Recibiste un correo con asunto “Suspicious Activity Report” desde noreply@microsoft365-secure.net. La respuesta corta: no es un remitente oficial de Microsoft y debes tratarlo como phishing. Aquí tienes una guía clara para validar, reportar y proteger tus cuentas.
Índice
Veredicto rápido
No es un remitente oficial de Microsoft. Microsoft suele enviar notificaciones de seguridad desde dominios que terminan en .microsoft.com (por ejemplo, @microsoft.com, @accountprotection.microsoft.com, @email.microsoft.com). El dominio microsoft365-secure.net no pertenece a Microsoft; es un uso engañoso que aprovecha la marca “Microsoft 365”.
Por qué el dominio microsoft365-secure.net es sospechoso
- Imitación de marca (brandjacking): combina “microsoft” con “365” para parecer legítimo, pero la raíz del dominio no es
microsoft.com. - No coincide con patrones oficiales: las alertas de seguridad reales de cuentas Microsoft suelen llegar desde subdominios de
microsoft.com, no desde dominios genéricos con “secure” en el nombre. - Señuelos habituales: asuntos como “Suspicious Activity Report”, “Verify your account” o “Unusual sign-in” son típicos en campañas de phishing.
Qué hacer ahora (si recibiste ese correo)
- No hagas clic en enlaces ni abras adjuntos.
- Reenvíalo a
reportphishing@Microsoft.compara su análisis. - En Outlook/Outlook.com, márcalo como “Phishing” con la opción Reportar / Report message.
- Elimínalo y vacía la carpeta de Elementos eliminados.
Cómo reportar en Outlook (guía rápida)
- Outlook para Windows/macOS (nuevo Outlook o clásico): abre el mensaje → pestaña Inicio → Reportar mensaje o Protección → Phishing.
- Outlook en la web (Microsoft 365/Outlook.com): abre el mensaje → menú de tres puntos → Reportar → Phishing.
- Outlook para iOS/Android: abre el mensaje → menú de tres puntos → Reportar correo no deseado → Phishing.
Si ya interactuaste con el correo
- Cambia la contraseña de tu cuenta Microsoft inmediatamente.
- Habilita MFA (autenticación en dos pasos) si aún no está activa.
- Revisa la actividad de inicio de sesión y cierra sesiones sospechosas.
- Comprueba reglas de bandeja de entrada en Outlook (que no existan reglas creadas por un atacante para ocultar correos).
- Ejecuta un análisis antimalware en tus dispositivos.
- Si diste datos de pago, contacta a tu banco para alertar de posible fraude.
Cómo validar correos en el futuro: criterios prácticos
Antes de hacer clic, aplica esta verificación rápida:
- Dominio del remitente: fíjate en lo que va después de
@. Desconfía de variaciones que contienen “microsoft” pero no terminan enmicrosoft.com. - Enlaces: pasa el cursor sobre los vínculos para ver el dominio real. Si el destino no es un dominio oficial (
microsoft.com,live.com,office.com), no entres. - Tono y urgencia: avisos de bloqueo inminente, contadores regresivos o amenazas son bandera roja.
- Errores y formato: faltas de ortografía, logos pixelados o formatos extraños suelen delatar mensajes falsos.
Tabla comparativa: dominios legítimos vs. sospechosos
| Ejemplo legítimo | Por qué es fiable | Ejemplo sospechoso | Por qué es riesgoso |
|---|---|---|---|
@microsoft.com | Dominio raíz oficial de Microsoft. | @microsoft365-secure.net | Usa el nombre “Microsoft 365” pero el dominio raíz no es de Microsoft. |
@accountprotection.microsoft.com | Subdominio de microsoft.com para notificaciones de cuenta. | @microsoft-security-alerts.com (ejemplo) | Termina en .com genérico; no es subdominio de microsoft.com. |
@email.microsoft.com | Subdominio corporativo controlado por Microsoft. | @microsoft365-support.net (ejemplo) | Palabras creíbles, dominio ajeno a Microsoft. |
@mail.protection.outlook.com (en encabezados) | Infraestructura de entrega de Microsoft (aparece en Received). | @outlook-security-check.info (ejemplo) | Dominio de terceros que intenta imitar a Outlook. |
Señales específicas del correo “Suspicious Activity Report”
- Remitente:
noreply@microsoft365-secure.net. - Asunto: urgencia y lenguaje genérico sin referencias precisas a tu organización o a un número de ticket verificable.
- Enlaces del cuerpo: textos como “Verify now”, “Keep your account active” o “Review activity” que apuntan a dominios que no son de Microsoft.
- Adjuntos: archivos comprimidos (
.zip) o.htmlque abren páginas de inicio de sesión falsas.
Lista de verificación rápida
- ¿El dominio termina en
microsoft.com? Si no, desconfía. - ¿El enlace de destino (al pasar el cursor) es de
microsoft.com,office.comolive.com? Si no, no hagas clic. - ¿Hay presión de tiempo o amenazas? Bandera roja.
- ¿El correo pide tu contraseña, códigos MFA o datos de pago? Nunca lo entregues por email.
- ¿El adjunto es ejecutable o un HTML? Evítalo.
Análisis técnico opcional (para usuarios avanzados y TI)
Si tienes acceso a los encabezados del mensaje, revisa estos puntos:
Return-Path: <noreply@microsoft365-secure.net>
From: "Microsoft 365 Security" <noreply@microsoft365-secure.net>
Reply-To: soporte@microsoft365-secure.net
Received: from unknown (HELO ...) by ...
Message-ID: <...@microsoft365-secure.net>
DKIM-Signature: d=microsoft365-secure.net; s=selector1; ...
SPF: PASS with IP xxx.xxx.xxx.xxx
DMARC: none (p=none) header.from=microsoft365-secure.net
- From/Return-Path: el dominio de la dirección visible y el de retorno no es
microsoft.com. - Reply-To: a veces cambia a otro dominio; eso fragmenta el rastro y es sospechoso.
- SPF/DKIM: pueden “pasar” porque el atacante controla su dominio. Lo importante es quién es el dominio, no solo que esté autenticado.
- DMARC: ausencia de políticas estrictas (
p=none) en el dominio del atacante es común. - Received: los saltos intermedios no corresponden a infraestructura de Microsoft para correos salientes legítimos.
Qué buscar en los encabezados (resumen en tabla)
| Campo | Indicador de alerta | Riesgo | Acción |
|---|---|---|---|
| From / Return-Path | Dominio ≠ microsoft.com | Suplantación de marca | Reportar y bloquear |
| Reply-To | Dominio distinto al From | Derivación a estafa | No responder; reportar |
| SPF/DKIM | PASS para un dominio no confiable | Dominio propio del atacante | Validar quién, no solo el PASS |
| DMARC | Política none o ausente | Fácil de suplantar | Tratar como sospechoso |
Medidas adicionales para proteger tu organización
Para usuarios finales
- Activa MFA en todas tus cuentas críticas.
- Usa un gestor de contraseñas para generar claves únicas y robustas.
- Mantén tu sistema operativo y navegador actualizados.
Para administradores de Microsoft 365
- Políticas anti-phishing (Defender for Office 365): habilita protección contra suplantación de dominio y usuario; activa inteligencia de buzón y aprendizaje basado en similitud de nombres/dominios.
- Reglas de transporte (EAC): crea una regla que, si el dominio del remitente es
microsoft365-secure.net, asigne SCL alto, ponga en cuarentena y agregue una marca de asunto como “[Phishing sospechoso]”. - Bloqueo de dominios: añade el dominio a tus listas de bloqueo de remitentes (Tenant Allow/Block List) y revisa periódicamente los informes.
- Simulaciones de phishing: entrena a los usuarios con campañas controladas para elevar la madurez.
- Supervisión y alertas: configura alertas por creación de reglas sospechosas, reenvíos externos y múltiples intentos fallidos de inicio de sesión.
Casos frecuentes y respuestas
“El correo dice que mi cuenta será bloqueada en 24 horas”
Es una táctica de presión. Microsoft no bloquea cuentas por email con ultimátums. Valida desde tu portal oficial (account.microsoft.com) y habilita MFA.
“El enlace apunta a una página que se parece a Microsoft”
Los atacantes copian el diseño. Mira la barra de direcciones: si la raíz del dominio no es microsoft.com, no introduzcas credenciales.
“El SPF/DKIM del mensaje pasan. ¿Entonces es legítimo?”
No. SPF/DKIM verifican que el mensaje proviene de servidores autorizados por ese dominio, no que el dominio sea confiable. Un atacante con su propio dominio puede pasar ambas pruebas.
“¿Microsoft podría usar otros dominios?”
Para alertas de seguridad y de cuenta, Microsoft usa principalmente subdominios de microsoft.com. Si el dominio no termina en microsoft.com, trátalo con sospecha y verifica por canales oficiales, iniciando sesión manualmente (sin seguir enlaces de email).
Plantilla para avisar internamente (copia y pega)
Asunto: Alerta de phishing - "Suspicious Activity Report"
Equipo,
Estamos recibiendo correos de <[noreply@microsoft365-secure.net](mailto:noreply@microsoft365-secure.net)> con el asunto "Suspicious Activity Report".
No es un remitente oficial de Microsoft.
Acciones:
1. No hagan clic en enlaces ni abran adjuntos.
2. Reporten como "Phishing" en Outlook.
3. Reenvíen a Seguridad/IT y a [reportphishing@Microsoft.com](mailto:reportphishing@Microsoft.com).
Si alguien hizo clic o introdujo credenciales, avise a IT de inmediato y cambie su contraseña.
Gracias. Ejemplo de procedimiento de respuesta (SOP)
- Contención: bloquear dominio
microsoft365-secure.neten el gateway y EOP/Defender; aislar endpoints involucrados si hubo descarga. - Erradicación: buscar correos similares y eliminarlos de los buzones; revocar sesiones sospechosas; forzar restablecimiento de contraseñas afectadas.
- Recuperación: verificar reglas de reenvío y apps OAuth; re-habilitar accesos con MFA robusto.
- Lecciones aprendidas: actualizar playbooks, reforzar entrenamiento y afinar políticas anti-phishing.
Errores comunes que debes evitar
- Confiar solo en el nombre para mostrar (display name). Lo manipulable es el nombre; lo crucial es el dominio tras
@. - Asumir que “https” = seguro. Un sitio de phishing puede tener certificado y candado.
- Buscar el logo antes que el dominio. Logos se copian; dominios auténticos no.
- Pensar que “noreply” implica legitimidad. Es solo un alias, no una prueba de identidad.
Conclusión
El correo desde noreply@microsoft365-secure.net con asunto “Suspicious Activity Report” no proviene de Microsoft. Trátalo como phishing, repórtalo y elimínalo. Para cualquier alerta de seguridad, valida siempre iniciando sesión directamente en los portales oficiales, no a través de enlaces en correos.
Acciones inmediatas recomendadas
- Reporta el mensaje como Phishing en Outlook u Outlook.com.
- Reenvíalo a
reportphishing@Microsoft.com. - Elimínalo y cambia tu contraseña si interactuaste con él.
- Activa y verifica tu MFA.
Resumen clave para SEO: cómo identificar si noreply@microsoft365-secure.net es auténtico (no lo es), señales de phishing en Microsoft 365, pasos para reportar en Outlook y medidas de mitigación para usuarios y administradores.