Continúa en aumento una modalidad de fraude digital conocida como “sextorsión por correo”, una estrategia de ciberextorsión que se vale del miedo y la desinformación para estafar a cientos de personas en todo el mundo. A través de correos electrónicos intimidatorios, los delincuentes afirman haber tomado el control de tu dispositivo, accedido a tus fotos privadas o grabado un video íntimo, exigiendo un pago en criptomonedas para no divulgar dicho material. 

Este tipo de estafa no es nueva, pero se ha vuelto más sofisticada y frecuente con el uso de bases de datos filtradas, inteligencia artificial para redactar mensajes más creíbles y métodos de presión psicológica. Su objetivo: obtener dinero fácil mediante chantaje y el miedo al escarnio público.


¿En qué consiste esta estafa?

Los estafadores envían un correo electrónico en tono amenazante donde aseguran haber infectado tu ordenador o smartphone con un virus espía (generalmente un troyano o keylogger) o utilizando la técnica de "email spoofing". En el mensaje, indican que han logrado:

  • Acceder a tus contraseñas.
  • Grabar tus conversaciones o capturas de pantalla mientras navegas.
  • Descargar fotos privadas o íntimas.
  • Hackear tus redes sociales y obtener la lista de tus contactos.

A cambio de no difundir este supuesto contenido comprometedor, te exigen el pago de una determinada cantidad de bitcoins en un plazo limitado (normalmente 24 a 48 horas). Algunos correos incluso incluyen contraseñas antiguas reales (obtenidas de filtraciones de datos previas) para parecer más creíbles.


Sextorsión por correo - Email Spoofing


¿Cómo obtienen tu correo y posibles datos reales?

Los ciberdelincuentes acceden a información personal mediante:

  • Filtraciones de datos masivas en plataformas como LinkedIn, Dropbox, Adobe, entre muchas otras.
  • Brechas de seguridad en sitios web mal protegidos.
  • Compra de bases de datos filtradas en foros de la dark web.
  • Recolección de correos desde sitios web públicos y redes sociales.

Con estas listas de correos, realizan campañas de envío masivo (spam) con mensajes genéricos que pueden llegar a decenas de miles de personas.


🔍 Puedes comprobar si tu email ha estado expuesto en filtraciones en sitios como:  

👉 https://haveibeenpwned.com


¿Qué aspecto tiene este tipo de correo?

Aunque pueden variar, estos correos suelen incluir elementos como:

  • Un saludo general (ej. "Hola, he hackeado tu equipo").
  • Referencia a tu dirección de email (y en ocasiones, contraseñas antiguas).
  • Descripción de supuestas actividades privadas grabadas con tu cámara web.
  • Monto exigido en bitcoin (normalmente entre 200 y 1000 USD).
  • Una dirección de wallet para el pago.
  • Amenazas con difundir el material si no pagas en 24-48 horas.


¿Es real la amenaza? ¿Me han hackeado de verdad?

En la gran mayoría de los casos, no existe ninguna grabación ni hackeo real. Se trata de un engaño psicológico basado en el miedo y la vergüenza, que aprovecha la posibilidad de que el destinatario haya accedido a contenido para adultos o tenido alguna actividad privada que prefiera mantener en secreto.

No obstante, si el correo incluye contraseñas que efectivamente usaste en el pasado, es muy probable que tu información haya estado involucrada en alguna filtración antigua. Eso no significa que tu dispositivo esté infectado ahora, pero sí debes cambiar tus claves cuanto antes.


¿Qué hacer si recibes un correo de sextorsión?

Sigue estos pasos recomendados por especialistas en ciberseguridad:


1. No respondas ni pagues  

Responder confirma que el correo está activo. Y pagar solo te convierte en objetivo para futuras estafas.


2. Cambia tus contraseñas  

Modifica inmediatamente tus claves, empezando por aquellas relacionadas con cuentas bancarias, correo electrónico y redes sociales.


3. Activa la verificación en dos pasos  

Esto añade una capa de seguridad en caso de que alguien obtenga tu contraseña.


4. Escanea tu dispositivo con un antivirus actualizado y limpiador de adware

Para asegurarte de que no haya software malicioso instalado. Aquí un artículo de cómo usar un limpiador de adware.


5. Reporta el correo a las autoridades  

En Perú, puedes reportar a:


En España puedes hacerlo en:


Cómo prevenir futuras estafas de este tipo

✅ Usa gestores de contraseñas y evita repetir claves entre servicios.  

✅ Mantén tus dispositivos actualizados con parches de seguridad.  

✅ No descargues archivos ni hagas clic en enlaces sospechosos.  

✅ Configura filtros de spam en tu correo electrónico.  

✅ Desconfía de cualquier mensaje que utilice tácticas de urgencia, miedo o chantaje.


¿Qué hacer si ya pagaste?

Si realizaste el pago, lamentablemente es muy difícil recuperar el dinero debido a la naturaleza anónima del bitcoin. Sin embargo:

  • Guarda el correo completo, con cabecera incluida.
  • Reúne cualquier evidencia de la transacción.
  • Presenta una denuncia formal ante la policía cibernética de tu país.

En algunos casos, las autoridades pueden rastrear patrones y conexiones que ayuden a ubicar grupos delictivos organizados.


Ejemplos de correos estafa

Ejemplo 1:

Dear tuusuario@dominiodetucorreo.com,

I regret to inform you that there has been a security breach involving the devices you use for internet browsing.

Several months ago, unauthorized access was gained to these devices, allowing me to monitor your internet activity. Recently, I managed to hack your email accounts, including your password: XXXXX.

Furthermore, a Trojan virus has been installed on all devices you use to access email. This was made possible due to your clicking on links from emails in your mailbox, which facilitated my penetration into your systems. Through this malicious software, I gained access to various features of your devices, such as the microphone, video camera, and keyboard. Additionally, I extracted and stored your personal information, data, photos, and web browsing history on my servers. Moreover, I gained access to your messengers, social networks, email, chat history, and contact list.

To remain undetected, my virus continuously updates its signatures, making it invisible to antivirus software.

During my investigation, I discovered that you frequently visit adult websites and view explicit content. I managed to record your intimate moments and create a montage showcasing them. If you doubt the authenticity of my claims, I can easily share these videos with your friends, colleagues, and relatives, or even make them publicly accessible.

I am convinced that it is in your best interest to prevent the disclosure of this information, given the potential consequences. Therefore, I propose the following solution: transfer $500 USD to my Bitcoin wallet (details provided below), based on the exchange rate at the time of the transaction. After the transfer is completed, all compromising information will be immediately deleted. After this, I will deactivate and remove the malicious software from your devices.

You can be assured that I will uphold my end of the agreement.

Bitcoin wallet: bc1qs07xt52kfdwerpwahxx8vvhjpk66uvyqt39ncn

You have 48 hours. As soon as you open this email, I will receive a notification, and from that moment on, the countdown begins.

If you've never dealt with cryptocurrencies before, it's quite simple. Just type "cryptocurrency exchange" into a search engine, and you're good to go.

Please refrain from the following actions:

  • Replying to this email, as it was created in your mailbox and contains the sender's address.
  • Contacting the police or other security services. Discussing this situation with friends may lead to immediate public disclosure of the videos.
  • Attempting to identify me. All cryptocurrency transactions are anonymous.
  • Reinstalling the operating system or disposing of devices, as the videos are already stored on remote servers.

You need not worry about the following:

  • Receiving your funds transfer. My malicious program continuously monitors your actions.
  • Disseminating your videos after the funds transfer is completed. I have no intention of complicating your life further.

Finally, I strongly advise you to avoid similar situations in the future. Regularly change all your passwords to enhance online security.


Ejemplo 2:

¡Saludos!

Tengo malas noticias para usted.

Desde hace aproximadamente unos meses tengo acceso a los dispositivos que utiliza para navegar por Internet.

Durante ese tiempo, he estado rastreando toda su actividad en la web.

Esta es la secuencia de acontecimientos:

Hace algún tiempo, compré el acceso a varias cuentas de correo electrónico a unos hackers (hoy en día es bastante fácil comprar esas cosas en Internet).

De esa forma, pude acceder fácilmente a su cuenta de correo electrónico (rxxxxl@xxxx.do).

Una semana después, ya había instalado un troyano en los sistemas operativos de todos los dispositivos que utiliza para acceder a su correo electrónico.

De hecho, no fue nada difícil (ya que usted pinchaba en los enlaces desde su bandeja de entrada).

Tan sencillo como ingenioso. =)

Este software me permite acceder a todos los controladores de sus dispositivos (por ejemplo, el micrófono, la cámara de vídeo y el teclado).

He descargado toda su información, datos, fotos e historial de navegación web en mis servidores.

Tengo acceso a todos tus messengers, redes sociales, correos electrónicos, historiales de chat y listas de contactos.

Mi virus actualiza continuamente las firmas (está basado en controladores), y por lo tanto permanece invisible para el antivirus.

Supongo que a estas alturas ya entenderá por qué he pasado desapercibido hasta este mensaje…

Al recopilar información sobre usted, he descubierto que es un gran aficionado a las páginas web para adultos.

Le encanta visitar páginas porno y ver vídeos excitantes mientras se da placer.

Pues he conseguido grabar varios de sus sucios numeritos y he montado unos cuantos vídeos suyos masturbándose y llegando al orgasmo.

Si no me cree, con solo unos clics puedo compartir todos los vídeos con sus amigos, colegas y familiares.

Tampoco tengo ningún problema en hacerlos públicos.

Supongo que no querrá que eso ocurra, teniendo en cuenta la naturaleza de los vídeos que le gusta ver, (sabe perfectamente a qué me refiero), ya que eso sería una auténtica catástrofe para usted.

Lo solucionaremos de la siguiente forma:

Me transfiere $750 USD (el equivalente en bitcoins según el tipo de cambio en el momento en que transfiera los fondos), y una vez recibida la transferencia, borraré todas sus cochinadas de inmediato.

Después, nos olvidaremos el uno del otro. También me comprometo a desactivar y eliminar todo el software dañino de sus dispositivos. Confíe en mí, cumpliré mi palabra.

Es un trato justo y el precio es bastante bajo, sobre todo teniendo en cuenta que ya hace tiempo que vigilo su perfil y su tráfico.

En caso de que no sepa cómo comprar y transferir bitcoins, puede averiguarlo en cualquier motor de búsqueda moderno.

Este es mi monedero de bitcoin: 18xxxxxxxxxxxxxxxxxxo9g

Tiene menos de 48 horas desde que abrió este correo electrónico (exactamente 2 días).

Cosas que debe evitar hacer:

  • No responda a este correo (he creado este correo electrónico dentro de su bandeja de entrada y he generado la dirección del remitente).
  • No intente contactar con la policía ni con otros servicios de seguridad. Además, no se le ocurra contárselo a sus amigos.

Si lo descubro (como puede ver, realmente no es tan difícil teniendo en cuenta que controlo todos sus sistemas), haré su vídeo público inmediatamente.

  • No intente localizarme, sería inútil. Todas las transacciones de criptodivisas son anónimas.
  • No intente reinstalar el sistema operativo en sus dispositivos ni se deshaga de ellos. Tampoco tendría sentido, ya que todos los vídeos están guardados en servidores remotos.

Cosas de las que no tiene que preocuparse:

  • Que yo no pueda recibir su transferencia de fondos.
    • No se preocupe, lo veré de inmediato una vez que complete la transferencia, ya que rastreo continuamente todas sus actividades (mi troyano tiene una función de control remoto, algo así como TeamViewer).
  • Que comparta sus vídeos aunque me haya hecho la transferencia de fondos.
    • Créame, no me interesa causarle más problemas. Si fuera esa mi intención, ¡habría empezado hace mucho tiempo!

¡Todo se hará de manera justa!

Una cosa más… Procure que no le pillen en situaciones similares en el futuro.

Mi consejo: ¡cambie todas sus contraseñas con frecuencia!


Conclusión

La estafa de “te hackeé y robé tus fotos” es un claro ejemplo de cómo los cibercriminales manipulan emociones humanas para obtener ganancias económicas. La mejor herramienta contra este tipo de amenazas es la educación digital, el escepticismo ante mensajes alarmistas y la adopción de medidas básicas de ciberseguridad.

Si recibes un correo de este tipo, no entres en pánico: no estás solo, no eres el único, y no debes pagar. Protege tus datos, actualiza tus contraseñas y repórtalo. ¡Recuerda que la prevención empieza por ti!

👉 ¿Te ha sido útil este artículo? Deja tu comentario. ¡No guardes el secreto! Compártelo con quienes puedan aprovecharlo y únete a mi comunidad en redes sociales para más contenidos especializados. ¡Tu apoyo es fundamental para seguir generando valor! 👇

Jorge Andres Amaya

Jorge Andres Amaya

Licenciado en Economía y maestría en Administración, con amplio dominio de diversas herramientas digitales y prompts.