Durante las últimas semanas se ha detectado un aumento de campañas de suplantación que utilizan la apariencia “nombre@engagement.microsoft.com” para sembrar el pánico entre los usuarios de Outlook y Microsoft 365, asegurando falsamente que alguien ha cargado cientos de dólares a la tarjeta o que la cuenta quedará bloqueada de inmediato. El objetivo real es que llamemos a un número “de soporte” operado por los atacantes o que entreguemos datos sensibles. A continuación encontrarás una guía completa — desde cómo identificar estos mensajes hasta las mejores prácticas para blindar tu identidad digital — que puedes poner en práctica ahora mismo.
Correos desde “@engagement.microsoft.com” que advierten de cargos o robo de cuenta
Problema planteado
- El buzón recibe correos cuyo remitente adopta el formato nombre@engagement.microsoft.com, mezclando un nombre propio para aparentar cercanía.
- El mensaje afirma que la cuenta “ha sido comprometida” o que “se ha facturado 321 USD por una suscripción a Microsoft 365/Azure que usted no reconoció”.
- Incluye amenazas: “Su cuenta quedará suspendida si no verifica la identidad en los próximos 30 minutos; llame ahora al +1 (###) ###‑####”.
- Se aprecian frases sin sentido (“pair bury sleep nothing”) o saltos bruscos de idioma; las cabeceras SMTP revelan el paso por servidores que no pertenecen a Microsoft.
Conclusión clave
Todo apunta a un caso de phishing telefónico (vishing). Microsoft:
- No envía alertas personalizadas con nombres propios ni con teléfonos de contacto directo.
- Jamás exige una llamada para desbloquear la cuenta: los cargos reales se consultan en el historial de pagos.
- Emplea dominios de seguridad como account‑protection.microsoft.com, no engagement.microsoft.com, que se reserva para campañas de marketing opt‑in.
Cómo diferenciar un correo legítimo de Microsoft
Antes de abrir adjuntos o hacer clic, revisa los siguientes indicadores. Si uno solo falla, considera el correo sospechoso.
| Criterio | Correo auténtico | Correo falso |
|---|---|---|
| Dominio remitente | @microsoft.com, @account‑protection.microsoft.com | @engagement.microsoft.com, dominios recién registrados o sin DMARC |
| Saludo | Genérico: “Hola, Usuario” | Incluye el nombre y apellidos — dato filtrado — para generar urgencia |
| Contacto | Gestiona todo en línea dentro del portal | Número telefónico externo, chats de WhatsApp o Telegram |
| Gramática | Cohesión y localización profesional | Errores ortográficos, palabras al azar, mezcla de idiomas |
| Firma digital | DKIM = pass, SPF = pass, DMARC = pass | Al menos una de las firmas falla |
Análisis técnico rápido de las cabeceras
- En Outlook web abre el mensaje ▶ … ▶ Ver origen del mensaje.
- Busca el parámetro Received‑SPF; si dice
softfailofaily la IP no está en el rango 40.92.0.0/14 o 52.100.0.0/14 (propios de Microsoft), desconfía. - Revisa Authentication‑Results. Un
dkim=failindica que el dominio ha sido falsificado. - Comprueba la ruta de entrega: si aparecen saltos por VPS en OVH, DigitalOcean u otros proveedores ajenos, muy probablemente es un spoofing.
Impacto si caes en la trampa
Además del cargo económico fraudulento, los atacantes podrían:
- Tomar control del correo para reenviar conversaciones y robar información empresarial.
- Activar reglas que borren facturas o mensajes de restablecimiento de contraseña.
- Secuestrar la identidad para extorsiones, compras de criptomonedas o ingeniería social contra tus contactos.
- Solicitar segundas transferencias alegando pagos incompletos («double‑dip fraud»).
Medidas de comprobación y protección recomendadas
| Paso | Acción | Motivo |
|---|---|---|
| 1 | No contestar, no llamar y marcar el correo como phishing | Evita que los estafadores obtengan más datos. |
| 2 | Revisar la actividad de inicio de sesión en https://account.live.com/activity | Confirma si hubo accesos no autorizados. |
| 3 | Abrir Outlook web → ⚙️ Reenvío → desactivar “Habilitar reenvío” | Impide que copias de correos se envíen a terceros. |
| 4 | Cambiar la contraseña por una fuerte y única | Frustra accesos con credenciales filtradas. |
| 5 | Activar verificación en dos pasos y la app Microsoft Authenticator | Añade una capa extra de seguridad. |
| 6 | Consultar el historial de pagos en https://account.microsoft.com y con la entidad bancaria | Verifica que no existan cargos reales. |
| 7 | Si persisten dudas, contactar al soporte oficial desde https://support.microsoft.com/contactus (ruta “Otros productos → Administrar seguridad de la cuenta → Chat”) | Asegura ayuda legítima sin exponer datos. |
| 8 | Reenviar el correo sospechoso a reportphishing@microsoft.com | Contribuye a mejorar los filtros de Microsoft. |
Guía ilustrada: bloquear y reportar en Outlook
- Selecciona el mensaje ▶ Correo no deseado ▶ Phishing. El sistema lo trasladará a Elementos eliminados y enviará la firma al motor antispam.
- En la versión de escritorio ve a Inicio ▶ Basura ▶ Opciones de correo electrónico no deseado y activa “Confiar solo en correo de mis contactos y dominios seguros”.
- Vacía la carpeta Elementos eliminados para evitar que se reactive algún enlace incrustado por error.
Buenas prácticas permanentes
- Mantén Windows y Office actualizados: los parches mensuales corrigen vulnerabilidades de macros y renderizado de imágenes aprovechadas por los atacantes.
- Configura la detección avanzada de amenazas en Microsoft Defender o en tu solución de seguridad preferida.
- Utiliza contraseñas únicas, administradas por un gestor confiable; evita reciclar credenciales entre servicios personales y laborales.
- Deshabilita las macros en documentos de Office excepto cuando sean estrictamente necesarias.
- Comparte esta información en tu empresa o entorno educativo; la concienciación colectiva reduce en cascada el éxito de las campañas.
Preguntas frecuentes
¿Por qué engagement.microsoft.com se emplea en marketing legítimo?
El subdominio pertenece a Microsoft Dynamics 365 Marketing y se usa para boletines sobre eventos, invitaciones a encuestas o promociones. No obstante, cualquier dominio puede ser falsificado si el receptor no comprueba las firmas SPF/DKIM.
He encontrado el cargo en mi tarjeta, ¿qué hago?
Primero comprueba el historial en el portal de facturación de Microsoft. Si no aparece, cancela el pago con tu banco y solicita una tarjeta de reemplazo; los delincuentes podrían haber clonado el número.
¿Puedo demandar a los responsables?
La estafa transfronteriza complica la vía penal, pero siempre presenta la denuncia ante la policía cibernética local: aumenta las probabilidades de que la infraestructura sea dada de baja y te respalda ante la entidad financiera.
Trabajo en TI, ¿cómo protejo a toda la organización?
- Aplica políticas de autenticación multifactor (MFA) condicional en Azure AD.
- Habilita User Risk Policy para bloquear accesos anómalos automáticamente.
- Implementa Safe Links y Safe Attachments en Microsoft Defender for Office 365.
- Despliega banners de advertencia para correos externos que usen nombres internos comunes.
Información complementaria útil
- Dominio habitual para marketing: engagement.microsoft.com se limita a newsletters. Las alertas de seguridad vienen de account‑protection.microsoft.com y nunca incluyen WhatsApp ni teléfono.
- Señales típicas de phishing: cargos desde países que nunca visitaste, textos aleatorios intercalados, cabeceras que apuntan a hosts de alojamiento barato.
- Mantén actualizados el filtro de spam, tu navegador y las bases de definiciones de Defender, y anima a compañeros y familiares a hacer lo mismo.