Que una web sufra un ataque y acabe publicando tus datos ya no es algo raro: ocurre todos los días y a todo tipo de servicios, desde redes sociales hasta bancos. Cuando esto pasa, tus contraseñas pueden aparecer filtradas en bases de datos que circulan por Internet (incluida la dark web y en casos de contraseñas en texto plano) y quedar al alcance de ciberdelincuentes que las reutilizan, venden o usan para extorsionar.
Si te preocupa qué hacer si se filtran tus contraseñas, o si ya has recibido un aviso de una empresa, del navegador o del móvil, no basta con un simple “cambio de clave y listo”. Hay varios pasos urgentes y otras medidas a medio plazo que reducen mucho los riesgos de fraude, robos y suplantaciones. Vamos a verlos todos con calma, pero al grano y en castellano de a pie.
¿Cómo acaban tus contraseñas filtradas y qué riesgos hay?
En la mayoría de casos, la culpa no es tuya ni de tu ordenador, sino de un servicio que usas: una tienda online, una red social, tu banco, una app de suscripción, etc. Esa empresa sufre una brecha de datos y alguien roba la base de datos con correos, contraseñas y otros datos personales. A veces se publica entera, otras se vende en mercados de la dark web.
Cuando esa información sale al exterior, los atacantes pueden usar tus credenciales para entrar directamente a tus cuentas o probarlas de forma masiva en otros servicios. Si sueles repetir la misma contraseña (o pequeñas variaciones) en varias webs, les estás dejando la puerta abierta para hacer comprobaciones cruzadas en redes sociales, correos o incluso banca online.
Además de intentar entrar a tus cuentas, esos datos robados se compran y venden en la dark web como si fueran mercancía. Ahí circulan listas con correos, contraseñas, teléfonos, direcciones, datos de tarjetas, etc. Cuanto más completa es la información sobre una persona, más valor tiene para estafas, suplantación de identidad o ataques de phishing muy convincentes.
Las consecuencias no se quedan solo en “me han entrado en el correo”: puede haber fraude bancario, apertura de créditos a tu nombre, compras no autorizadas o daños a tu reputación si alguien se hace pasar por ti en redes sociales o servicios profesionales. Y, por si fuera poco, también está el impacto emocional de sentir que han trasteado con tu vida privada.
Primeros pasos: comprobar si han filtrado tus credenciales
Lo ideal es no esperar a que pase algo raro en tus cuentas. Conviene revisar periódicamente si tu correo o contraseñas aparecen en filtraciones conocidas, usando servicios específicos y también las herramientas integradas en navegadores y gestores de contraseñas.
Uno de los sitios más conocidos es haveibeenpwned.com, una web que recopila grandes filtraciones públicas y bases de datos que han acabado circulando por foros o la dark web. Solo tienes que escribir tu email y la página te dirá si esa dirección aparece en alguna brecha y en qué servicios, indicándote cuántas veces ha salido afectada y en qué fecha fue el ataque.
En caso de que el resultado salga en rojo, verás el listado de webs o servicios donde tu cuenta se ha visto comprometida, junto al tipo de datos filtrados: correo y contraseña, nombres de usuario, direcciones físicas, teléfonos e incluso información financiera, según el caso.
Además de esa web, existen otros servicios como Identity Leak Checker, HackNotice o Dehashed. Identity Leak Checker y HackNotice permiten comprobar si se han visto comprometidas tus credenciales y, en el caso de HackNotice, incluso recibir alertas cuando algún sitio en el que tienes cuenta sufra una brecha reciente.
Herramientas más avanzadas como Dehashed permiten buscar filtraciones mucho más completas, incluyendo direcciones IP, teléfonos o archivos, aunque suelen requerir registro y tienen limitaciones en su versión gratuita. Con la versión de pago se pueden realizar búsquedas ilimitadas y activar monitorización continua, algo interesante si manejas datos especialmente sensibles o gestionas una pequeña empresa.
También hay soluciones de monitorización de la dark web integradas en gestores de contraseñas. Por ejemplo, algunos productos comerciales incorporan módulos (como BreachWatch u otros similares) que revisan periódicamente tus claves guardadas y te avisan si alguna aparece en bases de datos filtradas que circulan por la red.
Verificar contraseñas filtradas desde el navegador y el móvil
Más allá de las webs externas, tanto navegadores como sistemas operativos modernos incluyen comprobadores automáticos de contraseñas que te alertan si detectan que alguna de tus claves guardadas ha aparecido en una brecha conocida.
En Google Chrome puedes usar la opción de Revisión de contraseñas en el Gestor de contraseñas de Google. Desde el propio navegador, en la esquina superior derecha, vas a “Más > Contraseñas y autocompletar > Gestor de contraseñas de Google > Revisión” para ver si tienes contraseñas expuestas, reutilizadas o débiles, junto con un listado de en qué sitios están y enlaces directos para cambiarlas.
Si no usas Chrome, puedes acceder al mismo gestor desde cualquier navegador entrando en passwords.google.com y seleccionando la opción de revisar o verificar contraseñas, tras iniciar sesión con tu cuenta de Google. El sistema te mostrará qué contraseñas están comprometidas y te sugerirá cambiarlas de inmediato.
En Safari, tanto en macOS como en iOS, puedes activar la detección de contraseñas filtradas desde Preferencias > Contraseñas. Allí hay una casilla llamada algo como “Detectar contraseñas filtradas” que, al marcarla, hará que el sistema te avise si encuentra tus credenciales en bases de datos comprometidas y te indicará cuáles son débiles, repetidas o filtradas.
Microsoft Edge incorpora el Monitor de contraseñas, que funciona de forma similar: compara tus credenciales guardadas con una gran base de datos cifrada de contraseñas robadas y, si encuentra coincidencias, te avisa de que una combinación de usuario y contraseña ya no es segura. Estas alertas pueden aparecer como notificación general, iconos con avisos en el menú de configuración o incluso mensajes cuando visitas un sitio para el que tienes una contraseña comprometida.
¿Cómo funciona?
El funcionamiento es sencillo: cuando activas el Monitor de contraseñas, Edge revisa todas tus claves guardadas y marca las que coinciden con listas de credenciales filtradas. Después, desde la página de comprobación de seguridad de contraseñas, puedes ver todas las entradas en riesgo y acceder directamente al sitio para cambiarlas. También puedes descartar advertencias de contraseñas que ya no usas, o restaurar avisos que hayas ignorado.
En el caso de iPhone y el llavero de iCloud, también verás avisos cuando alguna contraseña guardada se haya visto afectada en una filtración. El sistema te indica qué cuentas están en riesgo y te anima a cambiar esas claves lo antes posible. Si no tienes iPhone, puedes recurrir a las herramientas de análisis de la dark web que comentábamos antes para hacer algo parecido.
¿Qué hacer inmediatamente si tu contraseña aparece filtrada?
Una vez confirmado que una o varias de tus contraseñas han sido expuestas, el primer paso es siempre cambiar la contraseña afectada de forma inmediata. No lo dejes para luego, sobre todo si la cuenta es importante (correo, banca, redes sociales, servicios de trabajo, etc.).
Empieza entrando directamente al sitio afectado (mejor escribiendo la URL a mano que pinchando en enlaces de correos) e inicia sesión con tus credenciales actuales. Si no recuerdas la contraseña, utiliza el formulario de recuperación. Si descubres que alguien la ha cambiado sin tu permiso, vuelve a usar el proceso de recuperación para recuperar el control.
En cuanto puedas entrar, modifica la contraseña por una totalmente nueva, sin ninguna relación con la anterior. No vale con cambiar alguna mayúscula o añadir un número al final: si tu contraseña antigua ya está en una lista filtrada, los atacantes probarán variaciones típicas por fuerza bruta.
El segundo paso crítico es cambiar esa misma contraseña en todos los sitios donde la estés reutilizando. Es un error muy extendido usar la misma clave (o una casi idéntica) para correo, redes, servicios de streaming, tiendas online o banca. Si una sola de esas webs cae, el resto de tus cuentas están en serio peligro.
¿Cómo debe ser una contraseña segura hoy en día?
La típica recomendación de “mete mayúsculas, minúsculas, números y símbolos” se ha quedado corta y es predecible. Lo que realmente da fuerza a una contraseña es la longitud y el carácter poco obvio, y que no la reutilices en mil sitios.
Como base, apunta a contraseñas de al menos 12 caracteres, mejor 14 o más. Combina letras, números y símbolos, pero evitando patrones típicos del estilo “Palabra123!” o la manida sustitución de letras por números (3 por e, 0 por o, etc.), que los atacantes tienen más que aprendida.
Una técnica muy efectiva es usar frases de contraseña basadas en varias palabras sin relación aparente que tú puedas recordar, pero que no tengan nada que ver con tus datos personales: ni nombres de familiares, mascotas, fechas de nacimiento, códigos postales o cosas que se puedan deducir mirando tus redes sociales.
También existen generadores de contraseñas y de frases de contraseña que crean claves larguísimas y aleatorias, virtualmente imposibles de adivinar o romper por fuerza bruta. Muchos gestores de contraseñas traen su propio generador integrado y te permiten elegir longitud, uso de símbolos, etc., de forma que la contraseña resultante sea muy robusta.
Recuerda que intentar memorizar decenas de contraseñas complejas distintas ya no es realista. Para eso están los gestores de contraseñas, que te permiten usar claves realmente fuertes sin volverte loco, y además suelen avisarte si detectan que una contraseña se ha filtrado, es débil o está repetida en varios servicios.
Revisar accesos sospechosos y actividad en tus cuentas
Cuando te enteras de que una contraseña se ha filtrado, no basta con cambiarla y ya. Es fundamental comprobar si alguien ha aprovechado esa brecha para entrar en tus cuentas y si se han producido operaciones raras.
Muchas plataformas como Gmail, Facebook, Instagram, Spotify, Netflix y otros grandes servicios online disponen de una sección de seguridad donde puedes ver los últimos inicios de sesión: dispositivos, ubicaciones aproximadas, fechas y horas. Echa un vistazo (por ejemplo, aprende a ver y cerrar sesiones activas) y busca accesos desde países raros o dispositivos que no reconoces.
Si encuentras algo sospechoso y todavía no has cambiado la contraseña, hazlo al instante y cierra todas las sesiones abiertas desde el propio panel de seguridad. En ciertos casos, también conviene revisar si han cambiado datos de recuperación, direcciones de correo alternativas o números de teléfono vinculados.
En el ámbito financiero, revisa cuidadosamente tus cuentas bancarias y tarjetas en los días y semanas posteriores a una filtración, especialmente si se ha visto comprometida información de pago. Configura alertas de “actividad inusual” o notificaciones de movimiento para enterarte enseguida si se produce una compra o transferencia que no reconoces.
¿Qué hacer cuando se filtra información financiera o muy sensible?
Si la brecha ha afectado a datos de tarjeta, cuentas bancarias o información muy personal, hay que ser aún más proactivo. Si una tarjeta se ha visto comprometida, contacta de inmediato con tu banco para bloquearla, solicitar un nuevo plástico y revisar los movimientos por si hubiera cargos no autorizados.
Aunque no tengas certeza absoluta de que los datos de tu tarjeta han sido robados, monitorea con lupa tus cuentas y valora activar un servicio de vigilancia del informe de crédito, de forma que recibas avisos si alguien intenta pedir préstamos o abrir cuentas a tu nombre.
En algunos países (y también en España con las entidades correspondientes), puedes solicitar un bloqueo o “congelación” de tus informes crediticios, lo que dificulta que terceros abran nuevas líneas de crédito en tu nombre. Esta medida es especialmente recomendable si se han filtrado datos como tu número de documento oficial, dirección completa o similares.
Cuando lo que ha salido a la luz son documentos personales, copias de DNI, pasaporte u otro tipo de información muy delicada, conviene valorar también interponer denuncia ante la policía o autoridades competentes, tanto por tu seguridad como para dejar constancia si alguien utiliza esa información para cometer delitos.
En España, si encuentras datos tuyos publicados de forma indebida en buscadores o páginas de terceros, puedes recurrir al llamado “derecho al olvido” a través de la AEPD, solicitando la retirada de esa información de los índices de búsqueda o la eliminación en la propia web cuando sea posible.
Atención a ataques de phishing, spam y extorsiones
Tras una filtración, es muy frecuente que aumenten los intentos de phishing y las estafas personalizadas. Los atacantes usan los datos obtenidos para mandar correos o SMS que parecen venir de bancos, tiendas, plataformas conocidas o incluso de tu propia empresa.
A veces, para ganar credibilidad, incluyen en el mensaje una contraseña antigua tuya filtrada y afirman que han hackeado tu dispositivo, grabado tu pantalla o accedido a archivos privados. Te amenazan con difundir supuesto material íntimo o datos comprometidos si no pagas un rescate en criptomonedas en pocas horas.
En la gran mayoría de estos casos, se trata de campañas masivas de extorsión que solo utilizan la contraseña filtrada como señuelo. No tienen ni vídeos, ni pruebas, ni han tomado el control de tu equipo; simplemente juegan con el miedo y la vergüenza para que pagues rápido.
Ante este tipo de correos, mantén la calma y aplica sentido común: si ya has cambiado la contraseña filtrada y tienes protegidas tus cuentas con métodos actuales, lo más probable es que no puedan hacer nada. No respondas a estos mensajes, no pagues y, si lo consideras oportuno, guárdalos como prueba y denuncia la campaña ante las autoridades.
Refuerza tus cuentas con autenticación de dos factores
Además de mejorar tus contraseñas, una medida casi obligatoria hoy en día es activar la autenticación en dos pasos (2FA) o multifactor (MFA) siempre que puedas. De este modo, aunque alguien obtenga tu contraseña, seguirá faltándole un segundo factor para entrar.
Este segundo factor puede ser un SMS, un código generado por una app de autenticación, una llave física de seguridad o incluso la huella dactilar o reconocimiento facial. Lo importante es que, al iniciar sesión desde un dispositivo nuevo o poco habitual, el servicio te pida esa segunda verificación.
Prioriza activar 2FA en el correo principal, banca online, redes sociales, gestores de contraseñas y servicios críticos. Son las puertas de entrada a casi todo lo demás, así que merece la pena tenerlas blindadas con una capa extra de seguridad.
Gestores de contraseñas y monitorización continua
Intentar llevar un control manual de todas las contraseñas, fechas de cambio y filtraciones es una batalla perdida. Usar un gestor de contraseñas serio es hoy casi tan básico como tener antivirus, especialmente si te preocupa tu privacidad y trabajas con datos delicados.
Herramientas como KeePass, LastPass, 1Password, NordPass u otras similares permiten almacenar todas tus claves en una base de datos cifrada a la que accedes con una única contraseña maestra (esa sí hay que recordarla y hacerla muy fuerte). Muchos de estos gestores generan contraseñas aleatorias, completan formularios automáticamente y sincronizan tus contraseñas entre dispositivos.
Algunos gestores incluyen además funciones de análisis de seguridad: revisan si tienes contraseñas débiles, repetidas o antiguas, te ayudan a renovarlas y, en las versiones más avanzadas, monitorizan filtraciones en la dark web para avisarte en cuanto detecten alguna de tus claves o correos en bases de datos comprometidas.
Si trabajas con código abierto o prefieres soluciones gratuitas, KeePass y proyectos derivados son una buena opción. Si necesitas algo más pulido con sincronización cómoda en la nube y apps móviles, es posible que te convenga un producto comercial. En cualquier caso, el objetivo es dejar atrás la costumbre de repetir la misma contraseña en todas partes porque no hay manera humana de recordarlas todas.
Medidas adicionales para prevenir problemas en el futuro
Además de todo lo anterior, hay una serie de buenas prácticas que reducen el impacto de futuras filtraciones. Lo primero es usar contraseñas diferentes en cada servicio importante, ayudándote de un gestor si hace falta. Así, que una web se vea comprometida no implica que caigan en cascada el resto de tus cuentas.
También es buena idea utilizar varias direcciones de correo electrónico para distintos fines: una para temas personales, otra para trabajo, otra para registros poco relevantes, etc. De esta forma, si una de esas direcciones se ve expuesta, el alcance potencial del daño es menor.
Siempre que un servicio lo ofrezca, valora usar claves de acceso (passkeys) en lugar de contraseñas tradicionales. Las passkeys se basan en criptografía de clave pública y están diseñadas precisamente para evitar muchos problemas de las contraseñas, ya que no hay una clave “de texto” que pueda filtrarse de la misma manera.
No te olvides de mantener todos tus dispositivos y programas actualizados: muchas actualizaciones incluyen parches de seguridad que cierran vulnerabilidades que podrían explotarse para obtener datos o instalar malware. Activa las actualizaciones automáticas cuando sea posible y revisa periódicamente que todo esté al día.
En entornos de trabajo, además de contraseñas fuertes y 2FA, es clave revisar los controles de acceso y dar solo los permisos necesarios a cada usuario. El auge del teletrabajo ha multiplicado la cantidad de software y servicios a los que se accede de forma remota, así que conviene hablar con el departamento de TI para ajustar quién puede hacer qué y desde dónde.
Hay que esta capacitado en el tema
La formación también importa: que empleados y compañeros entiendan los riesgos de las filtraciones y del phishing, cómo identificar correos sospechosos o qué hacer ante un posible incidente, marca la diferencia entre un susto controlado y un desastre mayúsculo.
Si se trata de datos especialmente delicados, plantea combinar antivirus de calidad, servicios de monitorización y, cuando uses redes Wi‑Fi públicas, una VPN que cifre tu tráfico. Aunque estas medidas no evitan que una gran empresa sufra una brecha, sí protegen tus conexiones frente a ataques en redes inseguras y frente a cierto tipo de malware.
Por último, aunque muchas empresas están recibiendo multas cada vez más altas por fallos en la protección de datos, no conviene confiarse pensando que las sanciones te van a proteger automáticamente. El sistema sancionador presiona a las empresas para mejorar, pero el daño inmediato (fraude, suplantación, estrés, tiempo perdido) lo sufre el usuario, así que tu propia “higiene digital” sigue siendo la mejor defensa.
Si ya has pasado por una filtración o quieres adelantarte, es buen momento para revisar contraseñas, activar autenticación en dos pasos, configurar avisos de actividad inusual y apoyarte en un gestor de contraseñas y herramientas de monitorización.
Con unas cuantas decisiones bien tomadas puedes transformar un susto potencialmente grave en una simple molestia controlada, y tener bastante más tranquilidad la próxima vez que leas en las noticias que tal o cual servicio ha sufrido un ciberataque. Comparte esta guía de seguridad y otros usuarios sabran que hacer si se filtran sus contraseñas en el móvil.