Correos de phishing de Microsoft: 7 formas de detectarlos (edición 2026)

Cómo se ve un correo real de Microsoft

Antes de poder detectar uno falso, necesitas saber cómo se ve el real. Los correos genuinos de Microsoft comparten algunas características que han permanecido constantes durante años.

La dirección del remitente siempre proviene de un dominio propiedad de Microsoft. Los más comunes son @microsoft.com, @email.microsoft.com, @accountprotection.microsoft.com y @microsoftonline.com. Nunca un parecido con guion, nunca una versión .net o .xyz, nunca un subdominio que termine en otro lugar.

La tipografía es formal y consistente. Microsoft usa Segoe UI en todos sus productos. El espaciado es compacto, los logos son nítidos y el diseño no cambia entre párrafos. No hay urgencia exagerada, no hay líneas de asunto en mayúsculas y no hay temporizadores de cuenta regresiva.

Los correos de restablecimiento de contraseña solo llegan si realmente los solicitaste. Las alertas de seguridad te dirigen a iniciar sesión en la página de tu cuenta, no a hacer clic en un botón dentro del correo. Los archivos adjuntos para problemas de cuenta son prácticamente inexistentes. Microsoft no te enviará un archivo DOCX o HTML pidiéndote que lo abras para "verificar" algo.

Señal #1: El dominio del remitente es @outlook-support.com, no @microsoft.com

Esta es la verificación más rápida. Mira la dirección completa del remitente, no solo el nombre visible. El nombre visible puede decir cualquier cosa. Los atacantes escriben "Equipo de Cuentas Microsoft" en el campo De, pero la dirección de correo real está detrás y dice la verdad.

Trucos comunes que verás en 2026:

• outlook-support.com (el dominio real es outlook.com, sin guion)
• microsoft-security.net (el real usa .com, no .net)
• microsoft-teams.net o teams-microsoft.com
• office365-login.com, office-365.xyz
• accountprotection-microsoft.com (el real está al revés)
• no-reply@outlook.support (los nuevos TLD se abusan primero)

En Outlook de escritorio, haz clic en el nombre del remitente para expandir la dirección completa. En Gmail web, haz clic en la pequeña flecha debajo del remitente para abrir los encabezados completos. En móvil, mantén pulsado el nombre del remitente. Si el correo es de @microsoft-account-service.io o algo similar, elimínalo.

Señal #2: "Tu cuenta será bloqueada en 24 horas"

Microsoft no suspende cuentas en 24 horas mediante amenazas por correo. Las notificaciones de seguridad reales dicen más bien "detectamos un inicio de sesión desde una nueva ubicación, si no fuiste tú, asegura tu cuenta aquí." Las falsas dicen "ACCIÓN INMEDIATA REQUERIDA: tu suscripción a Microsoft 365 ha sido suspendida por actividad inusual. Verifica en 24 horas o se producirá el cierre permanente."

La urgencia es el truco más antiguo del phishing porque funciona. Un reloj que corre empuja a las personas a hacer clic antes de pensar. Cualquier correo de Microsoft que combine una fecha límite, una consecuencia aterradora y un gran botón azul apuntando a algún lugar fuera de microsoft.com es un phish hasta que se demuestre lo contrario.

Si te preocupa que una alerta pueda ser real, cierra el correo y ve directamente a account.microsoft.com. Escríbelo tú mismo en tu navegador. Inicia sesión. Cualquier evento de seguridad real estará esperando en la pestaña Seguridad. Si no hay nada, el correo era falso.

Señal #3: Restablecimiento de contraseña que nunca solicitaste

Si llega un correo de restablecimiento de contraseña y no hiciste clic en "olvidé mi contraseña", trátalo como hostil. Las dos explicaciones realistas son malas para ti. O alguien está intentando entrar en tu cuenta y se envió un código de restablecimiento real, o el correo es completamente falso y el enlace conduce a una trampa de credenciales.

De cualquier manera, no hagas clic en el enlace de restablecimiento del correo. Abre una nueva pestaña del navegador y ve a account.microsoft.com. Inicia sesión. Ve a Seguridad, luego a Actividad de inicio de sesión. Verás cada intento reciente, la dirección IP, el país y si tuvo éxito. Si ves intentos que no hiciste, cambia tu contraseña desde ese navegador confiable y activa la autenticación de dos factores si aún no está activada.

No introduzcas el código de restablecimiento de un correo sospechoso en ningún lugar. Los atacantes también envían mensajes de texto o llamadas de seguimiento fingiendo ser el soporte de Microsoft pidiendo ese código. Así es como ocurren las tomas de control de cuentas.

Señal #4: Archivos adjuntos en correos de "seguridad de cuenta"

Microsoft nunca envía archivos adjuntos para resolver problemas de cuenta. No un DOCX para "verificar tu cuenta". No un PDF para "revisar actividad reciente". No un archivo HTML para "confirmar identidad". No un ZIP con una factura para desbloquear Teams.

Los archivos adjuntos HTML son especialmente peligrosos. Los atacantes los envían porque los filtros de correo a menudo los dejan pasar, y cuando los abres, muestran una página de inicio de sesión falsa de Microsoft dentro de tu navegador. La barra de URL muestra una ruta de archivo local, lo que la hace parecer confiable. Todo lo que escribes se envía al servidor del atacante.

Si llega un correo con marca de Microsoft con cualquier archivo adjunto sobre tu cuenta, seguridad, inicio de sesión o suscripción, eso solo es suficiente para eliminarlo. Los únicos archivos adjuntos legítimos de Microsoft que verás alguna vez son facturas por servicios de pago, y aun así, la factura suele ser un enlace a tu página de facturación, no un archivo.

Señal #5: El HTML parece ligeramente incorrecto

Los atacantes roban plantillas de correo de Microsoft, pero rara vez obtienen cada detalle correctamente. Una vez que sabes qué buscar, un correo falso de Microsoft salta a la vista.

La pixelación del logo es una pista común. El logo de cuatro cuadros de Microsoft es vectorial en los correos reales, por lo que se mantiene nítido en cualquier tamaño. Los falsos a menudo usan una copia JPG que parece borrosa, especialmente en una pantalla retina o 4K. A veces los colores de los cuatro cuadros son ligeramente incorrectos, un rojo turbio en lugar del rojo propio de Microsoft.

Las fuentes son otra señal. Los correos reales de Microsoft usan Segoe UI con Arial como alternativa. Los falsos a veces codifican Times New Roman o Helvetica, que se ve mal junto a un logo de Microsoft. La alineación de los botones suele estar 2 o 3 píxeles descentrada. El botón de llamada a la acción está ligeramente demasiado a la izquierda o a la derecha. Los colores de gradiente en los botones son cercanos pero no idénticos al azul real de la marca.

Abre un correo genuino de Microsoft en otra pestaña y ponlos lado a lado. El falso se revela en segundos.

Señal #6: Los enlaces no apuntan a dominios de microsoft.com

Antes de hacer clic en cualquier enlace de un correo de Microsoft, pasa el cursor sobre él. En los clientes de correo de escritorio, el destino real aparece en la esquina inferior izquierda de la ventana del navegador o en una sugerencia emergente cerca del cursor. En móvil, mantén pulsado el enlace para ver una vista previa sin abrirlo.

Los enlaces reales de Microsoft terminan en un pequeño conjunto de dominios conocidos:

• login.microsoftonline.com
• login.live.com
• account.microsoft.com
• portal.office.com y portal.azure.com
• teams.microsoft.com, outlook.live.com, onedrive.live.com

Los falsos usan dominios casi pero no del todo correctos. microsoft-login-verify.com, office365-support.xyz, login-microsoft.online, teams-invite.app, microsoftonline-verify.com. Cualquier dominio que añada palabras como "verify", "support", "secure" o "confirm" alrededor de Microsoft casi siempre es hostil. El Microsoft real no necesita esas palabras, es dueño del nombre.

Si el enlace pasa por un acortador de URL como bit.ly, t.co o tinyurl, trátalo como inseguro independientemente de lo que diga el correo. Microsoft no acorta sus propios enlaces en comunicaciones oficiales. Para más información sobre esto, consulta cómo saber si un sitio web es una estafa.

Señal #7: Errores gramaticales y de traducción

No solo errores tipográficos. Los atacantes ejecutan campañas de phishing en muchos idiomas y traducen automáticamente las plantillas. Eso produce frases que se sienten ligeramente incorrectas. Los hablantes nativos lo notan de inmediato, aunque no siempre puedan explicar por qué.

Ejemplos que verás:

• "Por favor verificar su cuenta de inmediato."
• "Su cuenta de Microsoft teams ha sido limitada." (mayúsculas inconsistentes)
• "Hemos notado inusual intento de inicio de sesión en su cuenta."
• "Confirmar la información a continuación." (frases regionales)
• "De lo contrario su cuenta será bloqueada permanente."

Microsoft emplea redactores y revisa cada correo de cliente. Los correos reales son gramaticalmente limpios, consistentes en tono, y nunca usan frases como "por favor haga lo necesario" o "el incumplimiento resultará en". Si el correo parece traducido de otro idioma por software, lo fue.

Qué hacer si hiciste clic en el enlace

Hacer clic en el enlace por sí solo no es el fin del mundo. La mayoría de las páginas de phishing necesitan que ingreses credenciales antes de que se produzca un daño real. Cierra la pestaña de inmediato. No escribas nada en la página.

Ejecuta un análisis rápido de antivirus en tu máquina. Windows Defender está bien para esto, o tu herramienta de seguridad existente. Algunas páginas de phishing también intentan cargar JavaScript malicioso o enviar notificaciones del navegador de "haz clic para verificar". Consulta nuestra guía de protección ClickFix para el ataque de CAPTCHA falso que a menudo sigue al phishing de Microsoft.

Luego ve directamente a account.microsoft.com, inicia sesión y verifica la página de Actividad de inicio de sesión. Busca cualquier cosa que no reconozcas. Si todo parece normal, probablemente estés bien. Cambia tu contraseña de todos modos si no estás al 100 por ciento seguro de no haberla escrito en algún lugar. La tranquilidad vale cinco minutos.

Qué hacer si ingresaste tu contraseña

Actúa rápido. El atacante puede que ya esté dentro de tu cuenta. Este es el orden que importa:

1. Cambia tu contraseña desde un dispositivo confiable yendo directamente a account.microsoft.com. Usa una nueva contraseña que no hayas usado en ningún otro lugar.
2. Activa o restablece la autenticación multifactor. Si MFA ya está activada, restablécela en caso de que el atacante haya registrado su propio dispositivo.
3. Revoca todas las sesiones activas. En Seguridad, hay una opción "cerrar sesión en todos los dispositivos". Úsala. Esto expulsa al atacante incluso si robó un token de sesión.
4. Verifica las reglas de reenvío. Este es el paso que casi todos se pierden. Los atacantes añaden una regla de reenvío automático a tu Outlook para que cada nuevo correo también les llegue a ellos en silencio. Abre la configuración de Outlook, ve a Correo, luego a Reenvío, y elimina todo lo que no hayas configurado tú. También verifica las reglas de bandeja de entrada para cualquier regla que mueva mensajes a Elementos eliminados o RSS.
5. Revisa la actividad reciente de la cuenta para ver documentos descargados, correos enviados o métodos de pago añadidos.
6. Cambia la misma contraseña en cualquier otro lugar donde la hayas usado. Si tu contraseña de Microsoft era también tu contraseña bancaria, tu banco está en riesgo. Rota todo.

Si se hizo phishing de tu cuenta de trabajo, infórmalo a tu equipo de TI de inmediato. No esperes. Cuanto antes puedan deshabilitar las sesiones en todo el tenant, menos daño habrá.

Activar 2FA resistente a phishing en tu cuenta de Microsoft

No todos los métodos de dos factores son iguales contra el phishing. Esta es la clasificación para 2026:

1. Clave de seguridad (YubiKey, Google Titan, Feitian). Resistente a phishing por diseño. La clave verifica el dominio antes de iniciar sesión, por lo que una página falsa de microsoft-login.com no puede engañarla.
2. Microsoft Authenticator con coincidencia de números. Bueno. Escribes un número de la página de inicio de sesión en la app, lo que detiene la mayoría de los ataques de bombardeo de notificaciones.
3. Passkeys. Ahora compatibles con cuentas de Microsoft. Úsalos si te sientes cómodo con ellos.
4. Códigos SMS. Último recurso. Mejor que nada pero vulnerable a ataques de intercambio de SIM.

Configúralo en account.microsoft.com/security. Haz clic en Opciones de seguridad avanzadas, luego añade una clave de seguridad o una app de autenticación. Tarda unos 3 minutos y bloquea casi todos los intentos de phishing.