Decenas de lectores nos han alertado sobre un supuesto “comprobante de compra” de Microsoft 365 que llega desde una dirección @gmail.com. Aunque parece convincente a primera vista, en realidad se trata de un fraude de phishing diseñado para robar datos y, en muchos casos, dinero. A continuación detallamos cómo reconocerlo, por qué es peligroso y qué pasos debes seguir para protegerte.
¿Por qué este correo es claramente falso?
Microsoft solo envía confirmaciones de pago y alertas de facturación desde dominios corporativos verificados, jamás desde proveedores gratuitos como Gmail o Yahoo. Además, los correos auténticos incluyen tu nombre completo, el último dígito de la tarjeta registrada, el importe exacto y un número de pedido que coincide con lo que aparece en tu historial de compras dentro de la cuenta Microsoft.
| Dominios legítimos de Microsoft | Ejemplo de remitente real |
|---|---|
| communication.microsoft.com | msa@communication.microsoft.com |
| accountprotection.microsoft.com | account-security-noreply@accountprotection.microsoft.com |
| microsoft.com | support@microsoft.com |
Si el mensaje procede de cualquier otro dominio, táchalo de inmediato como sospechoso. El fraude que analizamos hoy abusa del nombre “Outlook” o “Microsoft 365” en el asunto, agrega un monto elevado (por ejemplo, 1 319,80 USD) y amenaza con cargarlo a tu tarjeta bancaria si no respondes. Un vistazo rápido a la dirección del remitente basta para descubrir la farsa.
Señales de alerta en el cuerpo del mensaje
- Urgencia desmedida: se indica un plazo de pocas horas para cancelar la “compra”.
- Instrucciones ambiguas: te piden llamar a un número desconocido o responder con tus datos.
- Errores gramaticales: frases mal redactadas, tildes erróneas y traducciones confusas.
- Archivos adjuntos sospechosos: facturas en formatos comprimidos o extensiones dobles (PDF.exe).
- Enlaces encubiertos: el texto menciona “panel de facturación”, pero el vínculo apunta a un dominio sin relación con Microsoft.
Paso a paso para protegerte si todavía no hiciste clic
- Elimina el mensaje. No contestes ni descargues adjuntos.
- Vacía la carpeta Correo no deseado. Así evitas abrirlo por accidente en el futuro.
- Revisa tus suscripciones reales. Abre un navegador y escribe manualmente account.microsoft.com > Services & subscriptions. Ahí verás los productos activos y los cargos legítimos.
- Refuerza la seguridad de tu cuenta. Activa la verificación en dos pasos y actualiza tu contraseña si lleva más de un año sin cambiarse.
¿Y si ya abriste el correo o hiciste clic?
No entres en pánico, pero actúa rápido:
- Desconecta tu dispositivo de internet. Así bloqueas la transmisión de información adicional al atacante.
- Pasa un antivirus actualizado. Un análisis completo descarta la presencia de malware.
- Cambia la contraseña de tu cuenta Microsoft y del correo afectado. Usa una combinación única y aleatoria de al menos 12 caracteres.
- Revisa el historial de inicio de sesión. Desde account.microsoft.com > Security & privacy cierra cualquier sesión que no reconozcas.
- Contacta a tu banco. Explica que diste tus datos por error y pide bloquear o monitorizar la tarjeta.
- Activa alertas de transacciones. Muchos bancos ofrecen notificaciones en tiempo real para cada cargo efectuado.
Cómo reportar el intento de phishing
- Outlook (versión web): abre el mensaje → ··· Más acciones > Marcar como phishing.
- Outlook de escritorio: clic derecho sobre el correo → Correo no deseado > Phishing.
- Gmail: abre el mensaje → ícono de tres puntos → Reportar phishing.
Al enviar el reporte ayudas a que los filtros de otras personas reconozcan el engaño y lo bloqueen antes de llegar a la bandeja de entrada.
Preguntas frecuentes
¿Puede Microsoft enviarme un recibo desde otra cuenta porque la oficial tiene fallos?
No. Las confirmaciones de pago se generan automáticamente dentro de la infraestructura de Microsoft. Si su dominio principal sufriera problemas, la notificación se mostraría primero en tu panel de facturación antes que por correo.
¿Por qué obtienen mi dirección de correo si nunca la di?
Los delincuentes utilizan bases de datos filtradas en brechas anteriores o combinan técnicas de scraping y diccionarios de nombres. No significa que tu cuenta esté comprometida, pero sí que tu dirección figura en listados públicos o filtrados.
¿Es seguro abrir el correo solo para leerlo?
La mayoría de los clientes modernos bloquean la carga automática de imágenes externas, lo que reduce riesgos. Aun así, cada apertura envía cierta información (como tu IP) al servidor remoto. Lo recomendable es no abrirlo y borrarlo de inmediato.
¿Debo formatear mi PC si hice clic?
Generalmente no es necesario, salvo que el antivirus detecte infecciones que no pueda desinfectar. La prioridad es cambiar contraseñas y asegurar la tarjeta bancaria.
Buenas prácticas para blindarte ante futuros fraudes
- Activa MFA en todas tus cuentas críticas.
- Utiliza un gestor de contraseñas. Así evitas repetir claves y detectas páginas falsas (el gestor no completará credenciales en dominios desconocidos).
- Revisa la barra de direcciones. Cualquier sitio legítimo de Microsoft termina en “.microsoft.com”.
- Desconfía de los montos inusuales. Microsoft 365 Personal cuesta alrededor de 69 USD/año; una cifra miles de dólares por encima es una señal roja.
- Mantén el sistema operativo y el antivirus actualizados. Muchos ataques se aprovechan de vulnerabilidades ya resueltas.
- Educa a tu entorno. Comparte capturas de pantalla (sin revelar datos privados) y explica cómo reconocer remitentes falsos.
Ejemplo de correo legítimo vs. correo fraudulento
| Atributo | Correo legítimo | Correo fraudulento |
|---|---|---|
| Remitente | account‑security‑noreply@accountprotection.microsoft.com | microsoft‑billing@gmail.com |
| Nombre del destinatario | Tu nombre completo | “Estimado usuario” |
| Monto | 69,00 USD | 1 319,80 USD |
| Enlaces | Dominio .microsoft.com | Dominio desconocido (acortador o IP) |
| Número de pedido | Visible en tu historial | Secuencia aleatoria sin registro |
Conclusión
El correo que aparenta confirmar la compra de Microsoft 365 desde una dirección @gmail.com es un intento de phishing. Ignóralo, repórtalo y elimina cualquier rastro. Si llegaste a interactuar con él, cambia de inmediato tus contraseñas y avisa a tu banco para bloquear posibles cargos. Finalmente, adopta prácticas de seguridad proactivas: doble factor de autenticación, gestor de contraseñas y atención constante a los dominios legítimos. Cuanto más informado estés, menos oportunidades tendrán los atacantes de sorprenderte.