunciarlo?
Sí. Guarda el correo completo, cabeceras incluidas, y preséntalo en la unidad de delitos tecnológicos de tu país. Aunque la investigación de redes de extorsión es compleja, las autoridades generan inteligencia sobre campañas activas.
¿Por qué sigue funcionando esta estafa si es tan conocida?
Las listas de correos robados suman millones; basta con que un pequeño porcentaje pague para que el modelo sea rentable. El coste de envío masivo es cercano a cero.
¿Qué pasa si el atacante incluye un fragmento real de mi contraseña actual?
Probablemente tu contraseña estaba reutilizada en otro servicio y la filtración es reciente. Cambia la clave de inmediato y refuerza el resto de tus cuentas.
Conclusión
Los correos de sextorsión basados en contraseñas filtradas se sustentan en el miedo, no en el acceso real a tu cámara o bandeja. Un enfoque metódico —eliminar el mensaje, reforzar credenciales y activar 2FA— basta para neutralizar la amenaza. Mantén buenos hábitos de seguridad, informa a tus contactos y recuerda que, ante la duda, la mejor defensa es la información verificada y la calma.