Los correos de extorsión con asunto “You’ve been hacked” que aparentan provenir de tu propia cuenta son un clásico de la ingeniería social. Aunque intimidan, su explicación técnica es sencilla y existen contramedidas eficaces para bloquearlos y fortalecer tu seguridad digital.
Cómo consiguen que Outlook muestre tu dirección como remitente
El protocolo SMTP, base del correo electrónico desde 1982, nunca se diseñó pensando en la autenticación del remitente. Por defecto, basta con indicar cualquier dirección en el campo From:; el servidor la inserta sin pedir prueba de identidad. A esta técnica se la conoce como suplantación o email spoofing.
Con el tiempo surgieron mecanismos que añaden firmas criptográficas o listas de remitentes permitidos para detectar falsificaciones:
- SPF (Sender Policy Framework): define desde qué servidores está autorizado a salir el correo de un dominio.
- DKIM (DomainKeys Identified Mail): firma cada mensaje con una clave privada; si la firma no coincide, el receptor detecta manipulación.
- DMARC (Domain‑based Message Authentication, Reporting & Conformance): indica qué hacer cuando SPF o DKIM fallan (permitir, marcar, rechazar) y envía informes al dominio afectado.
Sin embargo, estos estándares solo son efectivos si todos los eslabones de la cadena los respetan. Muchos dominios legítimos carecen de políticas DMARC estrictas, lo que permite que un atacante envíe spam desde servidores baratos, declare “From: tu@email” y la mayoría de programas —incluido Outlook— simplemente muestren esa dirección en la interfaz.
Síntomas que confirman que NO te han hackeado
- El mensaje se aloja en Correo no deseado y no aparece en tu carpeta Elementos enviados.
- La foto de perfil o avatar que ves junto al remitente no coincide con el tuyo.
- Al abrir los encabezados completos se observan servidores de procedencia (líneas
Received:) que no son de Microsoft 365 ni del proveedor legítimo de tu dominio. - El chantajista suele mostrar una contraseña antigua filtrada en brechas masivas (LinkedIn 2012, Dropbox 2016, etc.) para dar credibilidad; no indica control activo sobre tu buzón.
Tabla de referencia rápida
| Problema | Explicación | Acciones recomendadas |
|---|---|---|
| El mensaje parece venir de tu propia cuenta | Suplantación de identidad mediante SMTP. El campo “From” se falsifica; tu buzón no ha sido comprometido. | Ignora y elimina el correo. Revisa encabezados para confirmar. No respondas ni pagues. |
| Sensación de que Outlook debería detectarlo | Outlook aplica filtros de spam, pero respeta el “From” textual. Sin DMARC estricto, no puede bloquear todos los casos. | Marca el mensaje como phishing. Envia comentarios a Microsoft pidiendo mejoras de interfaz. |
| Llegan muchos correos similares | Campañas masivas que comprueban listas de millones de direcciones. | Activa MFA. Cambia la contraseña si sospechas filtraciones. Reporta cada correo. |
| El texto incluye datos personales | Los atacantes combinan datos de brechas antiguas o redes sociales públicas. | Comprueba filtraciones en servicios de reputación. Fortalece todas tus contraseñas y elimina datos públicos innecesarios. |
Guía rápida para ver los encabezados completos en Outlook
Outlook Web (Nuevo Outlook)
- Abre el mensaje sospechoso en la carpeta Correo no deseado (¡no hagas clic en enlaces!).
- Pulsa los tres puntos … > Ver > Ver origen del mensaje.
- Revisa los campos
Return-Path:yReceived:; casi siempre verás servidores ajenos a Microsoft como “vps‑untrusted‑123456.hostbarato.example”.
Outlook de escritorio (Windows)
- Haz doble clic para abrir el correo en su propia ventana.
- Ve a Archivo > Propiedades.
- El bloque “Encabezados de Internet” aparece en la parte inferior; copia y pégalo en un bloc de notas si deseas analizarlo con más calma.
Outlook de escritorio (Mac)
- Selecciona el mensaje y ve a Mensaje > Ver encabezados.
- El panel derecho mostrará las mismas líneas técnicas; nuevamente, la IP y el dominio de origen revelan que no son servidores de Microsoft.
Acciones inmediatas para detener la avalancha de correos
- Reporta como phishing cada mensaje; Outlook aprende de estos reportes colectivos.
- Vacía Correo no deseado regularmente para evitar topar con correos antiguos.
- Activa la autenticación en dos pasos (MFA) en tu cuenta de Microsoft y en todas las cuentas asociadas.
- Cambia tu contraseña si reutilizabas la misma en otros servicios o si aparece en filtraciones públicas.
- Revisa las reglas y reenvíos de tu buzón desde Configuración → Correo → Reglas; elimina cualquier regla que no reconozcas.
Buenas prácticas para blindar tu identidad digital
Contraseñas fuertes y únicas
Usa gestores como Microsoft Entra, Bitwarden o 1Password. Un buen estándar es 14 + caracteres alfanuméricos con símbolos. Nunca reutilices contraseñas.
Autenticación multifactor obligatoria
Los códigos temporales (TOTP) o las llaves FIDO2 cortan casi todos los intentos de secuestro, incluso si tu contraseña se filtra.
Supervisa filtraciones
Servicios como haveibeenpwned.com te alertan cuando tu correo o número telefónico aparece en una brecha. Configura las notificaciones automáticas.
Actualiza tus dispositivos
Parchear Windows, macOS, iOS y Android cierra puertas traseras conocidas que los atacantes pueden encadenar con campañas de phishing.
Configura DMARC si posees un dominio propio
Un simple registro DNS v=DMARC1; p=reject; rua=mailto:dmarc@tudominio.com indica a los servidores receptores que rechacen correos que no pasen SPF o DKIM. Esto no evita que recibas spoofing de otros dominios, pero protege tu marca y evita que terceros reciban spam firmado con tu dirección.
Qué debería hacer Microsoft (y otros proveedores) para proteger a los usuarios vulnerables
La interfaz de Outlook trata el campo From: como un texto plano confiable cuando muestra la vista previa. Algunas mejoras sugeridas por expertos en seguridad y por la comunidad:
- Ocultar o atenuar direcciones idénticas al destinatario cuando el mensaje acaba en la carpeta de spam.
- Mostrar una insignia visual “Posible suplantación” si SPF, DKIM o DMARC fallan.
- Bloqueo selectivo automático cuando se recibe un mensaje que finge provenir del propio dominio @outlook.com sin rúbrica DKIM.
- Educación contextual: un enlace “¿Por qué veo mi propia dirección?” que explique el spoofing y despliegue pasos de seguridad al usuario.
- Compatibilidad plena con BIMI (Brand Indicators for Message Identification) para añadir logotipos verificados; el usuario sabría que solo los correos con logotipo son auténticos.
Preguntas frecuentes
¿Pagar el rescate detendrá los mensajes?
No. Una vez que pagas, tu dirección pasa a una lista de “objetivos que pagan” y aumenta la probabilidad de recibir más chantajes.
¿Qué pasa si el atacante envía una contraseña que estoy usando ahora?
Es extremadamente raro. Cámbiala de inmediato, activa MFA y revisa dispositivos conectados. Repite la inspección de reglas y reenvíos.
¿Basta con marcar como spam o debo usar “Reportar phishing”?
El botón Reportar phishing envía señales adicionales a Microsoft 365 Defender e incluso comparte muestras para los modelos de detección global. Úsalo siempre que sea posible.
¿Debo denunciarlo a la policía?
En la mayoría de países sí es recomendable, sobre todo si tu información personal ya ha sido expuesta. Aporta cabezales completos y captura del mensaje.
¿Puedo bloquear mi propia dirección?
No es aconsejable: también bloquearías correos auténticos que te reenvías. En su lugar, usa reglas que combinen Return‑Path e indicadores de spam.
Conclusión
Los correos con el asunto “You’ve been hacked” y remitente falsificado son, en un 99 % de los casos, extorsión sin acceso real a tu dispositivo. No contestes, no pagues y refuerza tus defensas con MFA, contraseñas únicas y un hábito de denuncia constante. Cada reporte que envíes contribuye a entrenar los filtros y reduce la eficacia de los estafadores.