Si recibiste un e‑mail que dice “tu cuenta Microsoft ha sido hackeada con Pegasus” y exige criptomonedas, es una sextorsión masiva. Aquí te explico cómo actuar de inmediato, cómo verificar tu seguridad y cómo blindar Outlook/Hotmail y tu cuenta Microsoft sin caer en el pánico.
Qué está ocurriendo
En los últimos meses circula una campaña de extorsión por correo electrónico que se hace pasar por tu propia dirección (técnica conocida como spoofing) y afirma que han infectado tus dispositivos con el spyware “Pegasus”. Para presionarte, los estafadores aseguran poseer videos íntimos y amenazan con enviarlos a tus contactos si no pagas en criptomonedas —habitualmente Litecoin— en menos de 48 horas. Para aumentar el miedo, introducen frases grandilocuentes (“soy un dios que todo lo ve”, “puedo controlarlo todo en tu PC y tu móvil”) y advierten que “no pidas ayuda” o “serás denunciado”.
La realidad: es una campaña industrial de sextorsión. No hay pruebas de que posean tu contenido ni de que hayan accedido a tu bandeja de entrada. Aprovechan técnicas de suplantación y direcciones filtradas en antiguas brechas de datos para dar apariencia de verosimilitud. Mencionan “Pegasus” por su fama, no porque lo usen realmente.
Resumen del problema
- El remitente parece ser tu propia dirección (o una muy similar), pero esto no significa que tu buzón haya sido comprometido.
- El mensaje exige pago en criptomonedas bajo plazo breve y con tono intimidatorio.
- Incluye amenazas de revelar supuestos videos o información privada.
- Se trata de una campaña automatizada, no de un ataque personalizado.
Solución y buenas prácticas recomendadas
| Paso | Objetivo | Detalle práctico |
|---|---|---|
| No pagar ni responder | Cortar la extorsión | El correo es parte de una campaña masiva de “sextorsión”; no existe evidencia de que realmente posean imágenes o acceso. |
| Marcar como phishing | Ayudar a filtros antispam | En Outlook/Hotmail usa Junk ▶ Phishing ▶ Report; en otros clientes, etiqueta como spam. |
| Analizar dispositivos | Descartar malware real | Ejecuta un análisis completo con Windows Defender o tu antivirus en PC y móviles. Actualiza definiciones. |
| Revisar actividad de cuenta Microsoft | Detectar accesos indebidos | Ve a account.microsoft.com ▶ Seguridad ▶ Actividad reciente. Si ves algo extraño, márcalo como “Este no fui yo”. |
| Cambiar contraseña y activar MFA | Impedir accesos futuros | Usa una contraseña robusta y habilita verificación en dos pasos (código SMS, app Authenticator, FIDO2…). |
| Eliminar dispositivos confiables | Revocar sesiones sospechosas | Desde Opciones de seguridad avanzadas quita los dispositivos que no reconozcas. |
| Mantener software y navegador actualizados | Reducir vulnerabilidades | Incluye extensiones de protección contra seguimiento y bloqueadores de scripts maliciosos. |
| Denunciar si lo deseas | Acción legal/datos para autoridades | Guarda copia del e‑mail con encabezados completos y presenta denuncia ante la policía (ciber‑delitos) o el CERT de tu país. |
Por qué es casi seguro que es un engaño
- Remitente “desde tu propia cuenta”. Es típico del spoofing: cualquiera puede falsificar el campo
From:si el dominio del receptor no aplica políticas estrictas (SPF, DKIM, DMARC). Esto no demuestra que hayan entrado a tu buzón. - Pago en criptomonedas con urgencia. Los cibercriminales usan plazos artificiales para evitar que te asesores. La urgencia es parte del guion psicológico de la estafa.
- Afirmaciones técnicas vagas. Dicen tener tu cámara, tus contactos o el control total del sistema, pero no aportan pruebas verificables (por ejemplo, un detalle que solo tú conozcas).
- Mención a “Pegasus”. El spyware Pegasus existe, pero es de uso dirigido contra figuras de alto perfil y no aparece en campañas masivas de correo. Lo mencionan solo para intimidar.
Cómo reconocer señales en el propio mensaje
| Señal | Qué significa en la práctica | Acción recomendada |
|---|---|---|
| Falsificación del remitente (tu e‑mail aparece como emisor) | El mensaje podría haber pasado filtros laxos; no implica intrusión real | No respondas; marca como phishing y continúa con el checklist de seguridad |
| Exigencia de pago en Litecoin o similar | Patrón clásico de sextorsión automatizada | No pagues; ningún pago garantiza que detengan el acoso |
| Plazo de 24–48 horas y amenazas | Tácticas de miedo para forzar errores | Tómate el tiempo de verificar; sigue los pasos de protección |
| Ergonomía pobre, traducciones raras | Uso de traducción automática y plantillas reutilizadas | Otro indicador de campaña masiva y no ataque dirigido |
Guía paso a paso para protegerte
No pagues ni contestes
Contestar confirma que la dirección está activa; pagar solo financia futuras campañas. Ignora y registra evidencias (cabeceras, captura de pantalla) por si decides denunciar.
Reporta el mensaje como phishing
- Outlook.com / Hotmail: abre el mensaje ▶ Junk ▶ Phishing ▶ Report.
- Outlook para Windows: selecciona el correo ▶ pestaña Inicio ▶ Correo no deseado ▶ Phishing.
- Outlook para Mac: clic derecho en el mensaje ▶ Correo no deseado ▶ Marcar como phishing.
- Clientes móviles: busca la opción “Reportar phishing” o “Marcar como spam”.
Este reporte alimenta los sistemas antispam y puede ayudar a frenar la campaña para otros usuarios.
Analiza tus dispositivos
Aunque la amenaza es casi siempre falsa, conviene descartar infecciones reales:
- Windows 10/11 con Seguridad de Windows (Defender): Inicio ▶ Seguridad de Windows ▶ Protección contra virus y amenazas ▶ Opciones de examen ▶ Examen completo. Repite y ejecuta un Examen sin conexión de Microsoft Defender si deseas una verificación más profunda.
- macOS: actualiza macOS y tu antivirus de confianza; ejecuta un análisis completo.
- Android: revisa Play Protect y realiza un escaneo con tu solución antimalware si la tienes instalada. Evita instalar APK de fuentes desconocidas.
- iOS/iPadOS: mantén el sistema actualizado. iOS no permite AV tradicionales; enfócate en actualizar y revisar permisos de apps.
Revisa la actividad de tu cuenta Microsoft
- Entra manualmente en tu navegador a account.microsoft.com (no uses enlaces del e‑mail recibido).
- Accede a Seguridad ▶ Actividad reciente.
- Revisa inicios de sesión por fecha, ubicación y dispositivo. Si ves algo que no reconoces, marca “Este no fui yo” y sigue las indicaciones.
Si detectas actividad sospechosa, además de cambiar la contraseña, revisa alias de correo, reenvíos automáticos y reglas de bandeja de entrada en Outlook/Hotmail (Configuración ▶ Correo ▶ Reglas) por si alguien creó reglas para ocultarte mensajes.
Cambia tu contraseña y activa la verificación en dos pasos
- Contraseña: crea una passphrase larga (12–16+ caracteres) con varias palabras y símbolos fáciles de recordar pero difíciles de adivinar. Evita reutilizarla en otros sitios.
- Autenticación multifactor (MFA): en Opciones de seguridad avanzadas activa la verificación en dos pasos. El método más práctico es la app Microsoft Authenticator; si puedes, añade una llave física FIDO2 como factor adicional.
- Códigos de recuperación: genera y guarda códigos de un solo uso en lugar seguro; te servirán si pierdes el móvil.
Revoca dispositivos y sesiones confiables
- Desde Opciones de seguridad avanzadas revisa la lista de dispositivos y sesiones.
- Elimina cualquier dispositivo que no reconozcas o ya no uses.
- Usa la opción Cerrar sesión en todos los dispositivos si sospechas de accesos indebidos, y vuelve a iniciar sesión con tu nueva contraseña y MFA.
Conserva evidencias y denuncia si lo crees conveniente
Guarda el mensaje original con encabezados completos. Evita reenviarlo “tal cual” (puedes borrar metadatos); en lo posible, exporta el e‑mail como archivo .eml o .msg y adjúntalo a tu denuncia. Contacta a la unidad de delitos informáticos de tu policía local o al CERT/CSIRT de tu país. No es obligatorio denunciar, pero aporta estadísticas y puede ayudar a otras víctimas.
Cómo ver los encabezados completos del e‑mail
Los encabezados ayudan a confirmar el spoofing. En ellos puedes encontrar líneas como Received-SPF: fail o Authentication-Results: dmarc=fail, que indican que el mensaje no superó las comprobaciones del dominio legítimo.
- Outlook.com / Hotmail: abre el correo ▶ … (más acciones) ▶ Ver origen del mensaje.
- Outlook para Windows: abre el correo ▶ Archivo ▶ Propiedades ▶ Encabezados de Internet.
- Outlook para Mac: selecciona el mensaje ▶ Ver ▶ Ver origen o Ver encabezados completos (según versión).
Ejemplo de señales en encabezados
From: <tu-direccion@ejemplo.com> Return-Path: <estafador@dominio-aleatorio.xyz> Received-SPF: fail (dominio-aleatorio.xyz: domain of estafador@dominio-aleatorio.xyz does not designate ...) Authentication-Results: dkim=none; dmarc=fail
Estas marcas no siempre aparecen, pero cuando lo hacen son pistas claras de falsificación del remitente.
Mitos y realidades sobre “Pegasus” en estas estafas
- Realidad: Pegasus es un spyware de alto coste usado en ataques dirigidos contra objetivos de alto perfil. No se distribuye en cadenas de spam.
- Mito: “Si el e‑mail llega desde mi propia dirección, mi cuenta está hackeada”. En la mayoría de casos es solo spoofing.
- Realidad: Si tu e‑mail apareció en filtraciones anteriores, los estafadores pueden conocerlo e incluso incluir alguna contraseña vieja ya expuesta para darle credibilidad al chantaje. Eso no significa que te hayan comprometido hoy.
Prevención avanzada y endurecimiento de la cuenta
Buenas prácticas personales
- Separación de identidades: usa una dirección pública para registros y boletines, y otra privada para asuntos personales y sensibles.
- Gestor de contraseñas: genera y almacena contraseñas únicas y robustas. Evita reutilizarlas entre servicios.
- Navegación más segura: mantén el navegador al día y considera extensiones contra rastreo y bloqueadores de scripts maliciosos.
- Actualizaciones: sistema operativo, navegador y aplicaciones siempre al día; actívalas en automático cuando sea posible.
Para administradores y usuarios avanzados
- SPF, DKIM y DMARC: configura registros correctos para tu dominio de correo. Un ejemplo de SPF estricto puede ser: v=spf1 include:spf.protection.outlook.com -all Ajusta a tu infraestructura; un
-allreduce el spoofing, pero requiere que tus remitentes legítimos estén bien declarados. - Política DMARC: comienza con
p=nonepara monitoreo, avanza ap=quarantiney luego ap=rejectcuando estés seguro. Incluyerua=para recibir reportes. - Bloqueo de adjuntos peligrosos: aplica reglas para bloquear ejecutables y macros no firmadas.
- Educación continua: sesiones breves de concienciación sobre phishing y manejo de incidentes.
Qué hacer si ya pagaste o enviaste datos
- Interrumpe el contacto: no entres en negociaciones. Pagar no garantiza nada; al contrario, te señala como objetivo.
- Refuerza tu seguridad: cambia contraseñas, activa MFA, revoca sesiones, revisa reglas de reenvío ocultas.
- Consulta a tu banco o exchange: aunque no es usual recuperar cripto, reportar puede ayudar a investigaciones.
- Guarda todo: conserva correos, recibos y direcciones de cartera usadas por el estafador.
Preguntas frecuentes
¿Cómo sé si realmente entraron a mi cuenta?
Revisa la sección Actividad reciente en tu cuenta Microsoft. Busca inicios de sesión de lugares o dispositivos que no reconozcas. Verifica también reglas de reenvío y filtros extraños en Outlook/Hotmail.
¿Pueden tener mis contactos?
Si solo se trata de spoofing, no. Si alguien entró a tu cuenta, podría ver tus contactos; por eso es clave cambiar la contraseña, activar MFA y revisar actividad.
¿Basta con marcar como spam y listo?
Marcar ayuda, pero completa el checklist: análisis antimalware, cambio de contraseña y revisión de actividad. Es rápido y te deja más tranquilo.
¿Es peligroso abrir el e‑mail?
Abrir el mensaje en sí no suele infectar, pero no descargues adjuntos ni hagas clic en enlaces. Si lo hiciste, ejecuta un escaneo completo.
¿Por qué “vieron” mi cámara?
Es un truco. Sin una prueba verificable (por ejemplo, una captura con marca de tiempo que solo tú conoces) no creas esas afirmaciones.
Checklist rápida
- No pagues, no respondas.
- Reporta como phishing en tu cliente de correo.
- Analiza PC y móvil con herramientas de seguridad actualizadas.
- Entra manualmente a account.microsoft.com y revisa la Actividad reciente.
- Cambia contraseña y activa MFA (Authenticator / FIDO2).
- Revoca dispositivos sospechosos y cierra sesiones.
- Opcional: guarda encabezados completos y denuncia.
Información complementaria clave
- Pegasus real es un spyware usado en ataques dirigidos a figuras de alto perfil, no en campañas masivas. Su mención en estos correos es solo para intimidar.
- Spoofing del remitente no implica que tu buzón haya sido vulnerado; cualquiera puede forjar la cabecera
From. - Si tu dirección apareció en filtraciones anteriores (servicios como “Have I Been Pwned” o similares), los estafadores la usan para dar verosimilitud al chantaje.
- Añade una capa extra: configura DMARC, DKIM, SPF si gestionas un dominio, usa gestores de contraseñas y considera separar correos personales y públicos.
Conclusión
Estos correos de “Mi cuenta Microsoft ha sido hackeada con Pegasus” son fraudes diseñados para crear pánico y obtener dinero rápido. La defensa efectiva consiste en ignorar la extorsión, reforzar la seguridad (contraseña fuerte, MFA, sesiones revocadas) y reportar el mensaje para ayudar a mejorar los filtros. Al seguir los pasos de esta guía, podrás confirmar con rigor si hubo acceso real —lo cual rara vez ocurre en estas campañas— y dejar tu cuenta Microsoft y Outlook/Hotmail en un estado mucho más robusto que antes.
Glosario breve
- Sextorsión: chantaje que usa supuestos contenidos íntimos para exigir pagos.
- Spoofing: suplantación del remitente; el atacante falsifica el campo
From. - SPF / DKIM / DMARC: tecnologías que ayudan a validar el origen de los correos y a bloquear suplantaciones.
- MFA: autenticación en dos o más factores que añade una barrera extra además de la contraseña.
Consejo final de seguridad: convierte este incidente en una oportunidad para elevar tu nivel de higiene digital. Activa MFA en todos tus servicios críticos, elimina contraseñas antiguas y revisa qué información personal publicas en redes. Este mantenimiento preventivo reduce drásticamente el impacto de cualquier campaña similar en el futuro.