En los últimos tiempos, los ciberdelincuentes han aumentado sus ataques a cuentas de Hotmail y Outlook utilizando una táctica que provoca la creación de miles de correos electrónicos fraudulentos en la carpeta de borradores. Esta acción evita activar las medidas antispam, ya que su objetivo es que la víctima pague un «rescate» para detener el envío de estos correos. Los atacantes logran el acceso a través de un enlace que la víctima clickea, robando sus cookies de sesión, pero también pueden obtener bases de datos de contraseñas tras haber infectado el dispositivo con un infostealer. Si deseas saber cómo eliminar al ciberdelincuente de tu cuenta y proteger adecuadamente tu cuenta de Hotmail o Outlook, aquí te damos todos los detalles.
Si tu cuenta de Outlook o Hotmail ha sido comprometida, es crucial que tomes medidas para expulsar al atacante primero y resolver el problema de los cientos de correos en borradores que recibes cada minuto.
Hackeo de la cuenta de Outlook o Hotmail
El ciberdelincuente en esta amenaza no actúa con sigilo; su intención es que te des cuenta de que tu cuenta ha sido hackeada. En la bandeja de entrada de tu cuenta de Hotmail u Outlook, verás cientos de emails en borrador, marcados como prioritarios y fijados con chincheta. Recibirás decenas de mensajes cada minuto, así que es normal que, tras unos días, encuentres miles de correos en borradores que tú no has enviado.
El contenido de estos correos indica que has sido hackeado, incluyendo la contraseña de tu cuenta (si fue robada mediante un infostealer y no tenías activada la autenticación en dos factores), así como una dirección de su wallet de Bitcoin para solicitar un pago.
El principal objetivo del atacante es extorsionarte y obtener un pago en Bitcoin, ya que es más difícil de rastrear. Nunca debes pagar el rescate: este no asegura que cesen los ataques y te convierte en blanco de futuros chantajes. Organismos como la Policía Nacional y el INCIBE aconsejan denunciar y no ceder ante el chantaje.
Al ver este correo electrónico, que no contiene enlaces maliciosos, puedes ir a la sección de «Seguridad» de Hotmail y hacer clic en «Ver ubicaciones de conexión» para verificar que se ha iniciado sesión desde países donde no te encuentras. En nuestro caso personal, el primer inicio de sesión fue en India, seguido de Marruecos, Alemania, Irlanda y otros países, todos con accesos válidos.
Está claro que hemos sido hackeados; el ciberdelincuente también ha creado reglas y configuraciones para tener acceso total a tu cuenta, especialmente a los correos que recibes. Si accedes a la cuenta de Hotmail y vas a «Configuración / Correo / Reglas», podrás observar varias reglas que permiten reenviar los correos a sus cuentas, lo que les permite recibir todos tus emails entrantes.
Si accedes a la herramienta de «To do» de Microsoft, también podrás ver que el mismo mensaje está replicado aquí debido a la configuración predeterminada de los emails prioritarios, de modo que también aparecerán en esta sección. El objetivo es que te des cuenta de que has sido hackeado y que pagues.
Considerando todo esto, a continuación te mostramos todos los pasos que debes seguir para expulsar al ciberdelincuente y «parar» la llegada de miles de emails cada hora como «Borradores».
Cómo expulsar al hacker y dejar de recibir los emails en borrador
Es crucial que sigas estas recomendaciones en el orden indicado. Aunque es probable que el ciberdelincuente no esté vigilando tu cuenta (ya que ha automatizado todo), podría recibir notificaciones si realizas cambios en la cuenta. Por lo tanto, es esencial seguir los pasos en secuencia.
Pasos para recuperar tu cuenta de Outlook/Hotmail hackeada
| Paso | Acción | Ubicación en Microsoft | Completado |
|---|---|---|---|
| 1 | Cambiar contraseña (mín. 15 caracteres, única) | Seguridad > Cambiar contraseña | ☐ |
| 2 | Activar autenticación en dos pasos (App Authenticator) | Seguridad > Verificación en dos pasos | ☐ |
| 3 | Cerrar todas las sesiones activas | Seguridad > Cerrar todas las sesiones | ☐ |
| 4 | Revocar acceso de aplicaciones (API) | Privacidad > Acceso a aplicaciones | ☐ |
| 5 | Eliminar dispositivos desconocidos | Dispositivos > Quitar dispositivo | ☐ |
| 6 | Borrar reglas de correo maliciosas | Configuración > Correo > Reglas | ☐ |
| 7 | Desactivar reenvío y POP/IMAP | Configuración > Correo > Reenvío e IMAP | ☐ |
| 8 | Esperar hasta 24 horas para que surtan efecto | – | ☐ |
Menú de seguridad: Cambiar contraseña y cerrar sesión en todos los sitios
En la sección de «Seguridad» lo primero que debes hacer es cambiar la contraseña de acceso. La nueva contraseña debe ser única, de al menos 15 caracteres y generada aleatoriamente. Es recomendable utilizar un gestor de contraseñas, el cual generalmente incluye un generador de claves. Una vez que cambies la contraseña, es vital que actives la autenticación en dos pasos. Te sugerimos configurar un código de aplicación de autenticación; puedes usar aplicaciones como Google Authenticator, Microsoft Authenticator o incluso Bitwarden, que también ofrece esta funcionalidad.
Microsoft permite varios métodos de autenticación en dos pasos, a continuación te mostramos una breve comparativa de ellos:
Comparativa de métodos de autenticación en dos pasos para Microsoft
| Método | Seguridad | Facilidad de uso | Recomendación |
|---|---|---|---|
| App Authenticator (Microsoft/Google/Bitwarden) | Alta | Media | Muy recomendado |
| SMS (código por mensaje) | Media (vulnerable a SIM swapping) | Alta | Aceptable |
| Claves de seguridad (FIDO2) | Muy Alta | Media | Máxima seguridad |
Una vez que hayas cambiado la clave y habilitado la autenticación en dos pasos, todas las sesiones abiertas deberían cerrarse automáticamente para cumplir con la nueva política de seguridad. Sin embargo, también es recomendable que realices otros ajustes:
- Eliminar contraseñas de aplicaciones existentes: haz clic en esta opción para eliminar todas las contraseñas de aplicaciones si tenías autenticación en dos pasos activada anteriormente.
- Cerrar todas las sesiones: esta opción forzará el cierre de todas las sesiones abiertas. Este proceso puede durar hasta 24 horas según Microsoft, así que ten paciencia. Lo importante es que este proceso se inicia y la cuenta atrás para expulsar al ciberdelincuente comienza.
Finalmente, selecciona la opción de «Restablecer Windows Hello en todos los dispositivos Windows».
Como puedes ver, ya has cambiado la contraseña, activado la autenticación en dos pasos y cerrado sesión, pero aún no has terminado, ya que el ciberdelincuente ha hecho más configuraciones.
Menú de Privacidad: Revocar accesos a aplicaciones (API)
En el menú de «Privacidad», dirígete a la sección de «Acceso a aplicaciones». Aquí podrás ver todas las aplicaciones que tienen conexión a tu cuenta de Microsoft. Nuestra recomendación es que hagas clic en «No permitir» en todas ellas, sin excepción. Luego tendrás que volver a autenticarte en cada una de las aplicaciones legítimas, pero si no estás seguro de qué aplicaciones son, simplemente elimina todas haciendo clic en «No permitir».
En este punto, estarás impidiendo que el ciberdelincuente acceda a tu cuenta de Microsoft mediante la API, pero todavía no hemos terminado.
Dispositivos: Elimina todos los dispositivos de tu cuenta
En el menú de «Dispositivos», podrás ver todos los dispositivos de Windows vinculados a tu cuenta. Si no reconoces algún dispositivo, haz clic en «Quitar dispositivo» para evitar problemas.
Nuestra recomendación es que mantengas la cuenta de Microsoft completamente «limpia», eliminando todos los dispositivos. Luego podrás ir iniciando sesión en cada uno de ellos uno por uno.
Correo: Elimina las reglas, el reenvío de email y el IMAP
En la sección de «Configuración» del correo electrónico, deberás realizar ajustes muy importantes:
- Correo / Reglas: aquí tendrás que borrar todas las reglas que el ciberdelincuente creó. Si no recuerdas haber creado ninguna regla, elimínalas todas hasta dejar vacío el listado.
- Correo / Reenvío e IMAP: verifica que no tengas ningún reenvío de correo a la dirección del ciberdelincuente. Si no recuerdas haber configurado un reenvío, desactiva esta opción. También debes deshabilitar el protocolo POP e IMAP. Si no utilizas POP/IMAP, manténlo siempre desactivado; si lo usas, desactívalo temporalmente hasta que la cuenta se haya «normalizado».
En este momento, tu cuenta debería estar «limpia» y el ciberdelincuente fuera.
Esperar 24 horas
El último paso es fundamental: debes esperar alrededor de 24 horas para dejar de recibir los correos electrónicos en borrador. Por alguna razón, Microsoft tarda hasta 24 horas en aplicar estos cambios de manera global, por lo que continuarás recibiendo miles de emails por hora. En nuestro caso personal, tomó 13 horas para que todos los cambios se aplicaran y para dejar de recibir esos correos en borrador.
Si revisas los últimos inicios de sesión en tu cuenta de Microsoft, podrás comprobar que todo está en orden:
Después de esperar este tiempo, estarás listo para usar tu cuenta de Microsoft con total normalidad.
Crear una regla para eliminar todos los emails masivamente
El ciberdelincuente se encargó de inundar tu cuenta con miles de correos en borrador, por lo que debes eliminarlos. Lo más efectivo es crear una regla en Hotmail que se ocupe de esto. Los pasos son:
- Dirígete a «Configuración / Correo / Reglas» y crea una nueva regla.
- En la regla selecciona «incluye palabras en el asunto» y escribe el mensaje que aparece en dicho asunto.
- Selecciona que se eliminen todos los mensajes.
- Elige aplicar la regla solo a la bandeja de entrada.
Ahora podrás observar el proceso de eliminación, que puede tardar desde varios minutos hasta horas, dependiendo de cuántos correos tengas:
Después, dirígete a «Papelera» y elimínalos todos de manera definitiva; este proceso también tomará unos minutos.
Conclusiones
Los ciberdelincuentes siempre intentarán robar nuestro dinero, ya sea a través de un robo directo o chantajes, por lo que es esencial proteger nuestras cuentas de manera adecuada. En el caso de Hotmail o Outlook, es crucial seguir los pasos que hemos detallado en orden, con el fin de expulsar al ciberdelincuente y evitar que vuelva a acceder a nuestra cuenta. Una vez que la cuenta de Microsoft esté completamente «limpia», podrás usarla con normalidad y volver a iniciar sesión en todos los sitios sin inconvenientes.
Es vital que, además de cambiar la contraseña y activar la autenticación en dos pasos, elimines las reglas creadas por el atacante, así como los accesos a la API de Microsoft, para detener la recepción de miles de emails en borrador cada hora. Recuerda que, después de realizar todos los cambios, es muy importante esperar hasta 24 horas para que Microsoft aplique los ajustes. En nuestra opinión, la necesidad de esperar hasta 24 horas para que se implementen estos cambios críticos es lamentable, ya que debería ser algo que se realice en tiempo real.
Preguntas frecuentes
¿Por qué recibo miles de emails en borradores si no los he enviado?
Los ciberdelincuentes generan estos correos de manera masiva en tu bandeja de entrada como «borradores» para evadir los filtros antispam. Su objetivo es ejercer presión psicológica para que pagues un rescate, ya que la saturación de mensajes hace evidente el hackeo.
¿Cuánto tiempo tarda Microsoft en aplicar los cambios de seguridad?
Microsoft indica que el proceso puede tardar hasta 24 horas en aplicarse globalmente. En casos documentados, los cambios se han implementado en aproximadamente 13 horas, pero debes tener paciencia durante este tiempo.
¿Debo pagar el rescate que piden los hackers?
No, nunca debes pagar el rescate. Pagar no asegura que los ciberdelincuentes dejen de atacarte. Sigue los pasos de esta guía para recuperar el control de tu cuenta de forma definitiva.
¿Qué información sensible puede haber accedido el hacker?
Dependiendo del tiempo que tuvo acceso, el hacker podría haber leído correos personales, accedido a servicios vinculados a tu cuenta de Microsoft (OneDrive, Xbox, etc.) y obtenido información para robo de identidad. Revisa tus cuentas bancarias y cambia contraseñas de servicios importantes.
¿Qué hago si ya pagué el rescate?
Si ya pagaste, denúncialo ante la Policía Nacional o Guardia Civil. Cambia inmediatamente todas las credenciales y activa la autenticación en dos pasos. Monitorea tus cuentas financieras por si intentan realizar nuevos cargos. El pago no garantiza que dejen de extorsionarte.
