MENU
  1. Inicio
  2. MS Office
  3. Outlook
  4. Correo extorsivo Pegasus: cómo proteger tu cuenta de Outlook y evitar estafas de spoofing

Correo extorsivo Pegasus: cómo proteger tu cuenta de Outlook y evitar estafas de spoofing

Outlook

Recibes un mensaje alarmante que asegura haber instalado el spyware Pegasus en todos tus dispositivos, haber grabado material comprometedor y, para colmo, el correo parece llegar desde tu propia dirección. Tranquilo: casi con total seguridad es un caso de spoofing y sextorsión masiva. En esta guía aprenderás por qué sucede, cómo demostrar que tu cuenta no fue hackeada y qué medidas de largo plazo blindarán tu identidad digital.

Índice

Qué está pasando realmente

Los ciberdelincuentes combinan tres técnicas psicológicas:

  • Suplantación de identidad (spoofing). Configuran sus servidores para que el campo «From:» muestre tu dirección. No necesitan acceso real; basta con saltarse autenticaciones débiles o enviar directamente al puerto 25 de servidores que no verifican SPF.
  • Urgencia falsa. El límite de 48 h busca evitar que reflexiones o consultes a un experto.
  • Nombre con gancho mediático. Pegasus es un malware caro, usado contra periodistas y políticos. Incluirlo da sensación de «alto nivel» y asusta a usuarios desprevenidos.

Cómo identificar un correo de sextorsión

Estos mensajes comparten patrones fáciles de reconocer:

  • Asunto sensacionalista: «Te vimos mirando , paga». Las variantes con “Pegasus” son la moda de 2025.
  • Cuerpo de texto genérico, sin datos personales concretos ni «pruebas» adjuntas.
  • Petición de pago en criptomonedas junto a código QR o dirección alfanumérica.
  • Faltas de ortografía o traducciones automáticas.
  • El remitente parece ser tu dirección exacta o nombre+alias.

Paso a paso para asegurar tu cuenta

PasoQué hacerPor qué es útil
Verificar actividad recienteEntra en la página de Actividad reciente de tu cuenta Microsoft o equivalente (Google → Seguridad › Tus dispositivos; Yahoo → Activity history).Si no hay inicios de sesión extraños, confirma que nadie obtuvo tu contraseña y solo falsificaron la cabecera del correo.
No contestar ni pagarElimina o marca el mensaje como phishing. No respondas.Responder confirma que la casilla está activa y anima más extorsión; pagar no garantiza nada.
Fortalecer el inicio de sesiónCrea un alias nuevo y márcalo como principal. Desactiva tu alias habitual en «Preferencias de inicio» para que no sea válido en pantallas de login.Reduce la superficie de ataque por fuerza bruta y hace más difícil adivinar tu usuario real.
Mantener el alias originalNo lo borres; simplemente déjalo oculto.Así sigues recibiendo correos legítimos dirigidos a esa dirección antigua sin exponerla en formularios públicos.
Activar autenticación multifactor (MFA)Instala Microsoft Authenticator o Google Authenticator y habilita verificación por huella, rostro o código.Una contraseña robada deja de ser suficiente para entrar; necesitan un segundo factor físico.
Higiene general de seguridadContraseña única de 16 caracteres o más, actualizaciones automáticas activas, antivirus al día, filtros antispam revisados.Reduce el riesgo de nuevos ataques, ransomware o malware real.

Guía detallada para cada proveedor de correo

Microsoft / Outlook.com

  1. Desde cualquier navegador, selecciona tu avatar → Ver cuenta › Seguridad › Actividad de inicio de sesión. Anota cualquier acceso inusual.
  2. En Información de inicio de sesión, crea un nuevo alias @outlook.com, establécelo como principal y desmarca el antiguo bajo “Puede iniciar sesión”.
  3. En Seguridad avanzada, activa la verificación en dos pasos. Registra al menos dos métodos: Authenticator y SMS.
  4. Opcional: Habilita DMARC si usas un dominio propio en Outlook para endurecer la validación de remitentes.

Gmail

  1. Visita Seguridad › Tus dispositivos. Haz clic en los tres puntos de cada dispositivo y cierra sesión si no lo reconoces.
  2. Activa Verificación en dos pasos y, si es posible, llaves de seguridad Titan o estándar FIDO2.
  3. En Filtros y direcciones bloqueadas, crea un filtro que mueva automáticamente a spam cualquier correo que contenga la dirección de pago del estafador.

Yahoo! Mail

  1. Abre Información de cuenta › Actividad reciente de inicio y examina ubicaciones.
  2. Habilita Clave de cuenta, el sistema de notificación push de Yahoo que sustituye la contraseña con un “sí/no” en tu móvil.

Cómo funciona el spoofing y por qué te llega un correo “de ti para ti”

El estándar SMTP original (1982) no exigía autenticación fuerte. Hoy existen mecanismos (SPF, DKIM, DMARC) que permiten a los servidores detectar envíos falsificados, pero:

  • Muchos dominios personales carecen de registros SPF.
    Los spammers aprovechan esa brecha para fijar MAIL FROM: tu@dominio.com.
  • Algunos proveedores reciben correos primero y recién luego aplican políticas «quarantine»; eso permite que el mensaje aterrice en la bandeja aunque después aparezca la marca “No se pudo verificar el remitente”.
  • Al verlo en tu bandeja de entrada primaria —no en spam— crece la sensación de veracidad.

No pagues: probabilidad de chantaje real vs. percepción

En 2024 la firma Chainalysis analizó 100 M USD en extorsiones por sexting y concluyó que el 95 % de campañas masivas no poseía material auténtico. Se basan en:

  • Robo de bases de datos antiguas (LinkedIn 2012, Zynga 2019) para incluir contraseñas caducadas y dar apariencia de “hacker real”.
  • Amenazas idénticas enviadas a miles de direcciones al azar sin segmentar.

El FBI aconseja reportar pero no pagar; hacerlo prolonga el negocio delictivo.

Cómo denunciar y contribuir a frenar la campaña

Marcar el mensaje como phishing educa al motor antispam, pero puedes ir más allá:

  • Reenvía el mensaje completo (con cabeceras) al buzón abuse@ de tu proveedor.
  • Genera un informe en la web oficial de la autoridad de ciberseguridad de tu país (p. ej. INCIBE en España, CSIRT en Latinoamérica).
  • Guarda capturas —sin borrar los hashes de transacciones— si decides cooperar con fuerzas del orden.

Preguntas frecuentes

¿Debería cambiar de dirección de correo?

No es necesario. Con MFA y alias oculto basta. Cambiarla obliga a actualizar cientos de servicios y no evita que tu nueva dirección sea objetivo mañana.
¿Por qué el mensaje no se fue a spam?

Los filtros usan aprendizaje automático. Si la dirección está en tu libreta o la conversación es «tu@dominio.com»↔«tu@dominio.com», puede que el sistema asuma relevancia.
¿El antivirus puede detectar Pegasus?

El verdadero Pegasus es modular y se instala mediante vulnerabilidades 0‑day en iOS/Android. No circula como adjunto. Si un mail masivo lo menciona, es fraude.

Glosario rápido

  • Sextorsión: Amenaza de difundir imágenes íntimas para obtener dinero.
  • Spoofing: Técnica de falsificar la dirección de remitente.
  • Alias: Dirección secundaria que redirige a tu bandeja original.
  • MFA: Autenticación multifactor, segunda capa de verificación.
  • SPF / DKIM / DMARC: Registros DNS que validan remitentes y evitan suplantación.

Conclusión

El correo extorsivo con Pegasus es, en el 99 % de los casos, una estafa psicológica. Con la combinación de verificación de actividad, alias oculto, contraseña robusta y MFA, tu cuenta permanece segura. Difunde este artículo entre familiares y colegas: la mejor vacuna contra el miedo digital es la información rigurosa.

Outlook
seguridad outlook spoofing Pegasus phishing
Índice