Recibes un correo que aparentemente proviene de tu propia dirección Outlook/Hotmail y, de pronto, el remitente amenaza con difundir vídeos íntimos si no pagas un rescate en Litecoin. ¿La cuenta fue hackeada o el delincuente solo “fingió” ser tú? En este artículo aprenderás a distinguir el spoofing de una intrusión real y aplicarás buenas prácticas que cerrarán las puertas a futuros ataques.
Resumen del problema
Desde 2018 circulan campañas de sextorsión por correo. El estafador inserta tu propia dirección en el campo “From” para dar credibilidad al chantaje. Muchos usuarios, alarmados, concluyen que su buzón ha sido vulnerado. Sin embargo, en la mayoría de los casos el atacante nunca accedió a la cuenta: simplemente utilizó spoofing, es decir, falsificó la cabecera de remitente.
Clave para diferenciar: si el mensaje no aparece en tu carpeta Elementos enviados y la actividad de inicio de sesión no muestra IP desconocidas dentro de Microsoft, lo más probable es que sea spoofing.
Solución y recomendaciones paso a paso
| Paso | Qué hacer | Por qué es importante |
|---|---|---|
| 1. Verificar la cabecera completa | En Outlook web: clic derecho ► Ver origen del mensaje. Revisa: • Received: (muestra la IP real del servidor)• From:, Return‑Path: y SID‑PRA | Si la IP no pertenece a Microsoft y los registros SPF/DKIM/DMARC fallan, se confirma spoofing; nadie entró a tu buzón. |
| 2. Cambiar la contraseña y cerrar sesiones | Define una contraseña larga, única y alfanumérica. Luego ve a Seguridad ► Ver actividad de inicio de sesión y selecciona “Cerrar todas”. | Anula accesos antiguos o comprometidos y bloquea la reutilización de contraseñas filtradas en otros sitios. |
| 3. Activar la verificación en dos pasos (2FA) | Habilita Microsoft Authenticator o un token FIDO2. No uses solo SMS, porque los SIM swaps son cada vez más comunes. | Aun si alguien roba tu contraseña, necesitará el segundo factor para iniciar sesión. |
| 4. Añadir y actualizar información de seguridad | Registra un móvil, un correo alternativo y define preguntas de seguridad robustas. | Facilita la recuperación de la cuenta y recibe alertas de actividad sospechosa en tiempo real. |
| 5. Analizar tus dispositivos con un antivirus confiable | Ejecuta un análisis completo en PC y móvil y aplica las últimas actualizaciones del sistema operativo. | Descarta malware (troyanos, keyloggers, spyware) y refuerza la superficie de ataque. |
| 6. Eliminar el correo; no pagar ni hacer clic | Muévelo a Correo no deseado y vacía la papelera. | Pagar solo confirma que tu dirección está activa y te coloca en nuevas listas de extorsión. |
| 7. Educarse y educar a otros | Advierte a familiares y compañeros sobre correos de sextorsión y suplantación. | La concienciación colectiva reduce la efectividad masiva de estos fraudes. |
Anatomía de una cabecera de correo: leyendo la “caja negra”
Las cabeceras contienen información técnica que indica por dónde viajó el mensaje:
Received:aparece en orden cronológico inverso. El primer salto (arriba del todo) suele indicar la IP del servidor que entregó el correo a Microsoft. Si pertenece a un hosting ruso, por ejemplo, es sospechoso.From:yReturn‑Path:: pueden ser falsificados; lo relevante es si coinciden con los dominios autorizados por el propietario del dominio (spf=pass).- SID‑PRA: cálculo interno de Microsoft que refleja la “dirección responsable declarada”. Si coincide con tu dirección pero el resto de controles falla, es spoofing.
Authentication‑Results:agrupa los resultados de SPF, DKIM y DMARC. Busca “fail” o “none”.
Tras revisar estos campos, la duda suele disiparse: en menos del 1 % de los reportes se confirma acceso real al buzón.
Spoofing vs. intrusión real
Spoofing (suplantación)
- No hay huella en Elementos enviados.
- Cabeceras fallan en autenticación.
- No hay inicios de sesión sospechosos en “Seguridad ► Actividad”.
- El atacante no conoce tu contraseña; usa bases de datos de correos públicos.
Intrusión (compromiso auténtico)
- Encuentras correos que tú no enviaste en la carpeta de enviados.
- La actividad de inicio de sesión muestra IP extraña.
- Posible cambio de reglas de reenvío automático en Outlook.
- El atacante puede haber activado su propio método 2FA para bloquearte.
Cómo operan las campañas de sextorsión
Estas campañas utilizan scrapers que recopilan millones de direcciones filtradas. Luego, un bot envía correos personalizados que incluyen:
- Asunto con tu contraseña filtrada (obsoleta) para dar veracidad.
- Relato de “acceso a tu webcam” y grabación de un vídeo íntimo.
- Temporizador (“48 h para pagar”).
- Monedero de Litecoin o Bitcoin distinto en cada mensaje.
A diferencia del “phishing clásico”, el objetivo no es robar credenciales sino obtener un pago rápido mediante miedo. No existe prueba alguna — vídeo, captura, etc.— porque nunca grabaron nada.
Fortaleciendo tu cuenta Microsoft
Además del 2FA y la contraseña fuerte, considera las siguientes prácticas:
- Passkeys y FIDO2: Microsoft 365 ya permite llaves de seguridad que reemplazan la contraseña tradicional.
- Bloqueo de contraseña desechable: Outlook admite contraseñas de aplicaciones; si usas clientes antiguos (IMAP/POP), revísalas desde el portal de seguridad.
- Alerta de inicio de sesión: Activa notificaciones push en Authenticator para cada login, no solo para los sospechosos.
- Revisión de reglas de bandeja: Un atacante con acceso suele crear reglas de reenvío; revísalas y elimínalas.
Higiene de dispositivos: la otra mitad de la ecuación
Aunque tu correo sea seguro, un PC infectado puede capturar la nueva contraseña. Aplica esta lista:
- Actualiza Windows, macOS, iOS o Android al último parche disponible.
- Ejecuta Windows Defender o un antivirus de confianza con análisis completo.
- Desinstala software pirata y complementos de navegador sospechosos.
- En móviles, revisa permisos de cámara y micrófono; retira “Acceso completo” a apps de dudosa procedencia.
- Considera formateo limpio si el malware persiste.
Gestión emocional y educación en seguridad
El impacto psicológico es el mayor aliado del extorsionador. Sigue estas recomendaciones:
- No hagas clic en enlaces ni descargues archivos del correo amenazante.
- Habla con alguien de confianza; verbalizar la situación reduce la ansiedad.
- Reporta el correo como phishing o spam en Outlook. Microsoft utiliza estos reportes para entrenar filtros.
- Capacita a tu círculo cercano; el conocimiento colectivo mitiga el efecto masivo.
- Guarda evidencias (cabeceras, texto del correo) solo si piensas denunciar; de lo contrario, bórralo.
¿Perdiste el acceso a la cuenta? Plan de acción
- Busca en tu navegador “Microsoft account recovery form” y sigue el proceso detallado.
Consejo: prepara listas de contraseñas antiguas y asuntos recientes de correos enviados; esos datos aumentan la tasa de éxito. - Una vez recuperada, reinicia 2FA y quita métodos de verificación que no reconozcas.
- Aplica de nuevo los pasos 2, 3 y 4 de la tabla principal.
Recuerda que Microsoft jamás solicita criptomonedas para desbloquear una cuenta ni envía amenazas a sus usuarios.
Preguntas frecuentes (FAQ)
¿Debo cambiar de dirección de correo? No es necesario. El problema no está en tu buzón sino en la falsificación de cabecera. Cambiar de dirección no evita que puedan volver a suplantarte. El correo incluye mi contraseña correcta, ¿significa que me hackearon? Probablemente esa contraseña salió de una filtración antigua (LinkedIn, Adobe, etc.). Cámbiala donde siga vigente y activa 2FA. ¿Puedo rastrear al delincuente por la criptomoneda? Las transacciones son públicas, pero los monederos se crean y abandonan rápidamente. Solo agencias especializadas pueden llegar más lejos con técnicas de análisis de cadena (chain‑analysis). ¿Es delito pagar? No, pero es desaconsejado: fomenta la industria del chantaje y, a menudo, el delincuente vuelve a pedir más dinero.
Conclusión
La inmensa mayoría de estos correos corresponden a spoofing. No hay cámaras hackeadas ni exfiltración de tu bandeja. Sigue las medidas indicadas, mantén la calma y continúa utilizando tu correo con normalidad.