Cómo saber si un mensaje de correo electrónico relacionado con la seguridad de Microsoft es genuino
Cuando Microsoft publica información acerca de una actualización de software o de un incidente de seguridad, también envía mensajes de correo electrónico a los suscriptores de los servicios de notificación de seguridad por correo electrónico.
Lamentablemente existen personas malintencionadas que pueden enviar (y de hecho han enviado) notificaciones falsas por correo electrónico que aparentan proceder de Microsoft. Esta táctica se denomina “suplantación”. Algunos de estos mensajes falsos atraen a los destinatarios a sitios Web para descargar código malintencionado, mientras que otros incluyen un archivo adjunto que contiene un virus.
Cómo verificar la legitimidad de una notificación de seguridad
Si no se ha suscrito para recibir comunicaciones de seguridad de Microsoft y recibe un mensaje inesperado acerca de una actualización de seguridad, debe tratar el mensaje con mucha precaución. Si tiene dudas, elimine el mensaje y busque inmediatamente la misma información en la página principal de Microsoft.com.
Las firmas digitales contribuyen a hacer más seguros los boletines de seguridad de Microsoft
Para ayudarle a aumentar el nivel de seguridad de su sistema, Microsoft incorporará pronto a los boletines de seguridad que envía firmas digitales con el estándar de Internet S/MIME (Extensiones seguras multipropósito al correo de Internet, Secure Multipurpose Internet Mail Extensions).
Si utiliza Microsoft Outlook, verá un icono en forma de cinta 
justo encima del cuerpo del mensaje.
Haga clic en el icono de cinta para ver la ventana Firma digital. Si el correo electrónico procedía de Microsoft, verá la ventana Válido.
Haga clic en el botón Detalles para ver las capas de seguridad.
Hay otros muchos programas de correo electrónico muy completos que también pueden interpretar firmas digitales; consulte el archivo de Ayuda o el manual de uso del programa de correo electrónico que utilice para obtener más información.
No todos los programas de correo electrónico admiten firmas digitales
Entre otros, muchos programas de correo electrónico basados en Web no admiten firmas digitales. Si utiliza alguno de estos programas y recibe un mensaje firmado digitalmente será muy probable que éste tenga un archivo adjunto con la extensión .p7s. El cuerpo del mensaje es el mismo, pero no podrá saber si el mensaje ha sido alterado o es falsificado.
¿Qué hacer si la firma no es válida?
Si recibe un mensaje que indica que la firma no es válida, no confíe en el mensaje y no abra ningún archivo adjunto. Pueden haber alterado este mensaje después de que Microsoft lo enviara, o bien puede que Microsoft no lo haya enviado y que se trate de un fraude conocido como suplantación.
Consulte la página de actualizaciones de seguridad de Microsoft para comprobar si esta información está ya disponible en esta página.
Las notificaciones legítimas no tienen archivos adjuntos
Nunca adjuntamos actualizaciones de software a nuestras notificaciones de seguridad por correo electrónico. En su lugar, dirigimos a los clientes a nuestro sitio para que obtengan información completa acerca de la actualización de software o del incidente de seguridad. La mayoría de las actualizaciones de seguridad de Microsoft se proporcionan mediante Microsoft Update, Office Update o el Centro de descarga de Microsoft.
Las notificaciones legítimas también se encuentran en Microsoft.com
Nunca enviamos avisos acerca de actualizaciones o incidentes de seguridad hasta después de haber publicado información sobre ellos en nuestro sitio Web. Visite el sitio de seguridad en Microsoft.com para comprobar si la información está disponible en él.
Las notificaciones legítimas tienen una dirección Web de Microsoft válida
Los avisos de actualizaciones de seguridad de Microsoft siempre se encuentran en la página principal de Microsoft.com. Los vínculos en las notificaciones de seguridad por correo electrónico de Microsoft utilizan direcciones de sitios Web seguros. De este modo es posible comprobar el certificado para confirmar que se halla en Microsoft.com y no en un sitio falso.
Si sospecha que un mensaje de correo electrónico no es legítimo, no haga clic en ninguno de los vínculos que contenga. Estos vínculos pueden estar falsificados de modo que parece que le envían a un sitio Web legítimo cuando, en realidad, le envían a uno malintencionado.
No haga clic en ningún vínculo de la notificación. En su lugar, escriba o corte y pegue el texto del vínculo del mensaje de correo electrónico en la barra de direcciones del explorador.
Tenga en cuenta que los piratas informáticos también disponen de medios para mostrar una dirección URL falsa en la barra de direcciones del explorador. Aunque pueda parecer que se encuentra en un sitio Web legítimo, es posible que se halle en uno malintencionado. Para reducir este riesgo, comience por la página principal de un sitio Web e intente llegar hasta la información que está buscando.
Los sitios Web legítimos tienen certificados actuales y exactos
Microsoft y la mayoría de los sitios Web comerciales utilizan certificados como parte de un sistema que contribuye a que las operaciones en línea sean seguras. Al escribir https:// en vez del estándar http:// en la dirección del sitio Web se activa el certificado (es posible que el explorador muestre un mensaje para avisar de que está a punto de ver las páginas mediante una conexión segura).
Una vez en el sitio seguro, Internet Explorer permite comprobar el certificado. Haga doble clic en el icono de candado de la barra de estado en la parte inferior del explorador. De este modo se muestra el certificado de seguridad del sitio.
Icono de candado de sitio seguro. Si el candado está cerrado, el sitio dispone de un certificado que se puede consultar.
Este certificado es la prueba de la identidad del sitio. Al consultar el certificado, el nombre que sigue a Enviado a debe coincidir con el sitio en el que cree que está. Si el nombre es distinto, es posible que se halle en un sitio falso. Al hacer clic en el icono de candado en una página Web de Microsoft.com, el nombre de dominio de Enviado a (www.microsoft.com) se corresponde con el nombre de dominio del sitio Web de la barra de direcciones (también www.microsoft.com).
¿Coinciden los nombres? El nombre de dominio de Enviado a debe coincidir con el nombre de dominio de la barra de direcciones del explorador.
Ejemplo de una notificación falsa
Las comunicaciones de seguridad falsificadas pueden parecer bastante convincentes, como sucedió con el correo electrónico fraudulento que se empleó para distribuir el gusano Swen. Su apariencia profesional y su tono sincero y útil engañaron a muchos usuarios que infectaron sus propios equipos.
Boletín falso. Muchos usuarios pensaron que este aviso por correo electrónico parecía lo bastante bueno como para ser un mensaje de Microsoft real. Pero no lo era.
Actualizar el software
Una de las mejores formas de protegerse de los sitios Web malintencionados y de los piratas informáticos consiste en mantener actualizados los programas de software, el antivirus y los programas de protección contra el software espía. Para mantener los programas de Microsoft actualizados, visite las siguientes ubicaciones para obtener actualizaciones: