Un correo llega a tu bandeja de entrada y, para tu sorpresa, el remitente parece ser tú mismo. El mensaje afirma que tienes Pegasus, exhibe cabeceras intimidatorias y exige bitcoin para no divulgar vídeos íntimos. A continuación encontrarás una guía completa para entender qué ocurre realmente y cómo blindar tu seguridad digital.
Por qué aparece tu propia dirección como remitente
La técnica se llama spoofing. El atacante modifica el campo From: en el encabezado SMTP para que coincida con tu dirección. No significa que haya iniciado sesión en tu cuenta ni que controle tu servidor: solo ha falsificado la etiqueta. Servicios modernos aplican SPF, DKIM y DMARC para detectar esto, pero muchos clientes solo muestran la dirección visible, no el fallo de autenticación.
¿Existe peligro al abrir o guardar el mensaje?
Un correo de texto plano sin adjuntos ejecutables no instala malware por sí mismo. Los riesgos reales aparecen cuando:
- Descargas y ejecutas adjuntos desconocidos.
- Habilitas macros en documentos ofuscados.
- Haces clic en enlaces que te llevan a páginas clonadas para robar credenciales.
- Visualizas imágenes remotas que revelan tu IP y confirman lectura.
Para investigar o denunciar basta con guardar el mensaje como archivo .eml; esto es inocuo porque almacena simple texto con cabeceras.
¿Debes temer realmente a Pegasus?
Pegasus es un spyware sofisticado vendido por NSO Group que se distribuye mediante exploits de día cero, es decir, vulnerabilidades inéditas y costosas. Se dirige a periodistas, activistas o políticos concretos, no a campañas masivas de sextorsión. Si un atacante hubiera logrado infectar tu móvil con Pegasus, no te amenazaría en un correo común ni solicitaría un pago genérico; seguiría espiándote silenciosamente. Por ello, la gran mayoría de los correos que citan Pegasus como gancho son simples estafas de bajo nivel.
Plan de acción inmediato
| Paso | Qué hacer | Por qué |
|---|---|---|
| No responder ni pagar | Ignora la exigencia de bitcoin. | No hay evidencia de que tengan vídeos; responder valida tu dirección. |
| Marcar como phishing y eliminar | Usa “Reportar phishing” o “Correo no deseado”. | Ayuda a mejorar filtros y bloquea remitentes futuros. |
| Cambiar contraseñas | Actualiza la clave de correo y de otros servicios con la misma contraseña. | Mitiga filtraciones previas. |
| Activar o revisar 2FA | SMS, app autenticadora o llave física. | Añade una barrera extra aun si alguien descubre tu contraseña. |
| Comprobar reglas y sesiones | Revisa reenvíos, delegaciones y sesiones abiertas. | Evita puertas traseras que envíen copias de tus correos. |
| Analizar dispositivos | Pasa un escaneo completo con antivirus actualizado. | Descarta amenazas existentes. |
| Educarse sobre spoofing | Aprende cómo se falsifica el campo “De:”. | Reduce ansiedad y evita futuros fraudes. |
| Mantener la calma | Solo conserva el .eml si vas a denunciar. | Sirve como evidencia; no propagues la amenaza. |
Cómo cambiar contraseñas de forma segura
Utiliza un gestor de contraseñas para generar claves únicas y robustas (mínimo 16 caracteres, aleatorias y sin patrones). Activa 2FA inmediatamente después del cambio. No reutilices contraseñas: una sola filtración expone todas tus cuentas.
Activación y verificación de doble factor
El doble factor (2FA) puede implementarse con:
- Códigos temporales (TOTP) en aplicaciones como Authy o Microsoft Authenticator.
- Tokens físicos de seguridad (hardware keys) compatibles con FIDO2.
- Códigos por SMS (menos seguro, pero mejor que nada).
Tras activarlo, genera códigos de respaldo y guárdalos fuera de línea (impresos o en gestor cifrado). Evita almacenarlos en la nube sin protección.
Revisión de reglas de reenvío y sesiones activas
Cada proveedor tiene su ruta:
- Gmail: Configuración › Reenvío y correo POP/IMAP, y “Dispositivos que accedieron a la cuenta”.
- Outlook: Opciones › Reenvío › Reglas, y “Ver todas las actividades” en Seguridad.
- Yahoo: Configuración › Filtros y redirección, y “Historial de inicios de sesión”.
Si ves reglas desconocidas o inicios desde geografías extrañas, elimínalos y vuelve a cambiar la contraseña.
¿Cómo saber si tu cuenta ha estado comprometida?
Revisa servicios que comparan filtraciones públicas (p. ej., bases de datos de breaches). Si tu dirección aparece, cambia contraseñas de cualquier plataforma reutilizada. Observa alertas de “códigos de un solo uso” que nunca solicitaste: significa que un atacante probó tu clave sin éxito gracias al 2FA.
Mitos frecuentes sobre Pegasus y sextorsión
“Si el correo incluye mi contraseña antigua, ya estoy infectado”. No necesariamente. Muchas bases de datos filtradas circulan en foros; los atacantes insertan la contraseña filtrada para aumentar credibilidad. “Guardar el correo lo ejecuta”. Falso. Un archivo .eml es texto. Solo resultaría peligroso si lo abres en un editor que ejecute automáticamente scripts, lo cual es extremadamente raro. “Debo pagar porque de lo contrario publicarán mis vídeos”. En nueve de cada diez casos, no existen tales vídeos. Si pagas, confirmas que tu dirección es válida y podrías recibir más extorsiones.
Qué hacer si ya pagaste o enviaste información
- Guarda toda la conversación (cabeceras incluidas).
- Acude a la autoridad de delitos informáticos o CERT de tu país con la evidencia.
- Si facilitaste datos de tarjeta, contacta al emisor para bloquearla y solicitar contracargo.
- Refuerza la seguridad en todas tus cuentas: contraseñas nuevas y 2FA.
Estrategias a largo plazo para blindarte
- Gestor de contraseñas: Reduce drásticamente el riesgo de reutilización.
- Navegador actualizado: Mantén todas las actualizaciones de seguridad.
- Sistema operativo al día: Activa parches automáticos en Windows, macOS, iOS o Android.
- Segmenta correos: Usa alias para compras o suscripciones; así, si uno filtra, no compromete tus direcciones críticas.
- Phishing drills: Practica en entornos controlados para identificar correos falsos.
Aspectos psicológicos de la sextorsión
Los estafadores juegan con la urgencia y la vergüenza. Usan un temporizador (“48 horas o publicaré”) y lenguaje intimidatorio para impedir que consultes a expertos. Respira, corrobora datos y recuerda que el pánico es su herramienta principal. Compartir la situación con un colega de confianza o un profesional de ciberseguridad suele disipar el miedo.
Preguntas frecuentes
¿Puede mi antivirus detectar Pegasus? Muy pocas soluciones pueden detectar Pegasus debido a su naturaleza zero‑day. Sin embargo, un escaneo sigue siendo útil para otras amenazas.
¿Es útil cambiar de número de teléfono? No para este caso. La amenaza llega por correo; reforzar tu cuenta de email y dispositivos es suficiente.
¿Debo formatear mi ordenador o móvil? No es necesario a menos que el análisis antivirus confirme una infección real. Guarda todos los registros antes de un formateo completo.
¿Qué significa que el correo diga “tracked pixel”? Algunos atacantes insertan una diminuta imagen remota. Configura tu cliente para bloquear imágenes automáticas o usa visualización de texto plano.
Glosario rápido
- Spoofing: Falsificación de identidad en el encabezado de un mensaje.
- SPF: Registro DNS que indica qué servidores pueden enviar correos en nombre de un dominio.
- DKIM: Firma digital que comprobara la autenticidad de un remitente.
- DMARC: Política que indica cómo tratar correos que fallan SPF o DKIM.
- Sextorsión: Extorsión basada en supuestas pruebas sexuales contra la víctima.
- Pegasus: Spyware avanzado diseñado para infiltrarse sin interacción del usuario.
Conclusiones
El 99 % de los correos que prometen “Pegasus” y exigen criptomonedas son campañas masivas de extorsión apoyadas en la ignorancia técnica. Mientras sigas las buenas prácticas básicas—contraseñas únicas, 2FA, reportar phishing y analizar equipos—estarás protegido. La información es tu mejor defensa: cuanto más conozcas sobre spoofing y tácticas de ingeniería social, menos impacto tendrá la próxima amenaza que llegue a tu bandeja de entrada.