“Tu cuenta se cerrará en 48 h si no la verificas”. Así, sin más contexto, un correo con semejante advertencia despierta pánico. Sin embargo, en la mayoría de los casos se trata de phishing. Aprende a identificarlo y evita caer en la trampa.
Correo que exige “verificar tu cuenta en 48 h o se cerrará”
Problema
El mensaje llega con tono alarmista y enlaza un supuesto “panel de verificación”. Promete suspender tu cuenta de Microsoft si no actúas de inmediato. Su objetivo real: robar tus credenciales.
Solución paso a paso
- No pulses ningún enlace. Cerrar o ignorar la ventana es la primera línea de defensa. Toda la urgencia proviene del atacante, no de Microsoft.
- Comprueba tu cuenta desde la ruta oficial. Escribe manualmente
https://account.microsoft.com/securityen el navegador, inicia sesión y revisa alertas genuinas. Si la notificación no aparece ahí, el correo es falso. - Verifica el remitente. Las notificaciones legítimas llegan normalmente desde
@accountprotection.microsoft.com. Un dominio distinto, con caracteres añadidos o mal escritos, es un claro indicio de falsificación. - Revisa la redacción y el formato. Microsoft usa un estilo homogéneo: fuentes corporativas, gramática impecable y localización correcta. Faltas de ortografía, traducciones literales o exclamaciones excesivas delatan el engaño.
- Inspecciona los hipervínculos. Pasa el cursor sobre el enlace para revelar la URL de destino. Si el dominio no termina en
microsoft.com—o si está oculto detrás de un acortador dudoso—, descarta el mensaje. - Reporta el correo. En Outlook, selecciona Correo no deseado → Phishing. Con ello contribuyes a que Microsoft bloquee al remitente para otros usuarios.
- Contacta soporte cuando haya duda. Desde la página de ayuda oficial selecciona Contact > Other products > Manage account security; un agente validará la autenticidad del aviso.
Complemento útil: Activa la verificación en dos pasos y la app Microsoft Authenticator. Incluso si un impostor conoce tu contraseña, no podrá iniciar sesión sin el segundo factor.
Aviso en la carpeta de spam: “Revisa actividad reciente – inicio de sesión en el Reino Unido”
Problema
Otro correo, esta vez filtrado por el sistema de spam, asegura que alguien inició sesión en tu cuenta desde el Reino Unido. Te invita a confirmar la actividad mediante un botón.
Solución paso a paso
- No abras el enlace desde la carpeta de spam. Ya está ahí porque los filtros detectaron patrones sospechosos; confía en el criterio automático.
- Consulta la actividad real. Introduce directamente
https://account.live.com/activityen la barra de direcciones. Revisa la lista de inicios de sesión y su ubicación geográfica. - Confirma dominios y lenguaje. Los mismos indicadores de la primera situación aplican: dominios alterados, urgencia artificial, logotipos borrosos o faltas de ortografía.
- Cambia la contraseña si detectas una sesión ajena. El proceso te obliga a cerrar todas las sesiones abiertas, impidiendo que el atacante permanezca conectado.
- Si no hay rastro del inicio de sesión británico, elimina o reporta el correo; su única finalidad era obtener tus credenciales.
Complemento útil: Activa las alertas de actividad inusual y revisa periódicamente métodos de recuperación —correo alternativo y número móvil actualizados— para asegurarte de poder recuperar la cuenta si ocurre algo.
Señales universales de phishing
Los estafadores reciclan tácticas: aprovechan el miedo y la prisa, manipulan la vista previa y se hacen pasar por marcas de confianza. Dominar los síntomas comunes reduce drásticamente el riesgo.
| Indicador | Descripción | Respuesta recomendada |
|---|---|---|
| Remitente extraño | Dirección que incluye palabras como support-microsofft.com o dominios con números confusos (rnicrosoft.com) | Moviliza la sospecha: no hagas clic en nada y marca como phishing. |
| Enlace encubierto | Texto visible “Inicia sesión aquí” que realmente lleva a un sitio desconocido (inspecciona con el cursor) | Abre tu cuenta escribiendo la URL oficial; jamás uses el vínculo. |
| Urgencia extrema | Cuenta suspendida, archivos borrados o cargos inmediatos si no actúas en minutos | Respira, analiza y comprueba desde un acceso legítimo. |
| Errores de formato | Imágenes pixeladas, colores fuera de la paleta corporativa o diseños inconsistentes | Trata el mensaje como no fiable. |
| Falta de cifrado | El dominio mostrado empieza por http:// (sin la “s”) o usa certificados autofirmados | Sal de la página inmediatamente; Microsoft emplea HTTPS estricto. |
Mantén tu cuenta blindada
Aunque la detección de phishing mejore, la mejor defensa es prever el ataque. Integra estas prácticas en tu rutina digital:
- Configura verificación en dos pasos. En la sección Seguridad adicional de tu cuenta, habilita 2FA; elige autenticación por notificación push en la app Authenticator en lugar de SMS cuando sea posible.
- Renueva tu contraseña cada 6 – 12 meses. Usa combinaciones aleatorias de al menos 12 caracteres; un gestor de contraseñas mantiene el orden sin necesidad de memorizarlas todas.
- Revisa actividad reciente. Microsoft muestra ubicación, IP y tipo de dispositivo. Identifica patrones: si viajas con frecuencia, habrá cambios legítimos; si no, cualquier movimiento internacional es señal de intrusión.
- Actualiza la información de recuperación. Añade un correo alternativo sin vínculo laboral y un número móvil activo. Así evitas bloqueos cuando cambies de dispositivo.
- Habilita alertas de inicio de sesión inusual. Recibirás notificaciones push inmediatas cuando alguien intente ingresar desde un contexto inesperado.
- No reutilices contraseñas. Un solo sitio comprometido puede desencadenar una ola de accesos no autorizados en el resto de tus servicios.
- Capacítate periódicamente. Microsoft y otros proveedores ofrecen simulaciones de phishing; participar en ellas refuerza tu “instinto” ante correos falsos.
Cómo analizar la cabecera de un correo sospechoso
Si deseas profundizar, la cabecera original contiene rutas de entrega, servidores de paso y firmas DKIM/DMARC. En Outlook Web:
- Abre el correo (sin hacer clic en enlaces) y selecciona … > Ver origen del mensaje.
- Localiza los campos
Authentication-Results,Received-SPFyDKIM-Signature. Un “fail” en cualquiera de ellos —de un dominio que presume ser Microsoft— confirma el fraude. - Comprueba la congruencia entre
Return-PathyFrom. Si son distintos, es posible que se trate de spoofing. - Analiza
Received:para ver la IP inicial; las legítimas de Microsoft habitualmente provienen de rangos40.92.0.0/14y52.96.0.0/14.
Preguntas frecuentes
¿Microsoft envía correos que caducan en 48 h?
No. Los recordatorios de seguridad no vienen con plazos perentorios tan cortos. Microsoft sí deshabilita cuentas inactivas tras 24 meses sin uso, pero lo comunica con meses de anticipación y varias notificaciones escalonadas.
Recibí un correo idéntico al oficial pero con un enlace acortado; ¿es legítimo?
Desconfía. Microsoft raramente acorta sus propios enlaces. Si el destino real no es un dominio microsoft.com o live.com, procede con cautela.
¿Qué ocurre si ya introduje mis credenciales?
Cambia la contraseña inmediatamente desde un dispositivo de confianza y activa 2FA si no lo habías hecho. Luego, revisa la sección Activity y cierra las sesiones sospechosas. Reporta el incidente mediante el formulario de soporte.
¿Puedo habilitar 2FA sin smartphone?
Sí. Microsoft permite códigos de un solo uso impresos, claves FIDO2 (como YubiKey) y aplicaciones de autenticación de terceros que funcionan en computadoras de escritorio.
Resumen de acciones inmediatas
| Riesgo | Acción preventiva | Herramienta o ruta |
|---|---|---|
| Enlaces o adjuntos dudosos | No abrir directamente | Escribir URL oficial en navegador |
| Dominios desconocidos | Marcar como phishing | Outlook → Correo no deseado → Phishing |
| Gramática deficiente / urgencia | Sospechar de fraude | Comparar con correos oficiales previos |
| Falta de HTTPS | Abandonar la página | Buscar candado o prefijo https:// |
| Credenciales ya expuestas | Cambiar contraseña y cerrar sesiones | https://account.microsoft.com/security |
El phishing evoluciona, pero los principios que lo delatan apenas cambian: dominio falso, premura irracional y falta de coherencia visual. Con vértices de defensa sólidos —URL escrita manualmente, análisis de remitente y 2FA—, tu cuenta permanece a salvo incluso cuando el engaño aparenta un sofisticado disfraz.