Microsoft envía mensajes de correo electrónico a los suscriptores de los servicios de boletines de seguridad cuando publicamos información acerca de una actualización de software o de un incidente de seguridad. Lamentablemente, existen personas malintencionadas que pueden enviar (y, de hecho, han enviado) boletines de seguridad que aparentan proceder de Microsoft.
Esta táctica se conoce como suplantación de identidad (spoofing). Algunos de estos mensajes convencen a los destinatarios de que visiten sitios web para descargar spyware u otro software no deseado. Otros incluyen un archivo adjunto que contiene un virus.
Cómo ayudar a comprobar la legitimidad de un correo electrónico relacionado con la seguridadSi no se ha suscrito para recibir boletines de seguridad de Microsoft y recibe un mensaje inesperado acerca de una actualización de seguridad, debe tratar el mensaje con mucha precaución. Si tiene dudas, elimine el mensaje y busque inmediatamente la misma información en la página principal de Microsoft.com. Las firmas digitales contribuyen a hacer más seguros los boletines de seguridad de Microsoft
Si se ha suscrito a los boletines de seguridad de Microsoft, estas comunicaciones puede que tengan una firma digital adjunta. Para aumentar su seguridad, estos boletines podrán ir firmados mediante el estándar de Internet S/MIME (Extensiones seguras multipropósito al correo de Internet, Secure Multipurpose Internet Mail Extensions). S/MIME ofrece una garantía adicional de que el mensaje de correo electrónico procede de Microsoft, no ha sido alterado y no se trata de una falsificación.
Si utiliza Microsoft Outlook, verá un icono  justo encima del cuerpo del mensaje.
Haga clic en el icono para ver la ventana Firma digital. Si el correo electrónico procedía de Microsoft, verá la ventana Válido. 
Haga clic en el botón Detalles para ver las capas de seguridad.
Hay otros muchos programas de correo electrónico muy completos que también pueden interpretar firmas digitales; consulte el archivo de Ayuda del programa de correo electrónico que utilice para obtener más información. Nota: Entre otros, muchos programas de correo electrónico basados en Web no admiten firmas digitales. Si utiliza alguno de estos programas y recibe un mensaje firmado digitalmente, probablemente este tenga un archivo adjunto con la extensión .p7s. El cuerpo del mensaje es el mismo, pero no podrá saber si el mensaje ha sido alterado o es falsificado.
¿Qué hacer si la firma no es válida?
Si recibe un mensaje que indica que la firma no es válida, no confíe en el mensaje y no abra ningún archivo adjunto. Puede que se haya alterado este mensaje después de que Microsoft lo enviara, o bien puede que Microsoft no lo haya enviado.
Consulte la página de actualizaciones de seguridad de Microsoft para comprobar si esta información está ya disponible en esta página.
Las notificaciones legítimas no incluyen actualizaciones de software como archivos adjuntos
Nunca adjuntamos actualizaciones de software a nuestros boletines de seguridad. En su lugar, dirigimos a los clientes a nuestro sitio para que obtengan información completa acerca de la actualización de software o del incidente de seguridad.
Actualizaciones automáticas (recomendado) descarga e instala actualizaciones de seguridad y otras actualizaciones de alta prioridad de manera automática mediante una programación definida por el usuario. Si desea obtener más información, consulte Cómo actualizar el equipo: Preguntas más frecuentes. Las notificaciones legítimas también se encuentran en Microsoft.com
Nunca enviamos avisos acerca de actualizaciones o incidentes de seguridad hasta después de haber publicado información sobre ellos en nuestro sitio web. Consulte la página de actualizaciones de seguridad de Microsoft para comprobar si la información está disponible en esta página.
Las notificaciones legítimas tienen una dirección web de Microsoft válidaLos vínculos de las notificaciones de seguridad por correo electrónico de Microsoft utilizan direcciones de sitios web seguros. De este modo es posible comprobar el certificado para confirmar que se halla en Microsoft.com y no en un sitio falso. Qué hacer si se sospecha que un correo electrónico no es legítimoSi sospecha que un mensaje de correo electrónico no es legítimo, no haga clic en ninguno de los vínculos que contenga. Estos vínculos pueden estar falsificados de modo que parece que le envían a un sitio web legítimo cuando, en realidad, le envían a uno malintencionado. En lugar de hacer clic en algún vínculo de la notificación, escriba, o bien corte y pegue el texto del vínculo del correo electrónico en la barra de direcciones de su explorador. Tenga en cuenta que hay medios para mostrar una dirección URL falsa en la barra de direcciones del explorador. Aunque pueda parecer que se encuentra en un sitio web legítimo, es posible que se halle en uno malintencionado. Para reducir este riesgo, comience por la página principal de un sitio web e intente llegar hasta la información que está buscando. Los sitios web legítimos tienen certificados actuales y exactos
Microsoft y la mayoría de los sitios web comerciales utilizan certificados como parte de un sistema que contribuye a que las operaciones en línea sean seguras. Al escribir https:// en vez del estándar http:// en la dirección del sitio web se activa el certificado (es posible que el explorador muestre una alerta para avisar de que está a punto de ver las páginas mediante una conexión segura).
Cuando esté en el sitio seguro, Internet Explorer permite comprobar el certificado. Haga doble clic en el icono de candado de la barra de estado en la parte inferior del explorador. De este modo se muestra el certificado de seguridad del sitio.  Icono de candado de sitio seguro. Si el candado está cerrado, el sitio dispone de un certificado que se puede comprobar.
Este certificado es la prueba de la identidad del sitio. Al consultar el certificado, el nombre que sigue a Emitido para debe coincidir con el sitio en el que cree que está. Si el nombre es distinto, es posible que se halle en un sitio falso. Al hacer clic en el icono de candado en una página web de Microsoft.com, el nombre de dominio de Emitido para (www.microsoft.com) se corresponde con el nombre de dominio del sitio web de la barra de direcciones (también www.microsoft.com).
 ¿Coinciden los nombres? El nombre de dominio de Emitido para debe coincidir con el nombre de dominio de la barra de direcciones del explorador.
Ejemplo de una notificación falsaLas comunicaciones de seguridad falsificadas pueden parecer bastante convincentes, como sucedió con el correo electrónico fraudulento que se empleó para distribuir el gusano Swen. Su apariencia profesional y su tono sincero y útil engañaron a muchos usuarios que infectaron sus propios equipos.  Boletín falso. Muchos usuarios pensaron que este aviso por correo electrónico parecía lo bastante bueno como para ser un mensaje de Microsoft real. Pero no lo era.
Actualizar el softwareUna de las mejores formas de protegerse de los sitios web malintencionados y de los piratas informáticos consiste en mantener actualizados los programas de software, el antivirus y los programas de protección anti spyware. Para mantener los programas de Microsoft actualizados, visite las siguientes ubicaciones para obtener actualizaciones: Nota: Si no utiliza Windows en este equipo o si no ha actualizado su equipo ni instalado ninguna revisión desde 2001 o antes, es posible que necesite descargar un certificado raíz desde https://www.microsoft.com/pki/certs/MicrosoftRootCert.crt.
| 
