Un nuevo ataque de phishing ha circulado recientemente al imitar un correo falso de alerta en Outlook, con el objetivo de engañar a las personas para obtener acceso no autorizado a sus credenciales.

Este ataque, alertado por Microsoft, también busca llegar hasta usuarios corporativos que usan la plataforma de correo, por lo que el riesgo es aún más grande.

El fraude consiste en el envío masivo de un email que emula con notable precisión la estética y lenguaje visual propios de Microsoft Outlook, buscando así engañar al destinatario y suplantar la identidad de la compañía.

El mensaje suele llegar desde cuentas con dominio Hotmail y utiliza como asunto la palabra “ASESOR”, lo que contribuye a llamar la atención y darle un aparente cariz profesional.

En el cuerpo del correo se expone una advertencia urgente que informa al usuario de la necesidad de “regularizar el estado de la cuenta”, advirtiendo sobre un supuesto riesgo inminente de bloqueo si no se realiza un procedimiento de verificación.

El texto solicita que el usuario haga clic en un enlace dispuesto en el correo para activar ese proceso, e incluso, para dar más credibilidad al mensaje, se agrega la dirección real de la sede de Microsoft en Redmond, Estados Unidos.

Este cuidado en la imitación no resulta casual. La estética casi idéntica al formato original, la inclusión de detalles aparentemente legítimos y la construcción de un ambiente de urgencia buscan generar miedo y convencer al destinatario de que la autenticidad del correo no tiene lugar a dudas.

El principal objetivo de este tipo de ataque es obtener las credenciales de acceso a la cuenta de Outlook del destinatario. Al recolectar estos datos, los atacantes pueden ingresar a bandejas personales y corporativas, acceder a información sensible, realizar fraudes, suplantar identidades y, en casos más graves, intentar propagar nuevas campañas desde la cuenta comprometida a la red de contactos.

Estas campañas representan una seria amenaza tanto para usuarios individuales como para organizaciones. Los ciberdelincuentes no solo buscan contraseñas, sino que acceden a datos bancarios, documentos personales, mensajes privados y hasta información interna de empresas. El impacto puede extenderse al ámbito laboral, afectando operaciones y reputación de organizaciones si una cuenta corporativa resulta vulnerada.

Aunque la sofisticación de estos correos ha avanzado considerablemente, existen pistas claras que permiten identificar su naturaleza fraudulenta. La recomendación es prestar atención a los siguientes indicadores:

• Asunto alarmante: utiliza frases que buscan presionar al destinatario para que actúe sin dilación, como advertencias de suspensión o bloqueos inminentes.
• Enlaces sospechosos: antes de hacer clic, es fundamental inspeccionar la URL a la que lleva. Solo las direcciones que finalizan en el dominio “microsoft.com” o en extensiones oficiales de la compañía deben considerarse de confianza.
• Errores de redacción: las faltas de ortografía, el uso incorrecto de mayúsculas o frases mal estructuradas constituyen señales habituales de mensajes fraudulentos.
• Solicitudes de credenciales: Microsoft nunca solicita contraseñas ni información confidencial por medio de correos electrónicos.

Estos signos revelan la verdadera naturaleza del mensaje y permiten a los usuarios sospechar que se trata de un intento de fraude. No obstante, el nivel de detalle y la apariencia profesional de los correos han hecho que muchas personas continúen cayendo en la trampa.

La principal recomendación consiste en evitar cualquier interacción con el enlace provisto en el correo, así como no descargar archivos adjuntos ni responder al remitente. Ante la sospecha de haber recibido un mensaje de estas características, los pasos aconsejables son:

• No hacer clic en los enlaces: ignorar completamente cualquier llamado a la acción que invite a verificar cuentas o compartir información personal.
• No abrir archivos adjuntos: pueden contener software malicioso diseñado para comprometer el dispositivo de la víctima.
• Cambiar contraseñas de inmediato: si se ha ingresado en la página fraudulenta o se sospecha de una filtración, modificar la contraseña de todas las cuentas y activar la autenticación en dos pasos ofrece una barrera adicional de seguridad.
• Marcar el correo como spam: reportar el mensaje como correo no deseado ayuda a los sistemas de filtrado a bloquear futuros intentos.
• Acceder directamente a Outlook desde el navegador oficial: ingresar manualmente la dirección “outlook.com” en el navegador para verificar el estado real de la cuenta, en lugar de seguir enlaces recibidos por correo.