Si caíste en un enlace de “verify” en Discord/Hypixel y alguien entró a tu cuenta Microsoft (la que usas para Minecraft), aquí tienes un plan de emergencia para expulsarlo hoy, blindar tus accesos y decidir si cambiar el correo. Guía paso a paso con checklist y detalles para Windows/macOS.

Resumen de la situación

Un “verify” en Discord suele ser un engaño de consent phishing (phishing por consentimiento): te presentan un botón de “Iniciar sesión con Microsoft”, tú autorizas una app maliciosa y esa app obtiene un token OAuth (a veces con offline_access) para acceder a tu perfil Xbox/Minecraft sin tu contraseña. Aunque cambies la contraseña, el token puede seguir válido hasta que revoques el acceso a la app y cierres todas las sesiones de tu cuenta. Por eso el atacante pudo cambiar tu nombre en Hypixel o usar el juego mientras tú seguías recuperando.

Objetivo inmediato: expulsar al atacante hoy

Revocar permisos OAuth y cerrar sesiones

1. Microsoft → Apps con acceso: Entra a tu cuenta Microsoft y abre la sección de “Inicios con Microsoft / Apps y servicios con acceso”. Elimina todas las apps que no reconozcas (y cualquier app relacionada con el “verify”).
2. Microsoft → Cerrar sesión global: En Seguridad → Opciones de seguridad avanzadas, usa “Cerrar sesión en todos los dispositivos”. Esto invalida tokens y refrescos activos.

Restablecer desde un equipo limpio

1. Dispositivo confiable: Haz el resto de pasos desde un equipo que controles y esté libre de malware.
2. Contraseña fuerte y única: cámbiala por una de al menos 16–24 caracteres, aleatoria, generada por un gestor de contraseñas.
3. Activa 2FA con app autenticadora: usa Microsoft Authenticator u otra compatible con TOTP. Evita SMS como método principal. Guarda los códigos de recuperación en lugar seguro.
4. Revisa “Información de seguridad”: confirma teléfono, correos alternos, métodos de inicio de sesión y elimina los que no reconozcas.

Comprobar actividad y datos

• Actividad reciente: revisa logins, ubicaciones y dispositivos. Si ves accesos que no fuiste tú, márcalos como “No fui yo”, vuelve a cambiar la contraseña y repite el cierre de sesiones.
• Outlook/Hotmail (si lo usas): mira Reglas, Reenvío y Permisos de terceros. Elimina reglas o reenvíos desconocidos (los atacantes los usan para esconder alertas).

Limpiar entornos donde iniciaste sesión

• Minecraft Launcher oficial: Configuración → Cuentas → Cerrar sesión. Vuelve a iniciar. Esto renueva tokens y limpia la sesión local.
• Clientes/mods (Lunar, Badlion, Feather, etc.): cierra sesión en cada uno y vuelve a entrar. Borra cachés temporales si el cliente lo permite.
• Hypixel: si usas integraciones o mods que consumen la API, ejecuta /api new en el servidor para rotar tu API key.
• Discord: activa 2FA, cambia la contraseña y en Authorized Apps revoca cualquier app/bot sospechoso. Abandona y reporta el servidor que te estafó.

Descartar malware local

• Windows: abre Seguridad de Windows → Protección contra virus y amenazas → Opciones de examen y ejecuta un Examen sin conexión de Microsoft Defender. Esto revisa el equipo antes de que cargue Windows.
• macOS: usa tu antivirus de confianza para un escaneo completo. Revisa Extensiones del navegador y la sección de Perfiles del sistema; elimina lo que no reconozcas.
• Navegadores: desinstala extensiones sospechosas. En Chrome/Edge ve a chrome://extensions; en Firefox a about:addons. Limpia cookies y sesiones y luego vuelve a iniciar sesión en Microsoft, Minecraft, Discord e Hypixel.

Por qué esto funciona

Un cambio de contraseña no siempre invalida un consentimiento OAuth. Los refresh tokens siguen emitiendo nuevos accesos mientras la app conserve su permiso y tu sesión global no se haya cerrado. Revocar la app y cerrar sesiones globalmente corta ese canal, y reforzar 2FA evita nuevos inicios no autorizados.

Endurecer la seguridad en los próximos días

• Alertas de inicio de sesión: activa notificaciones por actividad inusual.
• Correo principal (por ejemplo Gmail): cambia contraseña, activa 2FA, revisa filtros/reenvíos y accesos de terceros.
• Claves de seguridad FIDO2/Passkeys: añade una como factor adicional resistente al phishing.
• Gestor de contraseñas: usa uno para generar y almacenar credenciales únicas.
• No reutilices contraseñas y activa bloqueo de restablecimiento donde exista.

¿Conviene cambiar el correo de Microsoft/Minecraft?

No es estrictamente necesario si ya hiciste lo importante: revocar apps, cerrar sesiones, cambiar la contraseña desde un equipo limpio y activar 2FA con app. Eso es lo que realmente expulsa al intruso.

Cuándo sí conviene: si tu correo está muy expuesto, recibes phishing constante o prefieres separar identidad principal y gaming.

Cómo hacerlo sin “mover” la licencia: añade un alias nuevo a la misma cuenta Microsoft, verifícalo y márcalo como alias principal; luego, si quieres, elimina el alias antiguo. Esto cambia el correo con el que inicias, pero la licencia de Minecraft queda en la misma cuenta. Evita crear una cuenta Microsoft nueva: en general no se puede trasladar la licencia.

Checklist rápida

• Revocar apps/servicios de terceros en Microsoft.
• “Cerrar sesión en todos los dispositivos”.
• Contraseña nueva (larga y única) desde equipo limpio.
• 2FA con app + códigos de recuperación.
• Revisar actividad, métodos de inicio y datos de seguridad.
• Cerrar sesión y volver a entrar en Launcher/mods; /api new en Hypixel.
• 2FA y limpieza de apps autorizadas en Discord.
• Escaneo antivirus y limpieza de extensiones/cookies.
• Asegurar también el Gmail/correo asociado.

Señales de que el atacante ya no tiene acceso

• La Actividad reciente de Microsoft solo muestra tus propios inicios.
• No vuelven a aparecer apps desconocidas en “Inicios con Microsoft”.
• El Launcher ya no se desconecta solo ni muestra sesiones duplicadas.
• En Discord no hay DMs automáticos ni bots actuando por ti.
• En Hypixel no aparecen conexiones o acciones que no reconozcas y tu API key es reciente.

Señales de que podría seguir dentro

• Intentos de acceso desde ubicaciones o horarios extraños tras la limpieza.
• Reaparición de reglas de reenvío en tu correo o mensajes no leídos marcados como leídos.
• Desconexiones repentinas del Launcher y clientes.
• Apps de terceros vuelven a aparecer con acceso sin que las autorices.

Si ocurre: repite cierre global de sesiones, cambia la contraseña, revisa dispositivos y realiza un escaneo offline. Considera cambiar de navegador o crear un perfil de usuario nuevo en el sistema y volver a empezar desde cero con tus sesiones.

Guía detallada paso a paso por plataforma

Cuenta Microsoft

1. Seguridad: cambia contraseña y activa 2FA (app autenticadora y/o clave FIDO2). Guarda los códigos.
2. Información de seguridad: elimina métodos viejos o desconocidos.
3. Apps con acceso: quita todo lo que no reconozcas; prioriza cualquier cosa relacionada con Xbox/Minecraft que no sea oficial.
4. Sesión global: usa “Cerrar sesión en todos los dispositivos”. Luego inicia de nuevo en tus dispositivos uno por uno.
5. Actividad: marca como “No fui yo” lo que no reconozcas; esto fuerza protecciones adicionales.

Minecraft Launcher y mods

• Cerrar sesión y reingresar: limpia tokens guardados y fuerza nuevos.
• Forzar limpieza manual (opcional y avanzado): si el Launcher se resiste, cierra el programa y elimina el archivo de cuentas para obligar un inicio limpio:
  • Windows: %AppData%\.minecraft\launcher_accounts.json
  • macOS: ~/Library/Application Support/minecraft/launcher_accounts.json
  Vuelve a abrir el Launcher e inicia sesión con tu cuenta Microsoft.
• Clientes de terceros (Lunar/Badlion/Feather): cierra sesión, limpia caché desde el propio cliente y reautoriza. Verifica que no quede ninguna sesión recordada.

Hypixel

• Rotar API key: entra al servidor y ejecuta /api new. Actualiza esa clave en cualquier mod que la use.
• Roles y permisos: revisa si te unieron a guilds desconocidas o cambiaron ajustes en mods integrados.
• Baneos por seguridad: si recibiste un “Security Alert / Compromised Account”, normalmente hay un periodo de recuperación. Cumple los requisitos (contraseña nueva, 2FA) y sigue el proceso de apelación cuando se habilite.

Discord

• 2FA + contraseña nueva: en User Settings → Password and Authentication.
• Authorized Apps: revoca bots y apps sospechosas. Verifica servidores y abandona el origen del fraude.
• Privacidad y seguridad: limita DMs de miembros de servidores y desactiva “Permitir mensajes directos de miembros del servidor” en servidores públicos.

Navegador y correo

• Extensiones: borra lo que no uses. Desconfía de extensiones “gratis” que piden permisos de lectura de todo.
• Cookies y sesiones: borra cookies de microsoft.com, live.com, xbox.com, minecraft.net, mojang.com, discord.com, hypixel.net. Vuelve a iniciar sesión tras la limpieza.
• Correo (Gmail/Outlook): elimina filtros de reenvío o autoarchivo que no creaste; revisa acceso de apps de terceros a tu cuenta.

Tabla de acciones rápidas

Dónde	Qué hacer	Ruta (orientativa)	Qué confirmar
Microsoft	Revocar apps + cerrar sesiones	Cuenta → Seguridad → Apps con acceso / Cerrar sesión en todos	Sin apps raras; sesiones vaciadas
Microsoft	Cambiar contraseña + 2FA	Seguridad → Opciones avanzadas	2FA habilitada; códigos guardados
Minecraft Launcher	Cerrar sesión y reingresar	Configuración → Cuentas	Solo tu cuenta activa
Hypixel	Rotar API key	Comando /api new	Nueva clave en los mods
Discord	2FA + revocar autorizaciones	User Settings → Authorized Apps	Sin apps/bots sospechosos
Navegador	Eliminar extensiones y cookies	chrome://extensions, about:addons	Navegación limpia
Correo	Quitar reenvíos/filtros	Configuración → Filtros/Reenvío	Sin reglas ajenas

Preguntas y respuestas clave

¿Debo cambiar el correo de la cuenta?

No necesariamente. Si revocaste permisos, cerraste sesiones, cambiaste la contraseña desde un equipo limpio y tienes 2FA por app, el atacante queda fuera. Cambia el correo solo si está muy expuesto, recibes phishing a diario o quieres separar identidades.

¿Puedo mover mi licencia de Minecraft a otra cuenta Microsoft?

En general, no. La licencia queda ligada a la cuenta actual. Lo recomendado es añadir un alias nuevo y convertirlo en principal, manteniendo la misma cuenta.

El atacante cambió mi nombre/skin. ¿Pasa algo?

No afecta la seguridad por sí mismo. Tras expulsarlo, podrás cambiar tu nombre cuando el sistema lo permita (hay periodos de espera) y restaurar tu apariencia.

¿Por qué me seguían entrando aunque cambié la contraseña?

Porque la app maliciosa conservaba un refresh token. Sin revocar el permiso y sin cerrar sesiones globales, podía seguir generando accesos.

Errores comunes que alargan el problema

• Solo cambiar la contraseña sin revocar apps ni cerrar sesiones globales.
• Dejar SMS como segundo factor principal: es más vulnerable que una app o clave de seguridad.
• No revisar reglas de correo: el atacante oculta avisos de seguridad.
• Confiar en extensiones de navegador desconocidas que leen cookies y tokens.

Prevención a futuro

• Desconfía de “verify” fuera de los canales oficiales. Los servidores serios no te pedirán autorizar apps desconocidas para jugar.
• Revisa el consent screen: nombre del desarrollador, permisos solicitados. Si ves “mantener acceso a tus datos” u otros amplios y el emisor es desconocido, cancela.
• Usa perfiles separados en el navegador (uno para gaming, otro para trabajo/estudios) para aislar cookies.
• Activa passkeys o clave FIDO2 donde se pueda; resisten mejor los fraudes.
• Educa a tu grupo: comparte esta guía con tus amigos de Discord para cortar la cadena de engaños.

Plantilla de respuesta rápida ante nueva actividad

1) Microsoft: Cerrar sesión en todos los dispositivos.
2) Microsoft: Revocar apps con acceso.
3) Cambiar contraseña (gestor, 20+ caracteres).
4) 2FA por app/clave FIDO2; guardar códigos.
5) Revisar actividad y métodos de inicio.
6) Launcher y mods: cerrar sesión y reingresar.
7) Hypixel: /api new.
8) Discord: 2FA + revocar Authorized Apps.
9) Antivirus offline + borrar extensiones/cookies.

Apéndice: reinicio limpio del Launcher

Si tras cerrar sesión el Launcher sigue recordando cuentas, fuerza un arranque limpio:

1. Cierra el Launcher.
2. Haz copia de seguridad de tu carpeta .minecraft.
3. Elimina launcher_accounts.json:
   • Windows: %AppData%\.minecraft\launcher_accounts.json
   • macOS: ~/Library/Application Support/minecraft/launcher_accounts.json
4. Abre el Launcher y vuelve a iniciar sesión con Microsoft.

Apéndice: limpieza de extensiones del navegador

• Chrome/Edge: abre chrome://extensions, activa “Modo desarrollador”, desinstala lo que no reconozcas. Revisa también chrome://settings/siteData para borrar cookies específicas.
• Firefox: abre about:addons y elimina complementos sospechosos. En Privacidad & Seguridad, borra cookies y datos del sitio.

Resumen final

Para recuperar y blindar tu cuenta Microsoft/Minecraft tras una estafa de “verificación” en Discord/Hypixel, céntrate en cuatro pilares: revocar accesos OAuth, cerrar sesiones globales, restablecer credenciales desde un equipo limpio con 2FA robusta y limpiar todos los entornos (launcher, mods, Discord, correo, navegador). Cambiar el correo es opcional; cambiar la superficie de ataque (apps autorizadas, sesiones y factores de autenticación) es lo que realmente expulsa al intruso. Si necesitas, puedo guiarte paso a paso según tu sistema y los launchers/mods que uses.