Correo de sextorsión parece enviado desde mi cuenta: por qué no estás hackeado y cómo protegerte

Recibir un correo que dice haber tomado control de tu cámara y exige un rescate en Litecoin es alarmante, sobre todo cuando el remitente aparenta ser tu propia cuenta. Sin embargo, en la inmensa mayoría de los casos no hay intrusión real: se trata de un guion de “sextorsión” masivo que explota el spoofing del campo From.

Índice

Qué es la sextorsión por correo y por qué está de moda

Las campañas de sextorsión se dispararon cuando el valor de las criptomonedas creció y los filtros antispam mejoraron. El atacante mezcla dos técnicas muy efectivas:

  • Ingeniería social: amenazas explícitas (publicar “videos íntimos”) con un reloj ficticio de 24‑48 h para forzar decisiones impulsivas.
  • Análisis automático de fugas de contraseñas: a veces incluye una clave antigua filtrada para dar verosimilitud.

El pánico resulta tan rentable que los delincuentes envían millones de mensajes sin molestarse en personalizar el cuerpo.

Por qué el correo parece venir de tu propia dirección

Los estándares de correo permiten declarar prácticamente cualquier cosa en el campo From:. Para saber si ese mensaje salió realmente de los servidores de Microsoft hay que mirar los encabezados técnicos que normalmente el usuario no ve. Tres siglas mandan:

  • SPF: registra qué servidores están autorizados a enviar en nombre de un dominio.
  • DKIM: coloca una firma criptográfica que solo el dueño del dominio puede generar.
  • DMARC: indica cómo tratar los mensajes que fallan en SPF o DKIM.

Cuando el encabezado muestra SPF: fail y DKIM: none, Outlook sabe que el correo es ilegítimo y lo manda a Correo no deseado.

Tabla rápida: reconocer un intento de sextorsión

Característica típicaPor qué es señal de fraude
Remitente igual a tu direcciónEl atacante “falsifica” el From; basta una cabecera SMTP, no necesita acceso real.
Cuenta atrás (24‑48 h)Método de presión psicológica; busca reacción rápida sin verificación.
Pago solo en criptomonedasTransacciones difíciles de rastrear y sin posibilidad de devolución.
Amenaza genérica (“grabé tus sitios para adultos”)No menciona un dominio concreto ni hora real, prueba de plantilla masiva.
Fallas de SPF y DKIMDemuestran que no pasó por servidores autorizados de Outlook/Hotmail.

Cómo confirmar que nadie entró en tu cuenta Microsoft

  1. Revisa la actividad de inicio de sesión
    En Seguridad → Actividad de inicio de sesión verás intentos con la hora, IP y resultado. Que aparezcan dos o tres “Incorrect password” es normal: son bots atacando direcciones al azar. Lo que sería preocupante es un inicio correcto desde un país o dispositivo desconocido.
  2. Comprueba los encabezados del mensaje
    Usa la herramienta “Message Header Analyzer” de Microsoft (búscala en tu buscador favorito). Pega la cabecera completa y fíjate en los apartados SPF, DKIM y la sección Received:. Ninguna IP debería pertenecer a los rangos oficiales de Outlook o Hotmail.
  3. Verifica reglas de reenvío
    Los atacantes reales suelen crear reglas automáticas (“Reenviar todo a…”). Ve a Configuración → Correo → Reenvío y déjalo vacío si no lo usas.

Pasos de autoprotección: qué hacer hoy mismo

Cambia tu contraseña

Elige una frase larga y única (mínimo 12‑15 caracteres) que no reutilices en ningún otro servicio. Olvida mezclas imposibles de recordar: las frases son más fuertes si son extensas.

Activa la autenticación en dos pasos (MFA)

Con MFA, incluso si un atacante adivina tu clave, necesita el segundo factor (código temporal o notificación Push). Actívalo en tu cuenta Microsoft y en todas las plataformas críticas (banco, redes sociales, correo laboral).

Actualiza software y extensiones

  • Mantén Windows, macOS o Linux al día con parches de seguridad.
  • Actualiza tu navegador y elimina extensiones que no uses; muchas fugas se originan en complementos inseguros.
  • Si tienes cámara web, tapa la lente con slider físico cuando no la uses: simple, barato y definitivo.

Higiene general de contraseñas

Apóyate en un gestor de contraseñas confiable para generar y guardar claves distintas por sitio. Así evitas que una filtración en un sitio secundario habilite ataques en tu correo principal.

¿Vale la pena denunciar?

Marcar el mensaje como Correo electrónico no deseado → Suplantación en Outlook ayuda a mejorar los filtros globales. También puedes reenviarlo a junk@office365.microsoft.com. No esperes una respuesta personalizada: el volumen de spam es tan grande que Microsoft agrega los datos al motor de detección y sigue adelante. Denunciar a la policía suele ser infructuoso salvo que hayas pagado el rescate y haya indicios de estafa económica.

Preguntas frecuentes

¿Y si el correo menciona una contraseña que usé hace años?

Probablemente la obtuvo de una filtración pública (p. ej., LinkedIn 2012, Adobe 2013). Cambia esa contraseña en cualquier servicio donde aún exista y activa MFA. No hay prueba de acceso actual a tu dispositivo.

¿Pueden infectarme con solo leer el correo?

No. El peligro real aparecería en un archivo adjunto ejecutable o un enlace hacia una página maliciosa. Borra el mensaje sin abrir adjuntos ni descargar imágenes externas.

¿Debo formatear el PC por precaución?

No mientras no detectes síntomas de malware (procesos desconocidos, picos de CPU, descargas sospechosas). Formatear sin motivo solo consume tiempo y puede hacerte perder datos.

Falsos positivos: ¿y si el remitente pasa SPF y DKIM?

En cuentas corporativas con dominios propios, es posible que un atacante secuestre un servidor SMTP mal configurado y logre enviar con SPF =pass. Aun así, la amenaza suele ser idéntica: mensaje clónico, exigencia de criptomonedas y cero pruebas. Aquí el criterio es la ausencia de contenido personalizado: si realmente tuvieran videos, incluirían capturas o detalles verificables.

Guía paso a paso para analizar el encabezado

  1. Abre el mensaje en Outlook Web, selecciona los tres puntos (•••) → “Ver origen del mensaje”.
  2. Copia todo el bloque que empieza por Received: y termina antes del cuerpo.
  3. Pega ese texto en la herramienta “Message Header Analyzer”.
  4. Observa la columna “Authentication-Results”. Debería decir algo como: spf=fail (domain of example.com does not designate XXX.XXX.XXX.XXX as permitted sender) dkim=none dmarc=bestguesspass
  5. Revisa la primera línea Received:; mostrará la IP de origen. Busca en un “whois” público: si no pertenece a Microsoft, es spoofing.

Flujo de decisión resumido

Si no quieres complicarte, sigue este esquema:

  1. ¿El correo aterrizó en la bandeja de spam?
    → Probabilidad de fraude > 99 %. Continuar.
    No → Lee encabezados.
  2. ¿SPF o DKIM fallan?
    → Fraude confirmado. Elimina.
    No → ¿Hay evidencia personalizada (capturas, texto propio)? Si no la hay, sigue siendo muy posible que sea fraude.
  3. Aplícalo todo: cambiar contraseña, activar MFA, marcar como spam. Fin.

Error común: confundir intento de inicio fallido con hackeo

Verás continuamente “Intento de inicio de sesión fallido” desde países lejanos. Es el equivalente digital de probar todas las llaves en una puerta. Que el sistema rechace la contraseña es justo la señal de que tu cuenta aguanta.

Recomendación final

Mientras el mensaje se quede en la carpeta de spam y los encabezados muestren fallo de SPF/DKIM, da el asunto por cerrado. Refuerza contraseña y MFA, mantén software al día y descarta cada nuevo correo similar sin abrir adjuntos ni hacer clic. La calma y los buenos hábitos de seguridad valen mucho más que cualquier rescate en Litecoin.

Índice