Recibes decenas de avisos diarios de “inicio de sesión rechazado” o “sincronización automática” desde países lejanos como Alemania, Rusia o India. Cambiaste la contraseña, borraste un alias y aun así temes que tu buzón vuelva a ser objetivo. Tranquilo: con los pasos adecuados puedes eliminar la amenaza y dormir en paz.
Entendiendo el problema: ataques sin descanso
Los cibercriminales usan bots que prueban pares de credenciales filtradas en foros o compradas en la darknet. Este fenómeno, conocido como credential stuffing, se agrava cuando una dirección de correo existe desde hace años o se utilizó para crear cuentas en servicios que después fueron violados. Por eso los intentos no cesan, aunque la contraseña actual ya no coincida.
¿Qué son las “sincronizaciones automáticas” sospechosas?
La mayoría se originan en clientes de correo que aún hablan POP3, IMAP o SMTP básico. Estos protocolos, diseñados en los 80 y 90, no entienden de autenticación en dos pasos. Cuando un atacante automatizado dispone de una contraseña antigua, bombardeará tu cuenta mediante estos canales con la esperanza de que la sigas usando o de que se permita el acceso sin 2FA.
Principio clave: impedir el éxito, no bloquear los intentos
No existe forma de “quitar” una cuenta de las listas de fuerza bruta globales. Tu defensa consiste en hacer que cada intento sea inútil:
- Contraseña robusta única: ≥ 12 caracteres, mezcla de mayúsculas, minúsculas, números y símbolos.
- Activar Autenticación en Dos Pasos (2FA) cuanto antes.
- Deshabilitar protocolos legados si no los necesitas.
- Eliminar tokens viejos y dispositivos obsoletos.
Blindaje de la cuenta paso a paso
1. Fortalece tu contraseña
Crea una frase larga o usa un gestor de contraseñas que genere cadenas aleatorias. Evita patrones predecibles (fechas, nombres propios, repeticiones). Cambia la clave desde un dispositivo limpio y actualizado; de lo contrario, un troyano podría capturarla al instante.
2. Activa la autenticación en dos pasos
| Método | ¿Qué es? | Seguridad | Comodidad | Funciona sin conexión |
|---|---|---|---|---|
| Microsoft Authenticator | App que genera códigos y notificaciones push | Alta (firmas criptográficas) | Muy alta (aprobación con un toque) | Sí, con códigos TOTP de 30 s |
| SMS | Código de seis dígitos vía mensaje de texto | Media (suplantación SIM) | Alta (sin apps) | Sí |
| Correo alternativo | Envío de enlace o código a otro buzón | Media | Media | Sí |
| FIDO2 / Passkey | Llave física o dato biométrico almacenado en el móvil | Muy alta (criptografía asimétrica) | Muy alta (solo tocar o mirar cámara) | Sí (dependiendo del dispositivo) |
Conclusión: configura Authenticator + FIDO2/Passkey. Deja SMS como último recurso para recuperación.
3. Revisa tu información de recuperación
Asegúrate de que el número de teléfono y el correo secundario sigan bajo tu control. Bórralos —o actualízalos— si han cambiado. No dejes pistas obsoletas que un atacante pueda explotar en un proceso de “cuenta olvidada”.
4. Purgado de alias expuestos
Si las alertas cesaron cuando quitaste un alias, es señal de que esa dirección aparece en filtraciones públicas. La receta definitiva:
- Crea un nuevo alias principal y úsalo para todo inicio de sesión.
- Desvincula o elimina por completo la dirección antigua.
- Actualiza tus contactos y servicios críticos con la nueva dirección.
Supervisión proactiva
Página “Actividad reciente”
En tu perfil de Microsoft verás cada inicio de sesión, con hora, IP y dispositivo. Haz clic en No fui yo para:
- Revocar tokens y sesiones asociadas a esa IP.
- Enseñar al sistema que se trata de comportamiento malicioso.
Alertas en tiempo real
Activa notificaciones por correo o en tu móvil para cualquier ingreso nuevo. Cada alerta contiene el Identificador de actividad; guárdalo si decides abrir un caso con Soporte de Microsoft.
Gestión de dispositivos y protocolos
Eliminar dispositivos de confianza caducados
Equipos que vendiste, formateaste o perdiste pueden conservar cookies de autenticación. Desde tu perfil, borra los que no reconozcas.
Deshabilitar POP, IMAP y SMTP básicos
| Protocolo | Año creación | Compatibilidad 2FA | Riesgo actual |
|---|---|---|---|
| POP3 | 1988 | No | Alto |
| IMAP | 1990 | No | Alto |
| SMTP básico | 1982 | No | Alto |
| Exchange ActiveSync / EWS | 2002 / 2007 | Sí (app password) | Medio |
| REST Modern Auth (Outlook, web) | 2015 | Sí (nativo) | Bajo |
Si mantienes un cliente antiguo:
- Genera una contraseña de aplicación exclusiva (solo 16 caracteres, sin caducidad automática).
- Considera migrar a Outlook moderno o a Thunderbird ≥ 78 con OAuth2.
Buenas prácticas contra el phishing
El 90 % de las intrusiones exitosas empieza con un clic indebido. Recuerda:
- Nunca introduzcas tu contraseña después de pulsar un enlace de correo.
- Microsoft jamás te enviará un mensaje pidiendo confirmarla.
- Comprueba la URL: debe empezar por
https://login.microsoftonline.com/y mostrar un candado válido. - Si dudas, abre sesión manualmente en una pestaña nueva, no desde el enlace.
Higiene del sistema y del navegador
Mantén Windows, macOS, iOS, Android y su navegador predilecto al día. Los atacantes también buscan plugins vulnerables para inyectar malware y capturar tokens de sesión.
Métodos avanzados de protección
Passkeys y FIDO2
Las passkeys almacenan la clave privada en un enclave seguro del móvil o en una llave física USB/NFC. La validación biométrica evita el phishing porque la firma está ligada al dominio legítimo; un sitio falso no funcionará.
Acceso condicional (Microsoft 365 Business)
Con licencias Entra ID P1/P2 defines reglas: por ejemplo, exigir MFA para cada IP fuera de tu país o bloquear países concretos. Aunque no detienes los intentos, reduces la superficie de ataque.
Procedimiento de respuesta ante nuevos avisos
- Anota fecha, hora e ID de actividad.
- Marca “No fui yo”.
- Cambia la contraseña si sospechas filtración reciente.
- Revisa dispositivos y protocolos.
- Escanea tu equipo con Defender Offline o tu antivirus de confianza.
- Contacta a Soporte si el patrón persiste con la misma dirección IP.
Preguntas frecuentes
¿Puede Microsoft bloquear los países desde donde llegan los intentos?
Automáticamente realiza throttling e impone retos de captcha y MFA. Sin embargo, no puede impedir que un bot envíe la petición inicial, solo asegurarse de que fracase.
¿Debo crear una cuenta nueva?
No es necesario si aplicas 2FA y protocolos modernos. Las cuentas con MFA activo presentan, según Microsoft, un 99,9 % menos de intrusiones exitosas.
¿Borrar mi correo de Have I Been Pwned elimina los ataques?
No: la base real de atacantes ya tiene copias. La medida efectiva es revocar credenciales viejas y usar 2FA.
Checklist express para dormir tranquilo
| Acción | Estado |
|---|---|
| Contraseña ≥ 12 caracteres única | □ |
| Autenticación en dos pasos activa | □ |
| Alias expuestos eliminados | □ |
| Protocolos legados deshabilitados | □ |
| Dispositivos viejos eliminados | □ |
| Sistema y navegador actualizados | □ |
| Passkey o llave FIDO2 configurada | □ |
Conclusión
Bloquear los intentos externos es imposible, pero convertirlos en fracaso sí está en tu mano. Con contraseña robusta, 2FA, protocolos modernos y monitoreo proactivo, los atacantes perderán interés al instante. Dedica 15 minutos hoy y olvídate de las alertas mañana.