MENU
  1. Inicio
  2. MS Office
  3. Outlook
  4. Cómo detener la sextorsión por correo que suplanta tu cuenta de Outlook

Cómo detener la sextorsión por correo que suplanta tu cuenta de Outlook

Outlook

Si has encontrado en la carpeta “Correo no deseado” un mensaje que parece venir de tu propia dirección y te amenaza con publicar material íntimo, no te alarmes: se trata de una campaña masiva de sextorsión que explota técnicas de spoofing para simular el remitente y presionarte psicológicamente. A continuación encontrarás un análisis completo del problema y una guía paso a paso para proteger tu cuenta de Outlook / Hotmail y tu información personal.

Índice

Resumen del problema

El correo malicioso suele llevar asuntos como “Hello pervert, I’ve sent this message from your Microsoft account”. El texto afirma que el atacante ha instalado un programa espía –a veces citan “Pegasus” para darle mayor dramatismo– y que posee fotos o vídeos comprometedores grabados con tu cámara web. Para obligarte a pagar en criptomonedas, el mensaje muestra tu propia dirección en el campo From: y, en ocasiones, incorpora contraseñas antiguas obtenidas de filtraciones públicas. La táctica se apoya en tres elementos principales:

  • Suplantación de remitente (spoofing): el atacante edita el encabezado From: sin necesidad de acceder a tu buzón.
  • Datos filtrados: combinan direcciones y contraseñas antiguas de brechas en servicios como redes sociales o plataformas de venta de entradas para dar credibilidad.
  • Bots de fuerza bruta: prueban contraseñas al azar y generan alertas de “inicio de sesión bloqueado”, lo que refuerza la sensación de riesgo aunque el acceso real haya sido impedido por el sistema.

Por qué tu cuenta no está comprometida

El hecho de que el mensaje aparezca en “Correo no deseado” sin copia en “Enviados” es la primera pista. Outlook descarta el correo como sospechoso, y la ausencia de una versión en tu carpeta de salida indica que nadie autenticado lo ha generado desde tu buzón. Para confirmar la integridad:

  1. Accede al apartado Actividad de inicio de sesión en account.live.com/activity. Verás intentos “Incorrectos” o “Bloqueados” de ubicaciones extrañas, pero ningún inicio “Correcto” desconocido.
  2. Busca el asunto en “Enviados” y “Elementos eliminados”. Si no está, es spoofing.
  3. Mándate un correo de prueba. Debería llegar a la bandeja de entrada y almacenarse en “Enviados”. Así compruebas que el flujo normal sigue intacto.

Pasos de mitigación inmediata

AcciónObjetivo
Eliminar el correo y no responderEvitar confirmar que tu dirección está activa y evitar el contacto con el estafador.
Cambiar la contraseña por una frase larga y únicaAnular contraseñas filtradas o repetidas en otros servicios.
Activar o revisar MFA/2FAImpedir el acceso incluso si la clave vuelve a filtrarse.
Cerrar todas las sesiones abiertasForzar la re‑autenticación solo en dispositivos legítimos.
Analizar el equipo con un antivirus de confianzaDescartar la presencia de malware que pudiera capturar datos reales.

Endurecimiento adicional de la cuenta

  • Actualiza el sistema operativo y las aplicaciones para cerrar vulnerabilidades que permitan la ejecución de código remoto.
  • Revisa reglas de bandeja de entrada y reenvíos automáticos en Outlook por si alguien creó filtros para desviar correos.
  • Habilita el inicio de sesión sin contraseña (Windows Hello o llave FIDO2). Así eliminas la dependencia de las claves tradicionales.
  • Activa MFA en otros servicios vinculados –banca, redes sociales, tiendas en línea– donde uses el mismo correo.
  • Regístrate en alertas de filtración como Have I Been Pwned o las notificaciones de seguridad de tu antivirus/navegador.
  • Marca el mensaje como phishing en Outlook; esto ayuda a perfeccionar los filtros y protege a otros usuarios.

Preguntas frecuentes

PreguntaRespuesta
¿Por qué la miniatura de perfil cambia cuando modifico mi foto?Outlook reconoce tu dirección en From: y aplica tu avatar local; no significa control externo de la cuenta.
¿Puede el atacante saltarse el 2FA?Se necesitaría tu aprobación física o tu token. Sin phishing adicional, es extremadamente improbable.
¿Realmente tienen vídeos comprometedores?No. El texto es genérico y producido en masa. No presentan evidencias.
Veo un inicio “Correcto” que no reconozco, ¿qué hago?Cambia la contraseña, cierra sesiones, revisa reglas y contacta con el soporte de Microsoft.

Anatomía técnica del spoofing

Los servidores de correo aceptan mensajes que declaran libremente el valor del encabezado From:. Para frenar el abuso existen registros SPF, DKIM y DMARC, publicados por los dominios legítimos:

  • SPF define qué servidores están autorizados a enviar en nombre de @outlook.com.
  • DKIM firma criptográficamente el cuerpo del mensaje.
  • DMARC instruye a los servidores receptores para rechazar o poner en cuarentena los mensajes que no superen SPF o DKIM.

Cuando un atacante envía correo masivo desde infraestructuras comprometidas, estos controles suelen fallar, y el mensaje se desvía automáticamente a “Correo no deseado”. Por eso raramente llega a la bandeja principal, y por eso el atacante prefiere el miedo psicológico a una intrusión real.

Ciclo de vida de la campaña de sextorsión

  1. Recopilación de bases de datos filtradas: millones de pares dirección‑contraseña extraídos de foros clandestinos.
  2. Construcción de plantillas: traducen el texto a varios idiomas e insertan fragmentos dinámicos (tu dirección, contraseñas antiguas, cifras de chantaje).
  3. Envió automatizado por bots: cada bot se disfraza con IPs residenciales o VPN para evitar bloqueos inmediatos.
  4. Cobro en criptodivisas: cada correo usa una billetera única; menos del 1 % de las víctimas paga, pero el volumen compensa.
  5. Limpieza y reinicio: tras unos días rotan dominios e infraestructura para burlar listas negras.

Guía detallada para contraseñas robustas

Una contraseña fuerte hoy debe:

  • Tener al menos 12 – 16 caracteres y combinar palabras aleatorias (passphrase).
  • Evitar patrones de teclado (qwerty), fechas de nacimiento o nombres propios.
  • Ser única por servicio; así un fallo en un sitio no compromete el resto.
  • Almacenarse en un gestor de contraseñas confiable con sincronización cifrada.

Además, usar llaves físicas (YubiKey, Titan) añade protección contra phishing avanzado gracias al estándar FIDO2/WebAuthn.

Herramientas de Microsoft 365 que te ayudan

  • Protección en tiempo real de Microsoft Defender: escanea adjuntos y enlaces.
  • Filtros de correo no deseado: aprendizaje automático que identifica patrones de sextorsión.
  • Informes de seguridad: el centro de seguridad de Microsoft 365 muestra estadísticas de intentos de inicio de sesión bloqueados.
  • Safe Links y Safe Attachments: reescriben enlaces peligrosos y abren archivos sospechosos en entornos aislados.

Buenas prácticas para proteger la identidad digital

  • Habilita inicios de sesión sin contraseña donde sea posible; reduce la superficie de ataque.
  • Configura recuperación de cuenta con medios alternativos actualizados (correo secundario y teléfono).
  • Realiza un inventario de aplicaciones que tienen acceso a tu cuenta de Microsoft y revoca las que no uses.
  • Activa alertas instantáneas de actividad sospechosa en tu móvil para reaccionar a tiempo.
  • Adopta la regla de “Zero Trust personal”: nunca hagas clic en enlaces cuyo origen no puedas verificar.

Conclusiones

El mensaje con asunto “Hello pervert…” es una estafa psicológica diseñada para asustarte y extraer dinero. No significa que tu buzón haya sido violado ni que existan imágenes reales. Sin embargo, sirve como recordatorio para fortalecer la seguridad:

  1. Ignora y elimina el correo.
  2. Cambia contraseñas y activa MFA.
  3. Vigila la actividad de la cuenta y de tus dispositivos.

Con estas medidas, tus correos, tus archivos en OneDrive y tu información personal permanecerán a salvo ante la oleada constante de sextorsión y phishing.

Outlook
outlook sextorsión spoofing phishing
Índice