Si cada correo entrante dispara un aviso del “postmaster” diciendo que se bloqueó el envío hacia una dirección @hotmail.com que no conoces, casi seguro fuiste víctima de un reenvío automático malicioso. En esta guía aprenderás a detectarlo, eliminarlo y blindar tu cuenta de Outlook/Hotmail y Microsoft 365.

Qué está pasando realmente

Aunque se siente como si tus mensajes se “BCCearan”, no es un BCC. Un BCC solo existe cuando tú envías un correo. En tu caso, alguien creó un reenvío automático o una regla de bandeja de entrada para reenviar todos tus mensajes cuando llegan a otra dirección (por ejemplo, una @hotmail.com ajena). El sistema de destino o tus propias políticas bloquean ese reenvío externo y postmaster te devuelve un NDR (Non‑Delivery Report, “notificación de no entrega”). Cada nuevo correo entrante intenta reenviarse y por eso recibes un segundo mensaje de error.

Señales típicas del reenvío malicioso

• Recibes un aviso del postmaster justo después de un correo entrante legítimo.
• El mensaje de error alude a un “destinatario desconocido” o “bloqueado” en hotmail.com (u otro dominio que no es tuyo).
• No aprecias nada raro en la bandeja de salida, porque el reenvío lo hace el servidor al recibir el correo.
• En “Reglas” o en “Reenvío” aparece una dirección que no reconoces, o a veces no aparece nada (reglas ocultas o creadas desde otra interfaz).

Solución rápida paso a paso

El orden importa para cortar fugas de datos sin perder acceso ni dar pistas al atacante. Recomendación práctica:

1. Desactiva reenvíos y elimina reglas maliciosas (detalles más abajo).
2. Cierra sesiones activas y revoca dispositivos y apps sospechosas.
3. Cambia la contraseña por una robusta y única, y activa MFA si no la tenías.
4. Verifica con un correo de prueba que ya no aparece ningún aviso del postmaster.

Cómo eliminar reglas y reenvíos en Outlook para escritorio

Si usas Outlook clásico (Windows) con cuenta de Microsoft 365, Exchange o Outlook.com:

1. En la cinta de opciones, ve a Inicio > Reglas > Administrar reglas y alertas.
2. Revisa todas las reglas. Elimina o deshabilita cualquier regla que contenga acciones como Reenviar, Redirigir o Enviar una copia a una dirección que no sea tuya.
3. Aplica cambios y reinicia Outlook.

Alternativa de “borrón y cuenta nueva” si sospechas de reglas ocultas o corruptas (avanzado):

Outlook.exe /cleanrules

Ejecuta el comando desde Ejecutar (Win + R). Borra todas las reglas del perfil actual (cliente y servidor). Úsalo solo si aceptas reconstruir tus reglas legítimas.

Cómo desactivar reenvío y borrar reglas en Outlook en la web (Outlook.com/Hotmail y Microsoft 365)

Desde el navegador:

1. Haz clic en el engranaje (configuración).
2. Selecciona Correo (todas las configuraciones).
3. Entra en Reenvío (a veces aparece como “Reenvío y POP/IMAP”). Desactiva el reenvío y elimina cualquier dirección desconocida.
4. Ve a Reglas. Elimina reglas que reenvíen, redirijan o copien mensajes a terceros.
5. Guarda los cambios.

Revisa también borradores y envíos programados

Los atacantes a veces dejan borradores preparados o envíos programados para ejecutarse más tarde:

• Abre la carpeta Borradores y elimina cualquier mensaje que no reconozcas.
• Revisa Elementos enviados por actividad no habitual (pruebas del atacante, correos extraños, etc.).
• Comprueba Respuestas automáticas y la firma por si fueron alteradas con enlaces o instrucciones maliciosas.

Verificación final: prueba controlada

1. Envíate un correo desde otra cuenta o pídele a alguien que te escriba.
2. Comprueba que recibes el mensaje y no llega ninguna notificación del postmaster.
3. Si el aviso persiste, continúa con las comprobaciones avanzadas de más abajo.

Comprobaciones de seguridad imprescindibles

Una vez eliminado el reenvío malicioso, refuerza la cuenta para evitar recaídas:

• Contraseña: cámbiala por una larga y única (mínimo 12–14 caracteres, mezcla de letras, números y símbolos). No reutilices contraseñas.
• MFA: habilita autenticación en dos pasos (app autenticadora, claves FIDO2 o SMS como último recurso).
• Contactos de recuperación: actualiza correo y teléfono de recuperación.
• Sesiones y dispositivos: cierra sesión en todos los dispositivos que no reconozcas. Desde el panel de tu cuenta revisa Actividad de inicio de sesión y Dispositivos.
• Apps y permisos: revoca accesos de aplicaciones de terceros que no necesites (OAuth).
• Delegaciones: comprueba que nadie tenga Enviar como, Enviar en nombre de o Acceso completo a tu buzón sin tu permiso.
• Listas de remitentes: revisa Bloqueados/permitidos; restáuralos si detectas modificaciones maliciosas.
• Antivirus: ejecuta un análisis completo y aplica actualizaciones del sistema.
• Alertas: activa notificaciones de actividad inusual y nuevos inicios de sesión si están disponibles.

Diagnóstico técnico y comprobaciones avanzadas (Microsoft 365)

Para cuentas de trabajo o escuela en Microsoft 365, además de las reglas del usuario puede existir un reenvío a nivel de buzón o una regla de transporte (organizacional). Si tienes permisos de administrador, revisa:

Centro de administración de Exchange (EAC)

• Destinatarios > Buzones > (tu buzón) > Correo: sección Reenvío. Desactiva Reenviar correo a y elimina direcciones externas no autorizadas. Verifica si está marcada la opción Entregar al buzón y reenviar.
• Flujo de correo > Reglas: busca reglas que reenvíen automáticamente hacia dominios externos. Deshabilítalas o limita el reenvío saliente según la política de la organización.
• Permisos de buzón: quita delegaciones no autorizadas (Enviar como, Enviar en nombre de, Acceso total).

PowerShell (administradores)

Si gestionas la inquilina y necesitas confirmaciones rápidas:

# Reglas de bandeja de entrada del usuario
Get-InboxRule -Mailbox usuario@tu-dominio.com | ft Name,Enabled,ForwardTo,ForwardAsAttachmentTo,RedirectTo

Reenvío a nivel de buzón

Get-Mailbox [usuario@tu-dominio.com](mailto:usuario@tu-dominio.com) | fl ForwardingSmtpAddress,ForwardingAddress,DeliverToMailboxAndForward

Reglas de transporte que pudieran afectar

Get-TransportRule | ft Name,Mode,State,Description 

Nota: documenta cualquier cambio y comunica a los usuarios afectados si detectas fuga de correo. Considera implementar una regla que bloquee reenvíos externos no autorizados e incluya excepciones justificadas.

Por qué recibes avisos del “postmaster”

Los avisos provienen de un agente de entrega (postmaster/Mailer‑Daemon) que te informa de que no pudo entregar un mensaje que tu cuenta intentó enviar por reenvío automático. Aunque tú no “enviaste” nada, el servidor actúa en tu nombre. Si el destino rechaza el reenvío (por política antispam, bloqueo del dominio, dirección inexistente, o porque tu organización prohíbe reenvíos externos), se genera un NDR. Por eso, cada entrada en tu bandeja puede provocar un error de salida.

Checklist de limpieza y verificación

Área	Qué revisar	Acción recomendada	Estado
Reglas (cliente/servidor)	Reenviar/Redirigir/Copiar a direcciones ajenas	Eliminar o desactivar reglas maliciosas	☐
Reenvío global	Direcciones en “Reenvío” de OWA/EAC	Desactivar reenvío y borrar direcciones	☐
Borradores	Mensajes preparados o programados	Eliminar y vaciar elementos recuperables	☐
Delegaciones	Enviar como / En nombre de / Acceso total	Quitar accesos no autorizados	☐
Sesiones y dispositivos	Actividad de inicio de sesión inusual	Cerrar sesiones y revocar dispositivos	☐
Permisos de apps	OAuth/consentimientos extraños	Revocar aplicaciones sospechosas	☐
Respuestas automáticas y firma	Textos cambiados con enlaces	Restaurar a valores legítimos	☐
MFA y contraseña	Sin MFA o password débil	Activar MFA y cambiar contraseña	☐
Prueba final	Correo de prueba	Comprobar ausencia de NDR/postmaster	☐

Buenas prácticas para que no vuelva a ocurrir

• Política de reenvío: evita reenvíos automáticos a dominios externos, salvo excepciones aprobadas. Si eres admin, crea reglas organizacionales que bloqueen o auditen esta acción.
• MFA en todas las cuentas, incluidas las de servicio y buzones compartidos.
• Gestión de contraseñas: usa gestor de contraseñas y políticas de mínimo largo/entropía.
• Revisión periódica de reglas, delegaciones y permisos de apps (mensual o trimestral).
• Formación antiphishing: sospecha de archivos adjuntos inesperados y URL abreviadas; verifica dominios parecidos (typosquatting).
• Alertas de creación de reglas y reenvíos: donde esté disponible, habilita alertas automáticas.
• Higiene de dispositivos: sistema actualizado, antivirus activo y protección de navegador.

Preguntas frecuentes

¿Por qué solo pasa con correos entrantes y no con mis envíos?

Porque la regla maliciosa está configurada para actuar al llegar un correo a tu buzón. No modifica tus envíos “manuales”, sino que ejecuta una acción de reenvío/redirect en el servidor.

He borrado las reglas y sigue ocurriendo

Posibles causas y soluciones:

• Reenvío a nivel de buzón aún activo. Revisa el apartado Reenvío en OWA/EAC.
• Reglas ocultas o corruptas. Ejecuta Outlook.exe /cleanrules (perfil actual) y vuelve a comprobar desde OWA.
• Regla de transporte a nivel organizacional. Si estás en Microsoft 365, consulta con tu administrador.
• Otra app conectada (por IMAP/POP/EAS) que reenvía. Revoca permisos y cambia contraseña para cortar accesos.

¿Debo avisar a mis contactos?

Si detectaste fuga potencial de información, considera un aviso breve: que revisen correos recibidos en la ventana de tiempo afectada y desconfíen de peticiones de pagos/cambios de cuenta bancaria. Evita detalles que expongan más tu seguridad.

¿Se perdió información?

El reenvío no borra correos; solo los copia/redirige. Pero pudo exfiltrarse contenido sensible. Cambia contraseñas de otros servicios si usas la misma (y activa MFA).

¿Puede ser un virus en mi PC?

La mayoría de casos se originan por credenciales robadas o consentimiento a una app maliciosa, no por malware local. Aun así, realiza un análisis completo por si hubiera componentes residuales.

Uso Outlook con una cuenta de otro proveedor (por ejemplo, Gmail)

Si la cuenta afectada no es de Microsoft, además de las reglas de Outlook revisa las reglas y el reenvío del propio proveedor (por ejemplo, en Gmail: Filtros y direcciones bloqueadas, y el apartado de Reenvío y POP/IMAP). El ataque suele aprovechar el reenvío del servidor, no el del cliente.

Ejemplos de reglas maliciosas comunes

• “Aplicar a todos los mensajes recibidos → Reenviar a nombre.apellido@hotmail.com → Detener el procesamiento de más reglas.”
• “Si el mensaje es de cualquiera → Redirigir a contacto-xx@hotmail.com.”
• “Si el asunto contiene @ → Reenviar como archivo adjunto a mailbox.hot@outlook.com.”

La variante “Reenviar como archivo adjunto” es especialmente sigilosa, porque puede pasar por sistemas que no bloquean reenviar el contenido “directo”.

Diferencias: Reenviar, Redirigir y BCC

Término	Cuándo aplica	Qué hace	Se ve en “Para/CC”
Reenviar	Servidor o cliente al recibir	Envía un nuevo correo con el contenido del original	No (nuevo mensaje)
Redirigir	Servidor al recibir	Entrega como si el original hubiera sido dirigido al nuevo destinatario	Puede conservar encabezados originales
BCC	Correo saliente	Copia oculta a terceros cuando tú envías	No (oculto por diseño)

Secuencia recomendada si sospechas compromiso

1. Pon el buzón en modo “cierre de grifo”: elimina reglas y reenvíos no autorizados desde OWA/EAC.
2. Amputa accesos: cierra sesiones, revoca dispositivos y permisos de aplicaciones.
3. Regenera credenciales: cambia contraseña, habilita MFA, actualiza datos de recuperación.
4. Sanitiza el entorno: antivirus, navegador, extensiones, sistema al día.
5. Comprueba: correo de prueba; sin postmaster, sin reenvíos.
6. Monitorea: revisa los próximos días por si reaparecen reglas o avisos.

Políticas y controles proactivos para administradores

• Bloqueo o revisión de reenvíos externos mediante reglas de transporte o políticas antispam.
• Alertas de creación de reglas y cambios de reenvío en buzones críticos.
• Access reviews periódicos: delegaciones, permisos de apps, buzones compartidos.
• Autenticación moderna y deshabilitar protocolos heredados (POP/IMAP básicos) si no se necesitan.
• Condicional Access: exigir MFA y ubicar riesgos por ubicación, dispositivo o comportamiento.
• Simulaciones de phishing y formación continua orientada a negocio.

Errores comunes que retrasan la solución

• Buscar un BCC fantasma en mensajes salientes. El problema está en el reenvío de entrantes, no en tus salientes.
• Solo cambiar la contraseña sin eliminar el reenvío: los NDR seguirán apareciendo.
• Eliminar la regla en un dispositivo pero no en el servidor: la regla del lado del servidor seguirá activa.
• Ignorar delegaciones o permisos de apps: el atacante puede recrear la regla desde otra sesión o app autorizada.

Plantilla de mensaje interno para el equipo de TI

Asunto: Reenvío automático malicioso detectado y contenido

Hemos detectado reenvío automático no autorizado en el buzón \.
Acciones realizadas:

- Reglas y reenvío deshabilitados/eliminados
- Sesiones cerradas y apps revocadas
- Cambio de contraseña y MFA activada
- Verificación con correo de prueba (sin NDR)

Solicitamos:

- Revisión en EAC: ForwardingAddress/Transport Rules
- Confirmar ausencia de delegaciones no autorizadas
- Habilitar alertas ante creación de reglas 

Resumen ejecutivo

Los avisos del postmaster tras cada correo entrante son la huella de un reenvío automático malicioso. La solución eficaz es eliminar reglas y reenvíos en Outlook/OWA/EAC, cerrar sesiones, revocar apps, cambiar la contraseña con MFA y verificar. Con políticas preventivas y vigilancia periódica, el incidente se cierra sin recurrencia.

---

Resultado esperado: al eliminar la regla y desactivar el reenvío, cesan los avisos del postmaster y tus correos dejan de intentarse reenviar a terceros.

---

Glosario breve

• NDR: notificación de no entrega (error de envío).
• Postmaster/Mailer‑Daemon: agente que te informa de errores de entrega.
• MFA: autenticación multifactor.
• EAC: Centro de administración de Exchange.