Recibir correos de “Security alert” de Microsoft en tu bandeja de entrada de Gmail puede asustar, sobre todo si nunca utilizas servicios de Microsoft con esa dirección. En esta guía descubrirás por qué sucede, cómo distinguir un verdadero aviso de un intento de suplantación y qué pasos seguir para acabar definitivamente con las notificaciones no deseadas.
Cómo se crea, muchas veces sin querer, una cuenta Microsoft con tu dirección Gmail
Cuando introduces tu correo de Gmail en cualquier formulario de Microsoft —por ejemplo para probar Xbox Cloud Gaming, abrir un archivo de OneDrive compartido o descargar una plantilla de Office— el sistema te invita a “crear una cuenta Microsoft”. Basta con aceptar y escribir una contraseña nueva para que la plataforma genere un perfil completo asociado a esa dirección externa. Ese perfil incluye automáticamente un buzón de Outlook.com en blanco y habilita inicio de sesión en todas las propiedades de la compañía (Teams, Copilot, Windows Store, etc.). Si abandonas el proceso a la mitad o nunca más vuelves a entrar, la cuenta queda fantasma, pero accesible para ataques de fuerza bruta. De ahí los avisos.
Alias, correo de seguridad y cuenta independiente: tres conceptos que conviene no mezclar
- Alias de cuenta principal: dirección adicional que permite iniciar sesión con las mismas credenciales que tu correo Outlook/Hotmail original. Comparte contraseña y factores 2FA.
- Correo de seguridad: simple método de recuperación; solo recibe códigos o alertas, jamás permite iniciar sesión por sí mismo.
- Cuenta Microsoft creada con Gmail: perfil autónomo con contraseña y métodos 2FA propios. Aunque uses la misma dirección, no tiene relación técnica con tu cuenta Outlook existente.
La confusión aparece porque la interfaz de Microsoft muestra todos los correos (alias, secundarios y cuentas externas) en el mismo panel Manage how you sign in. Observa la etiqueta: “Alias” significa que comparte credenciales; “Primary” indica que es la cuenta principal; sin etiqueta significa que es un correo de seguridad.
¿Por qué llegan avisos incluso después de “eliminar” la cuenta?
Eliminar un alias es inmediato y definitivo, pero cerrar por completo una cuenta Microsoft pasa por un periodo de hibernación de 30 o 60 días. Microsoft lo hace para prevenir errores o robos de identidad: si alguien logra tus credenciales y la cierra, aún tendrás margen para recuperarla. Durante esa ventana, cualquier intento de inicio de sesión (legítimo o malicioso) revoca el cierre y reactiva la cuenta. Resultado: vuelves a la casilla de salida y las alertas siguen apareciendo. Para evitarlo, el requisito es no iniciar sesión bajo ningún concepto hasta que la fecha de eliminación definitiva haya pasado.
Calendario típico del cierre definitivo
- Solicitas el cierre y eliges 60 días (la opción más habitual).
- Recibes un correo “Your Microsoft account is scheduled to close on dd/mm/aaaa”.
- Microsoft bloquea el acceso a Outlook, OneDrive y demás servicios, pero mantiene el correo como identificador.
- Cada intento de acceso desde bots o terceros genera un “Unusual sign‑in activity” que se reenvía a tu Gmail.
- Transcurridos los 60 días sin actividad, los datos se purgan y el identificador se libera. A partir de ese momento ya no se envían más correos.
Tabla rápida de problemas habituales y su solución
| Problema detectado | Solución recomendada | Detalles clave |
|---|---|---|
| Cuenta Microsoft fantasma creada con tu Gmail | Entra en Manage how you sign in y verifica si aparece como alias o cuenta independiente. Si es alias, basta con “Remove”. Si es cuenta, programa su cierre. | Los alias comparten contraseña; las cuentas independientes no. |
| Intentos de acceso desde países desconocidos | Cambia la contraseña y habilita 2FA. Elimina métodos de recuperación que ya no uses. | Los bots prueban direcciones filtradas en brechas antiguas. |
| Alertas tras eliminar alias | Comprueba que no queden otras cuentas con el mismo Gmail y revisa encabezados para descartar phishing. | Los alias se borran al instante; los correos posteriores suelen ser falsos. |
| Confusión con el plazo de 60 días | Solo se aplica al cierre completo de una cuenta, no al retiro de un alias. | Iniciar sesión durante la espera reactiva la cuenta. |
Guía paso a paso para silenciar los avisos definitivamente
1 — Localiza la cuenta o el alias problemático
Visita https://account.live.com/names/Manage desde un navegador de confianza. Microsoft pedirá 2FA si está configurado. Busca tu dirección Gmail en la lista:
- Si pone “Alias”, haz clic en Remove.
- Si no aparece etiqueta, ve a Your info > Account security, abre Security info y revísalo allí: podría ser un correo de seguridad.
- Si al iniciar sesión con el Gmail entras en un perfil vacío, se trata de una cuenta independiente.
2 — Cambia la contraseña y activa autenticación multifactor
Aunque no planees usar esa cuenta, un cambio de contraseña detendrá inmediatamente los robots que estén ensayando contraseñas antiguas. Activa 2FA con la app Microsoft Authenticator o una llave FIDO compatible. Evita el SMS como método único.
3 — Programa el cierre definitivo (solo si es una cuenta independiente)
Dentro de Privacy > More security options selecciona Close my account. Lee la lista de consecuencias —pérdida de OneDrive, de licencias de Office, de historial de Skype— y marca todas las casillas. Elige 60 días y anota la fecha límite en tu calendario. No vuelvas a iniciar sesión hasta entonces.
4 — Crea reglas anti‑phishing en Gmail
Filtra correos de remitentes que no sean exactamente account‑security‑noreply@accountprotection.microsoft.com. Desconfía de cualquier mensaje que:
- Use acentos o traducciones extrañas.
- Incluya amenazas (“Se bloqueará su cuenta en 24 h”).
- Contenga enlaces que no terminen en
.microsoft.com.
5 — Comprueba que dejaron de llegar las alertas
Pasados los 60 días, envía un e‑mail a ti mismo y comprueba la carpeta Spam. Si todavía aparece un “Unusual sign‑in activity” cuyo destinatario coincide con tu Gmail, examina los encabezados:
- Return‑Path debe ser
*.accountprotection.microsoft.com - SPF y DKIM deben estar en pass
Un fallo en cualquiera de esos campos indica suplantación.
Preguntas frecuentes
¿Recibiré códigos de verificación en Gmail si lo mantengo como correo de seguridad?
Sólo cuando tú mismo invoques una acción sensible (cambio de contraseña, desactivación de 2FA, etc.). Los avisos de inicio de sesión inusual se envían al alias principal y, opcionalmente, al teléfono.
¿Se puede reutilizar la misma dirección Gmail para otra cuenta Microsoft tras cerrarla?
Sí. Una vez transcurridos los 60 días y liberado el identificador, podrás crear de nuevo una cuenta Microsoft con esa misma dirección, sin heredar datos previos.
¿El cierre borra archivos de OneDrive o correos en Outlook?
Los borra definitivamente. Descarga cuanto necesites antes de iniciar el proceso.
Buenas prácticas continuas para blindar tus identidades
- Mantén al día un gestor de contraseñas y evita reutilizarlas entre servicios.
- Activa 2FA en Microsoft y Google usando aplicaciones de código temporal o claves físicas.
- Revisa semestralmente los dispositivos registrados y cierra los que no reconozcas.
- No publiques tu correo principal en foros o comentarios públicos; usa alias desechables.
- Habilita alertas de inicio de sesión en ambos ecosistemas pero desactiva el reenvío automático de Gmail a Outlook o viceversa para evitar bucles de spam.
Conclusiones
Las alertas de seguridad de Microsoft alojadas en tu cuenta Gmail son, la mayoría de las veces, un síntoma de que existe una cuenta Microsoft descuidada o mal configurada vinculada a tu dirección. El proceso para eliminarlas de forma permanente pasa por tres fases innegociables: detectar si se trata de un alias, un correo de seguridad o una cuenta independiente; reforzar las credenciales y los factores de autenticación; y observar estrictamente el periodo de eliminación de 60 días. Cumplidos estos pasos, los bots perderán su objetivo y tu bandeja de entrada recuperará la tranquilidad.