Recibes un e‑mail firmado con tu propia dirección de Outlook que te acusa de haber sido grabado con cámaras y micrófonos ocultos y exige 1 400 USD en Litecoin: esta guía explica por qué se trata de una estafa de sextorsión, cómo reconocerla al instante y qué medidas concretas tomar para blindar tu seguridad digital.
Qué es realmente la sextorsión por correo
La sextorsión es una modalidad de chantaje online en la que los estafadores afirman poseer fotografías o vídeos íntimos (reales o manipulados con deepfakes) y exigen un pago para no difundirlos. Desde 2018 proliferan campañas masivas dirigidas a millones de buzones; la táctica más reciente consiste en falsificar el remitente para que aparezca tu propia dirección en el campo “De:”. Su objetivo es provocar pánico y hacerte creer que tu cuenta ha sido hackeada.
Por qué aparece tu propia dirección como remitente
El correo electrónico se diseñó en los años 70 sin autenticación fuerte; por defecto, cualquier servidor puede declarar cualquier dirección en el encabezado From:. Este proceso, llamado spoofing, permite al atacante enviar un mensaje que Outlook mostrará como si fuera tuyo, cuando en realidad procede de un servidor ajeno. Si tu dominio carece de registros SPF, DKIM y DMARC estrictos, el proveedor receptor no puede verificar la legitimidad y muestra la dirección falsificada sin alertas visibles. No significa que tu cuenta haya sido comprometida ni que el agresor conozca tu contraseña.
Mitos sobre Pegasus y otros spyware “milagro”
Pegasus, comercializado por NSO Group, cuesta cientos de miles de dólares por licencia y está reservado a gobiernos para operaciones de inteligencia sumamente específicas. Un ciberdelincuente de tipo “spam” no puede costearlo ni desplegarlo masivamente: su modelo de negocio consiste en enviar millones de correos automatizados a direcciones obtenidas en filtraciones públicas. Incluir la palabra “Pegasus” es una estrategia de ingeniería social para aumentar el terror y la urgencia.
Cómo descartar la amenaza en menos de cinco minutos
- Comprueba los encabezados: En Outlook abre Archivo › Propiedades › Encabezados de Internet. Verás que la IP de origen no es un servidor Microsoft y que el mensaje falló las verificaciones SPF o DKIM.
- Revisa la actividad de inicio de sesión: Outlook.com › Seguridad › Revisar actividad. Cualquier entrada sospechosa (ubicaciones o dispositivos extraños) indicaría compromiso; en el 99 % de los casos no verás nada anómalo.
- Busca programas desconocidos: Ejecuta Administrador de tareas › Inicio y analiza extensiones de navegador instaladas. Las campañas de sextorsión masiva casi nunca implican malware real, pero conviene descartar adware.
Pasos recomendados para protegerte
| Paso | Qué hacer | Por qué es importante |
|---|---|---|
| Reconocer que es una estafa | Identifica la técnica de spoofing en el campo “De:” y la narrativa típica de «grabé tus vídeos». | Evita el pánico y que pagues al estafador. |
| No responder ni pagar | Ignora cualquier amenaza y jamás envíes criptomonedas. | Responder confirma que la dirección está activa; el pago financia al delito. |
| Eliminar o marcar como phishing | Usa «Informar de phishing» en Outlook o reenvía el mensaje, con encabezados, al equipo de abuso de tu proveedor. | Alimenta los filtros antispam para bloquear campañas similares. |
| Cambiar la contraseña y activar MFA | Crea una contraseña única y activa la verificación en dos pasos. | Blindaje inmediato si la contraseña apareció en filtraciones pasadas. |
| Revisar actividad reciente | Comprueba sesiones, revoca tokens de aplicaciones poco fiables. | Permite detectar accesos efectivos (muy poco frecuentes). |
| Escanear dispositivos | Pasa Windows Defender o tu antivirus de confianza con bases actualizadas. | Descarta troyanos o keyloggers residuales. |
| Mantener software al día | Activa actualizaciones automáticas en Windows, macOS, iOS, Android y navegadores. | Cierra vulnerabilidades explotables en campañas futuras. |
| Implementar SPF, DKIM y DMARC | Si gestionas tu propio dominio, publica registros DNS con política “reject”. | Dificulta que terceros se hagan pasar por tu dirección. |
Recomendaciones adicionales de higiene digital
Usa administradores de contraseñas
Generan credenciales únicas, aleatorias y de longitud adecuada, minimizando la reutilización entre servicios. Un buen administrador facilita la adopción de MFA porque almacena códigos de recuperación y claves FIDO2/Passkeys.
Activa alertas de inicio de sesión
Outlook, Gmail y la mayoría de plataformas permiten notificaciones push o correo alternativo cuando detectan accesos desde ubicaciones nuevas. Configura estas notificaciones para reaccionar de inmediato ante actividad inusual.
Desconfía de direcciones de remitente visualmente similares
Los atacantes a menudo registran dominios con caracteres que, en tipografía estándar, se asemejan a letras latinas (homoglyph attacks). Por ejemplo, “microsоft.com” con una “о” cirílica. Observa el dominio con lupa cuando recibas mensajes alarmantes.
Protege tus redes sociales
Muchos chantajes se nutren de información pública de Instagram, Facebook o X para hacer la amenaza más creíble («sé con quién hablaste el 2 de junio»). Limita la visibilidad de fotos, listas de amigos y ubicación en tiempo real.
Qué hacer si ya pagaste o respondiste
Si transferiste criptomonedas:
- Recolecta el ID de transacción (TxID) y la dirección de destino. Guarda capturas de pantalla.
- Denuncia el hecho ante la unidad de delitos tecnológicos de tu país. Muchos cuerpos policiales colaboran con empresas de análisis blockchain para rastrear fondos.
- Advierte a tu entidad bancaria: aunque la transferencia fue en Litecoin, es posible que el estafador utilice una pasarela que desembarque en cuentas tradicionales.
Si respondiste al mensaje, los delincuentes saben que la casilla está “viva” y es probable que recibas nuevos correos. Configura reglas que muevan automáticamente futuros intentos a la carpeta de spam y refuerza filtros antiphishing.
Preguntas frecuentes
¿Cómo obtuvieron mi contraseña antigua en el asunto del correo?
Los atacantes compran bases de datos filtradas (LinkedIn 2016, Canva 2019, etc.). Incluyen tu contraseña antigua para generar sensación de credibilidad. No implica que la sigan teniendo válida.
El mensaje dice que insertaron un “pixel” que confirma cuando lo leo, ¿es cierto?
Algunas campañas añaden un archivo de 1×1 px alojado en un servidor que registra la apertura del correo. No les otorga acceso a tu equipo ni a tu webcam; simplemente confirma que tu cliente de e‑mail descarga imágenes.
¿Pueden publicarse deepfakes míos de todos modos?
La IA generativa permite fabricarlos sin hackearte, pero requiere tiempo e imágenes fuente. Pagar no evita que puedan crear un montaje ajeno a tu voluntad. Protege tus perfiles sociales y configura la privacidad.
Conclusión
Los correos de “sextorsión” enviados desde tu propia cuenta son campañas automatizadas que explotan debilidades históricas del protocolo SMTP y el miedo humano a la exposición. No existe ninguna evidencia técnica de que hayan instalado Pegasus ni accedido a tus dispositivos. La mejor defensa es mantener la calma, no pagar, denunciar el intento de fraude, fortalecer la seguridad de tu cuenta con contraseñas únicas y múltiple factor de autenticación, y mantener tu sistema siempre actualizado. Con estas prácticas, el chantajista pierde todo su poder de presión.