Sextorsión: no pagues, no respondas y guarda el correo como prueba. Si has recibido un chantaje sexual por email donde alguien dice tener un vídeo de tu webcam y exige Bitcoin, casi seguro que es un farol masivo. Estos emails de amenaza con vídeo se envían a millones de buzones a la vez, sin que el remitente sepa nada de ti más allá de una contraseña filtrada en alguna brecha antigua. La duda razonable sobre qué hacer ante la sextorsión es exactamente lo que el estafador necesita para que pulses "pagar". Aquí desmontamos el guion, contamos cómo verificar que no tiene nada y explicamos los pasos legales en España.
Cómo funciona el chantaje sexual por email
El esquema es industrial. El atacante compra bases de datos de credenciales filtradas, mete tu dirección en una plantilla y dispara. No hay vídeo. No hay hacker observándote. Hay un script.
El correo tipo abre con una frase para impactar: "He pirateado tu dispositivo y te he grabado mientras visitabas webs para adultos". Para dar credibilidad, a veces incluye una contraseña tuya real —antigua, sacada de filtraciones como las de LinkedIn (2012) o Dropbox (2012)—. Esa contraseña es el único dato verdadero, y no demuestra acceso a tu cámara.
Luego viene la coacción técnica: aseguran haber instalado un troyano de acceso remoto (RAT) que activa tu webcam y registra todo. Cierran con un plazo (48 o 72 horas) y una dirección de monedero Bitcoin. El uso de criptomonedas no es casualidad: dificulta el rastreo y proyecta una imagen de sofisticación que rara vez existe.
Señales de que el email es un farol
Casi todos estos mensajes comparten patrones. Si reconoces varios, respira:
- Es genérico. No menciona tu nombre completo, ni webs concretas, ni nada personal verificable más allá de una contraseña reciclada.
- Usa email spoofing. A menudo el correo parece enviado "desde tu propia cuenta" para asustarte. Es una técnica básica de falsificación de remitente, no una prueba de hackeo. Lo explicamos a fondo en email spoofing: cómo los spammers suplantan el remitente.
- Pide pago en cripto. Bitcoin, USDT o Monero, siempre con monedero de un solo uso.
- Mete prisa. El plazo corto existe para que no pienses.
- Nunca adjunta el supuesto vídeo. Si lo tuvieran, lo enseñarían. No lo tienen.
Verifica la contraseña que aparece: si es una que usabas hace años, búscala en Have I Been Pwned. Casi siempre coincide con una brecha pública conocida. Eso confirma el origen del dato y descarta el espionaje en tiempo real.
Qué hacer si recibes un email de sextorsión
La respuesta correcta ante un chantaje sexual por correo es metódica y aburrida, justo lo contrario de lo que busca el estafador. Sigue este orden:
- No pagues. Pagar te marca como objetivo rentable y garantiza más intentos. El dinero no compra silencio: compra una segunda extorsión.
- No respondas. Cualquier contestación confirma que el buzón está activo y leído.
- Guarda la prueba. No borres el correo. Conserva el mensaje completo con sus cabeceras (en Gmail: "Mostrar original"). Esas cabeceras contienen la ruta real del envío.
- Cambia las contraseñas afectadas. Si la que aparece sigue en uso en algún servicio, cámbiala ya y activa la verificación en dos pasos.
- Tapa la webcam. Una pegatina cuesta cero y elimina la ansiedad de raíz, exista o no el supuesto vídeo.
- Denuncia. En España puedes reportarlo a la Policía Nacional o a la Guardia Civil, y notificar el incidente al INCIBE a través de su línea de ayuda 017, gratuita y confidencial.
Si el dispositivo te genera dudas reales, pasa un análisis con un antivirus actualizado y comprueba cualquier adjunto sospechoso en VirusTotal antes de abrirlo. Reforzar la higiene digital general también ayuda: tienes una hoja de ruta completa en nuestra guía de ciberseguridad personal 2026.
El caso de la sextorsión "real": cuando sí hay material
Existe una variante peligrosa y mucho menos frecuente: la sextorsión dirigida. Aquí el atacante sí tiene contenido, normalmente obtenido tras una conversación en redes o apps de citas donde la víctima compartió imágenes íntimas, a veces creyendo hablar con una persona real que resultó ser un perfil falso.
Esta modalidad afecta especialmente a menores y adolescentes, y la coacción puede escalar. El consejo no cambia en lo esencial —no pagar, no negociar—, pero la denuncia pasa a ser prioritaria e inmediata. En España, la difusión de imágenes íntimas sin consentimiento está tipificada en el artículo 197.7 del Código Penal, y las amenazas con fines de extorsión en los artículos 169 y 243. Conserva todas las pruebas y acude a la policía sin borrar nada.
El patrón de "perfil atractivo que pide intimidad y luego amenaza" comparte ADN con otras estafas afectivas y económicas. Si te interesa cómo operan las modalidades de fraude por mensajería y pago instantáneo, este análisis sobre estafas con Bizum muestra mecánicas de presión muy parecidas.
Cómo reducir el riesgo a futuro
No puedes evitar que un spammer compre una lista filtrada, pero sí puedes vaciar la munición que usa:
| Medida | Por qué funciona |
|---|---|
| Gestor de contraseñas | Una clave única por servicio. Una filtración deja de comprometer al resto. |
| Verificación en dos pasos (2FA) | Aunque roben la contraseña, no entran sin el segundo factor. |
| Filtro antispam con IA | Estos correos masivos tienen huellas reconocibles. Un buen filtro los aparta antes de que los veas. |
| Webcam tapada | Anula por completo la amenaza física más común. |
| Revisión periódica en Have I Been Pwned | Te avisa de qué credenciales tuyas circulan ya por la red. |
El correo de sextorsión es, al final, spam de coacción. Las mismas técnicas de suplantación que usan estos extorsionistas aparecen en otros fraudes de reserva y viajes; verás el patrón clarísimo en phishing en Booking y Airbnb. Cuanto mejor reconozcas la falsificación de remitente, menos te asustará un correo que finge venir de tu propia cuenta.
Preguntas frecuentes
¿De verdad tienen un vídeo mío de la webcam?
En la inmensa mayoría de casos, no. Los correos masivos de sextorsión son un farol estadístico: se envían a millones de direcciones sin saber nada del destinatario. Si tuvieran material, lo adjuntarían como prueba. No lo hacen porque no existe.
Aparece una contraseña mía real en el email, ¿cómo la han conseguido?
Procede de una filtración de datos antigua de algún servicio donde la usaste, no de tu ordenador. Compruébalo en Have I Been Pwned. Si todavía utilizas esa contraseña en algún sitio, cámbiala de inmediato y activa la verificación en dos pasos.
¿Qué pasa si ya he pagado el rescate?
No pagues más y deja de responder. Pagar te identifica como objetivo dispuesto, así que es habitual recibir nuevas exigencias. Denuncia el caso a la policía con el justificante de la transferencia y reporta el monedero Bitcoin; algunos pagos en cripto se han llegado a rastrear.
¿Dónde denuncio la sextorsión en España?
Ante la Policía Nacional o la Guardia Civil, presencialmente o por sus canales online. Además, el INCIBE ofrece la Línea de Ayuda en Ciberseguridad 017, gratuita y confidencial, que orienta sobre los pasos a seguir y el apoyo disponible.
¿Conviene responder al chantajista para ganar tiempo?
No. Cualquier respuesta confirma que tu buzón está activo y que lees los mensajes, lo que multiplica los intentos. El silencio total, junto con la conservación de pruebas y la denuncia, es la estrategia más eficaz.
Para empresas, este tipo de coacción suele ser la punta del iceberg de credenciales mal protegidas. Auditar esas debilidades antes de que las exploten es justo lo que hace un test de intrusión, y conviene plantearlo si manejas datos de terceros. Si tu negocio necesita además reforzar su presencia digital con una web profesional o aplicar inteligencia artificial a sus procesos, la base siempre es la misma: seguridad primero.
El siguiente paso
Abre ahora Have I Been Pwned, escribe tu dirección de correo y comprueba en qué filtraciones aparece. Cambia hoy mismo cualquier contraseña que sigas reutilizando de esas brechas y activa la verificación en dos pasos. Con eso desactivas la única pieza real que sostiene el farol de la sextorsión.
