¿Te llegó un correo a Hotmail/Outlook “desde tu propia dirección” que menciona Pegasus y exige pago en bitcoin en 48 horas? Tranquilidad ante todo: la mayoría de estos mensajes son suplantación y no prueba de hackeo real. Aquí tienes un método claro para verificar tu cuenta y protegerte sin pagar ni responder.
Resumen del caso
Un mensaje aterriza en Correo no deseado o Junk supuestamente “enviado por ti”. Asegura que tu cuenta Microsoft fue comprometida, que instalaron spyware Pegasus en todos tus dispositivos y que debes transferir criptomonedas de inmediato. El objetivo es infundir miedo para que actúes sin comprobar nada. La realidad: el remitente puede falsificarse con técnicas de spoofing y los estafadores reutilizan plantillas con amenazas llamativas.
Respuesta breve
La clave es verificar actividad real y reforzar la seguridad. En unos minutos puedes revisar inicios de sesión, reglas y reenvíos en Outlook, métodos de recuperación, dispositivos y accesos de terceros. Luego, cambia tu contraseña por una frase larga y única, activa verificación en dos pasos, limpia reglas y reporta el mensaje como phishing. Si detectas accesos reales o no puedes entrar, inicia la recuperación de cuenta y avisa a tus contactos.
Diagnóstico rápido
Este bloque toma pocos minutos y te da una certeza inicial.
- Actividad de inicio de sesión: entra a tu cuenta Microsoft → Seguridad → Actividad reciente. Busca inicios desde ubicaciones, IP o dispositivos que no reconozcas.
- Reglas y reenvíos en Outlook: en Outlook.com abre Configuración → Ver toda la configuración de Outlook → Correo → Reglas y Reenvío. Elimina reglas que muevan o reenvíen todo a otra dirección, y cualquier reenvío no autorizado.
- Métodos de recuperación: en Seguridad → Información de seguridad, confirma tu teléfono y correo alterno; borra los que no reconozcas.
- Recuerda la suplantación: que el From “parezca” tuyo no prueba hackeo. El spoofing del remitente es común.
Acciones de protección
- Cambiar contraseña: usa una frase larga, única y fácil de recordar, por ejemplo tres o cuatro palabras aleatorias con separadores. Evita reutilizar claves de otros servicios.
- Verificación en dos pasos: activa la verificación con aplicación autenticadora o llave de seguridad. Prioriza códigos desde app y evita depender solo de SMS.
- Cerrar sesiones y revocar accesos: revisa Dispositivos y Apps y servicios con acceso a tu cuenta; quita lo que no reconozcas.
- Limpiar reglas y reenvíos: además de eliminar reglas extrañas, revisa Delegación y Respuestas automáticas por si fueron alteradas.
- Escanear tus dispositivos:
- Windows: ejecuta un análisis completo con Seguridad de Windows o un antivirus confiable y actualiza el sistema.
- Android: actualiza sistema y apps, ejecuta Play Protect y un análisis con un antivirus confiable.
- iPhone y iPad: actualiza a la versión más reciente; si notas perfiles de configuración desconocidos, elimínalos.
- Reportar como phishing: en el mensaje, usa la opción No deseado → Phishing o Reportar phishing en la app.
- No pagar ni responder: pagar incentiva la estafa y responder confirma que la dirección está activa.
Guía paso a paso
Revisar actividad de inicio de sesión
Accede a tu panel de Seguridad y abre Actividad reciente. Examina:
- Ubicación: ciudades o países que no coinciden contigo o con viajes recientes.
- Dirección IP: rangos o ASN extraños; si no sabes interpretarlos, céntrate en la ubicación y el dispositivo.
- Dispositivo y navegador: si ves “MacOS” o “Linux” y nunca usas esos equipos, o dispositivos móviles que no son tuyos, es señal de alerta.
Marca como No fuiste tú cualquier actividad que no reconozcas y sigue el flujo recomendado para proteger la cuenta.
Detectar reglas y reenvíos
En Outlook.com abre Configuración → Ver toda la configuración de Outlook → Correo. Entra a Reglas y busca acciones que:
- Muevan todo a Archivo o Eliminados.
- Reenvíen automáticamente a direcciones desconocidas.
- Marquen como leído todo lo entrante.
Elimínalas. En Reenvío, asegúrate de que no haya un reenvío general a otra cuenta. Revisa también Direcciones bloqueadas y Dominio seguro por si agregaron reglas para ocultar mensajes de Microsoft.
Comprobar métodos de recuperación
En Seguridad → Información de seguridad confirma teléfono y correo alterno. Elimina cualquier método que no reconozcas. Agrega al menos dos métodos confiables para no quedar bloqueado si pierdes el móvil principal.
Cerrar sesiones y revocar accesos
En Seguridad o Privacidad revisa los dispositivos con sesión activa y la lista de Apps y servicios. Quita accesos que no reconoces. Cambiar la contraseña suele invalidar sesiones antiguas, pero conviene revisar manualmente en caso de aplicaciones con tokens persistentes.
Analizar dispositivos
Si tu cuenta fue comprometida por reutilizar una contraseña o por phishing, probablemente no tengas malware. Aun así, un análisis es buena práctica:
- Windows: abre Seguridad de Windows → Protección contra virus y amenazas → Opciones de examen → Examen completo. Después, ejecuta Protección contra ransomware si está disponible.
- Android: en Play Protect ejecuta un análisis. Desinstala apps desconocidas o que pidan permisos invasivos.
- iPhone y iPad: en General → Gestión de dispositivos elimina perfiles de configuración sospechosos. Mantén Actualización automática activa.
Reportar phishing en Outlook
En la web: abre el mensaje → No deseado → Phishing. En móvil: mantén pulsado → Reportar phishing. Esto ayuda a entrenar los filtros y a bloquear remitentes similares.
Recuperar acceso si fue comprometida
Si no puedes entrar o confirman inicios extraños:
- Usa el flujo de recuperación de cuenta de Microsoft y responde con la mayor precisión posible.
- Una vez dentro, cambia la contraseña y activa verificación en dos pasos.
- Revisa métodos de recuperación, reglas, reenvíos, dispositivos y aplicaciones.
- Avisa a tus contactos para que ignoren mensajes extraños enviados durante el incidente.
Suplantación frente a compromiso
Los estafadores suelen falsificar el campo From. Compara estas señales:
| Señal | Indicio de suplantación | Indicio de compromiso real |
|---|---|---|
| Mensaje “desde tu propia cuenta” | Común con spoofing del remitente | Coincide con envíos en Elementos enviados |
| Alertas del sistema | No hay alertas de Microsoft ni actividad rara | Actividad reciente con inicios ajenos o cambios de seguridad |
| Reglas y reenvíos | No hay reglas ni reenvíos sospechosos | Reglas para ocultar mensajes y reenvío global a terceros |
| Comportamiento del dispositivo | Normal | Instalaciones o perfiles desconocidos, antivirus desactivado |
| Exigencia de pago | Solicitud urgente de bitcoin con amenazas genéricas | Rara vez piden rescate en incidentes genuinos de cuentas personales |
El mito del software Pegasus
Los correos de extorsión suelen nombrar Pegasus para asustar, porque es conocido por casos de espionaje dirigidos. En la práctica, es extremadamente improbable que un usuario común sea objetivo de una herramienta de ese tipo. Si no hay inicios extraños, reglas maliciosas ni cambios en tu cuenta, lo más probable es que sea un intento de phishing. La mención de “capturas de pantalla”, “videos íntimos” o “registro total del dispositivo” suele ser inventada. Repite: no pagues, no respondas, verifica y refuerza tu seguridad.
Errores frecuentes
- Responder al estafador: confirma que la cuenta está activa y te añade a más listas.
- Pagar el rescate: te marca como víctima dispuesta a pagar; muchos estafadores vuelven a contactar.
- Descargar “soluciones” enviadas por correo: instalan realmente malware.
- Reutilizar contraseñas: una filtración en otro sitio abre tu correo.
- Confiar solo en SMS: la verificación por aplicación autenticadora reduce riesgos de suplantación.
- Olvidar limpiar reenvíos: aunque cambies la contraseña, el atacante puede seguir recibiendo tus correos si dejas un reenvío activo.
Checklist accionable
- ☐ Cambiar contraseña de Microsoft por una única y fuerte.
- ☐ Activar verificación en dos pasos con aplicación autenticadora o llave física.
- ☐ Revisar Actividad reciente e Información de seguridad.
- ☐ Eliminar reglas y reenvíos desconocidos en Outlook.
- ☐ Revocar apps y dispositivos no reconocidos.
- ☐ Analizar Windows, Android y iPhone, y actualizar todo.
- ☐ Marcar y reportar el correo como phishing.
- ☐ No pagar ni responder.
Plantilla para avisar a tus contactos
Si confirmaste compromiso o temes que alguien recibió correos falsos desde tu dirección, puedes enviar algo como:
Hola, parece que mi cuenta de correo tuvo actividad sospechosa durante las últimas horas. Si recibiste mensajes raros o con adjuntos, por favor bórralos. Ya cambié la contraseña, activé verificación en dos pasos y limpié reglas. Gracias por tu comprensión.
Preguntas frecuentes
¿Por qué el correo muestra mi propia dirección como remitente?
El campo From puede falsificarse. Sin rastro en Elementos enviados y sin actividad anómala, lo más probable es suplantación.
¿El remitente dice conocer mi contraseña, es real?
En ocasiones incluyen contraseñas antiguas filtradas de otros servicios. Si la reconoces y la reutilizabas, cámbiala de inmediato en todos los sitios donde la usaste.
¿Basta con cambiar la contraseña?
No. Revisa también métodos de recuperación, reglas y reenvíos, dispositivos y apps con acceso. Activa verificación en dos pasos.
¿Qué hago si ya pagué?
Guarda comprobantes, presenta denuncia y reporta el incidente al soporte de tu banco o plataforma de pago. No continúes la conversación con el estafador.
¿Cómo creo una contraseña fuerte que recuerde?
Usa una frase con varias palabras aleatorias y separadores, por ejemplo arbol-luna-feriado-rio. Es larga, memorizable y resistente a ataques comunes.
¿Debo reinstalar el sistema si hablé con el estafador?
Si solo leíste el mensaje y no abriste adjuntos ni instalaste nada, no es necesario. Si ejecutaste archivos dudosos, considera análisis exhaustivo o reinstalación limpia.
Apéndice técnico de encabezados
Para curiosos o equipos de soporte, revisar el origen del mensaje ayuda a confirmar suplantación:
- En Outlook.com, abre el correo, pulsa el menú de más opciones y elige Ver origen del mensaje.
- Busca Authentication-Results con spf, dkim y dmarc. Valores fail o none sugieren que el dominio del remitente no validó correctamente.
- Revisa Return-Path y Received para identificar servidores por los que pasó el mensaje. Discrepancias notables con el dominio del remitente son típicas en suplantación.
No necesitas dominar estos campos para protegerte, pero confirman lo ya descrito: el remitente puede falsificarse desde servidores ajenos.
Flujo de decisión
- ¿Hay inicios sospechosos? Sí → cambia contraseña, activa verificación en dos pasos, elimina reglas y reenvíos, revoca accesos, informa a contactos. No → continúa.
- ¿Hay reglas o reenvíos no autorizados? Sí → elimínalos, cambia contraseña, activa verificación en dos pasos. No → continúa.
- ¿El correo está solo en no deseado y no hay rastro en enviados? Sí → casi seguro suplantación. Reporta como phishing y refuerza seguridad.
- ¿Tu contraseña era reutilizada y apareció en filtraciones? Sí → cambia en todos los sitios y considera un gestor de contraseñas.
Buenas prácticas adicionales
- Habilita alertas de seguridad en la cuenta para notificar nuevos inicios o cambios de contraseña.
- Usa un gestor de contraseñas para crear y guardar claves únicas.
- Activa bloqueos biométricos y códigos de acceso en tus dispositivos.
- Desconfía de adjuntos o enlaces que pidan iniciar sesión fuera de la aplicación.
- Revisa periódicamente los permisos de aplicaciones conectadas a tu cuenta.
Conclusión
Lo descrito encaja con una estafa de suplantación y extorsión. Verifica la actividad de tu cuenta, refuerza la seguridad con contraseña única y verificación en dos pasos, limpia reglas y reenvíos, analiza tus dispositivos y reporta el mensaje como phishing. Si detectas accesos reales, inicia la recuperación de cuenta y, si corresponde, presenta denuncia.
Mini guía de referencia rápida
- Revisar actividad de inicio de sesión, reglas y reenvíos, métodos de recuperación.
- Cambiar contraseña, activar verificación en dos pasos, cerrar sesiones y revocar accesos.
- Escanear Windows, Android y iPhone; actualizar sistemas y apps.
- Reportar el correo como phishing y no pagar ni responder.