contraseña.org
● Brechas de datos

Cómo saber si tu contraseña fue filtrada

Las brechas de datos son hoy la principal forma en que los atacantes consiguen credenciales. Aprende qué son, cómo comprobar si las tuyas están en alguna y qué hacer en los minutos siguientes a descubrirlo.

Actualizado: mayo 2026 Lectura: 6 min Categoría: Incidentes

Qué es una brecha de datos

Una brecha de datos (data breach o filtración) ocurre cuando una organización pierde el control de su base de datos de usuarios, ya sea por un ataque, un fallo de configuración o una vulnerabilidad explotada. Esa base de datos suele contener al menos correos electrónicos y contraseñas (cifradas o, en los peores casos, en texto plano). Una vez fuera del control de la empresa, los datos terminan circulando en foros y mercados clandestinos, donde otros atacantes los usan para intentar entrar en cualquier otra cuenta donde reutilices la misma clave.

El volumen es enorme: miles de millones de pares correo+contraseña están disponibles en colecciones públicas. Estadísticamente, casi cualquier persona con vida digital de más de unos años ha estado en al menos una brecha, aunque rara vez se entera por el servicio afectado.

Cómo comprobar si te ha pasado

Hay tres niveles de comprobación, de más sencillo a más completo:

  1. Tu dirección de correo: el dato más fácil de buscar. Si aparece en una brecha conocida, sabrás qué servicio la perdió y qué tipo de información se vio expuesta.
  2. Tu contraseña: algunos servicios permiten comprobar si una clave en concreto aparece en bases de datos de filtraciones, sin que tengas que enviarla entera (más sobre esto abajo).
  3. Tu número de teléfono y otros identificadores: algunas brechas exponen también teléfonos, direcciones y respuestas a preguntas de seguridad. Comprueba si los tuyos circulan.

El truco del k-anonimato

Servicios como Pwned Passwords permiten comprobar tu contraseña sin enviarla entera. Funciona así: tu navegador calcula el hash SHA-1 de la contraseña, envía solo los cinco primeros caracteres del hash al servidor, y el servidor devuelve la lista de hashes filtrados que empiezan por esos cinco caracteres. Tu navegador completa la comparación localmente. La contraseña nunca sale de tu dispositivo, y el servidor nunca sabe cuál estás consultando.

Importante Nunca introduzcas tu contraseña en un sitio aleatorio que ofrezca «comprobar si está filtrada» sin explicar técnicamente cómo lo hace. Si no detalla el modelo de privacidad, asume que podrían estar capturándola.

Procedimiento paso a paso

Comprueba y reacciona

  1. Comprueba tu correo en un servicio de notificación de brechas.Una plataforma de confianza, abierta y con buena reputación, suficiente para tener una idea inmediata. Anota los servicios donde apareces.
  2. Comprueba tus contraseñas críticas.Especialmente la del correo principal, la del gestor y la de la banca. Si alguna aparece en una lista, considérala comprometida aunque la cuenta original esté bien.
  3. Cambia las contraseñas afectadas.Genera una nueva clave aleatoria y larga con el generador. Hazlo en todos los sitios donde reutilizaras esa contraseña.
  4. Activa 2FA donde no lo tengas.Una clave filtrada deja de ser un problema crítico si el atacante necesita además un segundo factor que no tiene.
  5. Suscríbete a alertas continuas.Para enterarte en cuanto tu correo aparezca en una nueva brecha. Algunos gestores incluyen esta función integrada.

Qué hacer si la cuenta ya fue comprometida

A veces no descubres la filtración antes de que el atacante actúe. Si notas inicios de sesión que no reconoces, cambios en la configuración, mensajes enviados que no escribiste o cargos no autorizados:

  • Recupera el acceso primero. Cambia la contraseña inmediatamente desde un dispositivo que sepas limpio. Si el atacante también cambió la contraseña, usa el proceso de recuperación del servicio.
  • Cierra todas las sesiones activas. Casi todos los servicios tienen una opción tipo «cerrar sesión en todos los dispositivos» en seguridad.
  • Revisa correos de seguridad recientes y los cambios en datos de contacto. A veces el atacante añade su correo o teléfono como respaldo para mantener el acceso.
  • Activa 2FA si no lo tenías. Borra cualquier método 2FA que no reconozcas.
  • Revisa accesos vinculados. Aplicaciones de terceros con permiso a tu cuenta. Revoca todo lo que no uses.
  • Si hay daño económico, denuncia. En España, la Policía Nacional y la Guardia Civil tienen unidades de delitos telemáticos. La AEPD recibe reclamaciones cuando una empresa expone datos personales.
Atención Si tu correo principal está comprometido, el atacante puede recibir los enlaces de «restablecer contraseña» de tus otras cuentas. Prioriza siempre recuperar y proteger el correo antes que ninguna otra.

Cómo evitar que la próxima te pinche a ti

No puedes evitar que un servicio que usas sufra una brecha: eso depende de ellos. Lo que sí controlas es el impacto que una brecha tendrá en tu vida:

  • Contraseña única por cuenta: una filtración solo afecta a un servicio, no contagia al resto.
  • 2FA en todo lo importante: convierte una contraseña filtrada en algo inservible para el atacante.
  • Alias de correo para registros: usar direcciones distintas en cada servicio facilita aislar el origen de filtraciones y desactivarlas.
  • Gestor de contraseñas: aporta también auditoría continua. Te avisa de claves débiles, repetidas y filtradas, no solo cuando recuerdas comprobarlo.

Preguntas frecuentes

¿Es seguro escribir mi contraseña en un servicio de comprobación?

Solo si el servicio usa el modelo de hash con k-anonimato (envías parte del hash, no la contraseña). Si la página no detalla técnicamente cómo protege tu envío, no la introduzcas: en su lugar, asume que cualquier clave reutilizada o débil ya está expuesta y cámbiala directamente.

¿Cada cuánto debería comprobar mi correo en busca de filtraciones?

Si te suscribes a las alertas automáticas de un servicio de confianza, no necesitas comprobar manualmente: te avisarán. Sin alertas, una revisión cada 3-6 meses cubre las brechas más relevantes.

Si mi correo aparece en una filtración antigua, ¿hay que hacer algo?

Si la contraseña que usabas en ese servicio sigue activa en alguna cuenta, cámbiala ya. Si la abandonaste hace tiempo y no la reutilizas en ningún sitio, el riesgo es bajo, aunque conviene seguir vigilando por si aparece en futuras filtraciones combinadas.

¿Las contraseñas filtradas se «caducan»?

No. Una contraseña filtrada hace cinco años sigue circulando y se usa en ataques automatizados a perpetuidad. La única forma de neutralizarla es cambiarla en todos los sitios donde la usaras.

Sigue aprendiendo

Verificar la fuerza de una contraseña

Comprueba si la nueva contraseña que vas a usar resiste los ataques actuales.

Autenticación en dos pasos

La capa que neutraliza la mayoría de las contraseñas filtradas.

Gestores de contraseñas

Auditoría continua de tus claves: te avisan en cuanto una aparece en una brecha.

¿Necesitas una contraseña nueva ya?

Si una clave tuya ha aparecido en una filtración, cámbiala ahora por una totalmente aleatoria. Local, gratis y sin registro.

Generar contraseña