¿Te llegó un mensaje con asunto alarmante que dice haber recibido “50‑70 quejas” contra tu cuenta de Microsoft y amenaza con suspenderla si no haces clic en un botón “Go to support”? Cuidado: es phishing. En esta guía aprenderás a reconocer el engaño, proteger tu cuenta y reforzar tu seguridad para evitar futuros intentos.
¿Qué está pasando?
Desde hace meses circula una campaña de correo fraudulento que suplanta notificaciones oficiales de Microsoft. El remitente figura como “trusted” o “de confianza”, el mensaje incluye logotipos legítimos y la urgencia parece creíble: se dice que tu cuenta acumula decenas de denuncias y que será suspendida en cuestión de horas. El gancho final es un botón con apariencia corporativa que invita a resolver el supuesto problema. Al pulsarlo se abre un sitio web sin cifrado (HTTP) o con un dominio muy parecido al real, donde te solicitan usuario, contraseña y, a veces, datos de pago. El objetivo es simple: robar tus credenciales y secuestrar tu identidad digital.
Cómo identificar el fraude en menos de un minuto
- Urgencia exagerada: Microsoft notifica incidentes graves también en el panel de seguridad interno; rara vez limita la respuesta a un único correo apremiante.
- Dominio sospechoso: al pasar el puntero sobre el botón “Go to support” se observa un enlace que no termina en
microsoft.com. - Encabezado “Trusted sender” falsificado: los atacantes insertan esa etiqueta en el HTML; no proviene de tu proveedor.
- Faltas de ortografía o traducciones automáticas.
- No hay número de caso ni referencia verificable.
Paso a paso para neutralizar la amenaza
| Paso | Acción recomendada | Propósito |
|---|---|---|
| 1 | Asumir que es phishing y eliminar el mensaje sin abrir adjuntos ni hacer clic en vínculos. | Impedir robo de credenciales o instalación de malware. |
| 2 | Comprobar tu cuenta desde la barra de direcciones escribiendo https://account.microsoft.com. | Confirmar que no hay bloqueos ni alertas legítimas. |
| 3 | Cambiar tu contraseña por una robusta (12+ caracteres, mezcla de mayúsculas, minúsculas, números y símbolos). | Reducir el riesgo si la contraseña ya estuviera filtrada. |
| 4 | Cerrar sesiones abiertas: Seguridad → Opciones avanzadas → “Cerrar sesión en todos los dispositivos”. | Forzar el inicio de sesión con la nueva credencial. |
| 5 | Activar o verificar la autenticación en dos pasos (SMS, correo alterno y/o app Authenticator). | Añadir una capa extra frente a accesos no autorizados. |
| 6 | Marcar el mensaje como phishing/spam y reenviarlo (opcional) a reportphishing@apwg.org. | Mejorar filtros globales y alertar a otros usuarios. |
Por qué el encabezado “Trusted sender” no es garantía
Los encabezados de confianza que muestran algunos clientes de correo representan la evaluación del propio mensaje en el momento de la entrega. Sin embargo, en formato HTML es posible insertar imágenes o textos que imiten esa insignia. Un atacante solo necesita añadir un fragmento de código con la palabra “Trusted” dentro de un banner para engañar al ojo desprevenido. La regla de oro es desconfiar de cualquier marca de verificación presentada dentro del contenido del correo; la verificación real aparece en la barra de información del cliente y no dentro del cuerpo del mensaje.
Inspecciona los encabezados completos
Si deseas profundizar, puedes analizar el encabezado original del correo (menú Ver origen del mensaje en la mayoría de clientes). Detente en los campos:
- Return‑Path: debe apuntar a un dominio legítimo de Microsoft.
- Received‑SPF y DKIM‑Signature: la verificación de firmas debe ser “Pass”. Un “Fail” indica suplantación.
- Reply‑To: si difiere del dominio remitente, es una alerta roja.
Configura alertas y filtros en Outlook y otros clientes
Puedes crear una regla que mueva automáticamente a “Correo no deseado” los mensajes cuyo asunto contenga “50” y “quejas” o “complaints”. Complementa la medida activando los siguientes controles:
- Bloqueo internacional: rechaza correos con alfabetos o codificaciones que normalmente no utilizas.
- Lista segura personalizada: incluye únicamente los dominios corporativos reales de Microsoft (
.microsoft.com,.office.com, etc.). - Vista previa deshabilitada: evita la ejecución automática de scripts o cargas remotas de imágenes.
Buenas prácticas de higiene digital
La seguridad no es un estado, sino un proceso continuo. Mantén al día tu sistema operativo, navegador y antivirus; estos se actualizan constantemente para bloquear dominios maliciosos y firmas de malware asociadas con campañas de phishing. Revisa al menos cada trimestre la pestaña “Actividad de inicio de sesión” de tu cuenta Microsoft y, si notas conexiones desde ubicaciones extrañas, toma medidas inmediatas: cambia la contraseña y refuerza tu autenticación multifactor.
Qué hacer si ya hiciste clic o proporcionaste datos
Actúa con la misma rapidez con la que los atacantes intentarán usar tu cuenta:
- Cambia la contraseña desde un dispositivo limpio, preferiblemente otro equipo o tu teléfono con datos móviles para evitar un posible malware local.
- Revoca tokens de acceso en la sección “Aplicaciones y servicios” de tu cuenta.
- Activa 2FA si no lo habías hecho.
- Monitorea actividad financiera y de correo: busca mensajes de restablecimiento de contraseña que no hayas solicitado; podrían intentar secuestrar otras cuentas vinculadas.
- Ejecuta un análisis antivirus y antimalware completo; herramientas como Windows Defender Offline pueden detectar troyanos ocultos.
- Notifica a tus contactos que ignoren correos sospechosos enviados a tu nombre.
Dudas frecuentes
¿Microsoft suspenderá mi cuenta si ignoro el correo?
No. Las medidas disciplinarias legítimas siempre aparecen en el Security Dashboard tras iniciar sesión de forma directa. Además, Microsoft suele conceder varios días para resolver incidencias y jamás solicita datos sensibles fuera de sus dominios.
¿Por qué el filtro de spam no lo bloqueó automáticamente?
Los atacantes ajustan el texto y diseño para evadir reglas basadas en palabras clave. Además, compran dominios desechables que aún no constan en listas negras. Reportar el mensaje ayuda a mejorar los algoritmos de detección.
¿Es útil reenviar el correo a las autoridades?
Sí. Organizaciones como APWG compilan información que permite desmantelar infraestructuras de phishing. Cada reporte suma evidencia para cerrar dominios y rastrear a los responsables.
Conclusión
El correo que asegura haber recibido “50‑70 quejas” contra tu cuenta Microsoft es un claro intento de phishing. Mantén la calma: borrar el mensaje no ocasionará la suspensión de tu cuenta. Sigue las acciones recomendadas, fortalece tu autenticación y mantente alerta frente a cualquier comunicación que mezcle urgencia con solicitudes de datos personales. Con buenas prácticas y un ojo crítico reducirás al mínimo el riesgo de convertirte en víctima.