facebook-pixel

Cómo Saber si Tu Contraseña Fue Filtrada: Guía Completa 2026

E
Equipo de Seguridad Lunyb
··9 min read

Cada año se filtran miles de millones de credenciales en brechas de datos que afectan a empresas grandes y pequeñas. Si utilizas la misma contraseña en varios servicios (algo que hace más del 60% de los usuarios), basta con que una sola web sea vulnerada para que decenas de tus cuentas queden expuestas. La buena noticia es que comprobar si tu contraseña fue filtrada es rápido, gratuito y no requiere conocimientos técnicos.

En esta guía te explicamos qué es una filtración, cómo verificar si tus credenciales están circulando por internet, qué herramientas usar de forma segura y qué hacer paso a paso si descubres que estás afectado.

¿Qué significa que una contraseña esté filtrada?

Una contraseña filtrada es aquella que ha aparecido en una brecha de datos pública o en un volcado de credenciales compartido en foros clandestinos. Esto ocurre cuando ciberdelincuentes acceden a las bases de datos de un servicio (una tienda online, una red social, un foro) y roban emails, contraseñas y otros datos personales.

Una vez filtradas, esas credenciales se venden, se publican gratis o se utilizan en ataques de credential stuffing: los atacantes prueban automáticamente millones de combinaciones email/contraseña en otros servicios (Gmail, Amazon, banca online) esperando encontrar coincidencias.

Tipos comunes de filtraciones

  • Brechas corporativas: hackeo directo a una empresa (LinkedIn 2012, Adobe 2013, Yahoo 2014, Facebook 2019).
  • Combolists: listas masivas de combinaciones email:contraseña recopiladas de varias fuentes.
  • Infostealers: malware que roba contraseñas guardadas en el navegador de la víctima.
  • Phishing: páginas falsas que capturan credenciales cuando el usuario las introduce.

Cómo comprobar si tu contraseña fue filtrada (paso a paso)

Existen servicios legítimos que mantienen bases de datos con miles de millones de credenciales filtradas y permiten consultarlas de forma segura. El más conocido y recomendado por expertos en seguridad, incluida la propia AEPD en sus guías, es Have I Been Pwned.

  1. Accede a haveibeenpwned.com desde tu navegador habitual.
  2. Introduce tu dirección de correo electrónico en el buscador principal y pulsa "pwned?".
  3. Revisa los resultados: el sistema mostrará en qué brechas concretas apareció tu email, la fecha y qué datos se comprometieron (contraseña, teléfono, dirección, etc.).
  4. Comprueba contraseñas específicas en la sección "Passwords" (pwnedpasswords.com). Verás cuántas veces esa contraseña ha aparecido en filtraciones.
  5. Suscríbete a notificaciones con "Notify me" para recibir un aviso automático si tu email aparece en futuras brechas.

¿Es seguro introducir mi contraseña en estas webs?

Have I Been Pwned utiliza un modelo llamado k-anonymity: tu contraseña nunca sale de tu navegador completa. Se convierte en un hash SHA-1 y solo se envían los primeros 5 caracteres al servidor, que devuelve todas las coincidencias posibles. Tu navegador compara localmente si hay match. Es criptográficamente seguro.

Aun así, como norma general: nunca introduzcas contraseñas activas en servicios que no conozcas. Si tienes dudas, cambia primero la contraseña y luego comprueba la antigua.

Otras herramientas fiables para verificar filtraciones

HerramientaQué compruebaGratuitoIdioma
Have I Been PwnedEmails y contraseñasInglés
Firefox MonitorEmails (basado en HIBP)Español
Google Password CheckupContraseñas guardadas en ChromeEspañol
1Password WatchtowerTodas las contraseñas del gestorCon suscripciónEspañol
Bitwarden Data Breach ReportEmails y contraseñas del vaultSí (Premium)Español
Comprobador de GoogleCuenta Google y contraseñas guardadasEspañol

Cómo usar el Comprobador de Contraseñas de Google

Si utilizas Chrome o Android, Google integra una herramienta muy práctica:

  1. Ve a passwords.google.com e inicia sesión.
  2. Pulsa en "Ir al Comprobador de Contraseñas".
  3. Google analizará todas las contraseñas guardadas y te mostrará: filtradas, reutilizadas y débiles.
  4. Cambia inmediatamente las marcadas como filtradas.

Apple Contraseñas y iCloud Keychain

En iPhone, iPad o Mac, ve a Ajustes > Contraseñas > Recomendaciones de seguridad. El sistema compara automáticamente tus credenciales con listas de filtraciones conocidas y te avisa si alguna está comprometida.

Qué hacer si tu contraseña ha sido filtrada

Si el resultado es positivo, no entres en pánico, pero actúa rápido. Cada hora que pasa aumenta el riesgo de que un atacante utilice tus credenciales.

  1. Cambia la contraseña afectada inmediatamente en el servicio comprometido. Usa una contraseña nueva, larga (mínimo 14 caracteres) y única.
  2. Cambia esa contraseña en todos los demás sitios donde la reutilizabas. Este es el paso más importante y el más olvidado.
  3. Activa la verificación en dos pasos (2FA) en cuentas críticas: email, banca, redes sociales, servicios de pago.
  4. Revisa la actividad reciente de la cuenta: inicios de sesión sospechosos, dispositivos desconocidos, correos enviados que no reconoces.
  5. Cierra sesión en todos los dispositivos desde la configuración de la cuenta.
  6. Verifica correos de recuperación y números de teléfono asociados: los atacantes suelen modificarlos para bloquearte fuera.
  7. Notifica a tu banco si la brecha involucra datos financieros o si detectas movimientos extraños.
  8. Considera denunciar ante la AEPD si tus datos personales fueron expuestos por una empresa española, invocando tus derechos bajo el RGPD.

Cómo evitar futuras filtraciones: buenas prácticas

1. Usa un gestor de contraseñas

Es la medida más efectiva. Un gestor genera contraseñas únicas y aleatorias para cada servicio, las guarda cifradas y las autocompleta. Si te interesa elegir uno adaptado al mercado hispanohablante, consulta nuestra guía sobre el mejor gestor de contraseñas en español 2026.

2. Activa 2FA en todo lo importante

La autenticación en dos pasos añade una barrera crítica: aunque roben tu contraseña, no podrán entrar sin el segundo factor. Prioriza apps como Google Authenticator, Authy o llaves físicas (YubiKey) sobre SMS, que es vulnerable a SIM swapping.

3. Crea contraseñas fuertes y únicas

  • Mínimo 14 caracteres.
  • Combina mayúsculas, minúsculas, números y símbolos.
  • Nunca uses información personal (fechas, nombres, mascotas).
  • No reutilices contraseñas entre servicios.
  • Considera usar frases largas: MiPerroCome3ManzanasCadaMartes!

4. Vigila el phishing

Muchas "filtraciones" empiezan por engaño. No introduzcas credenciales en enlaces recibidos por email o SMS sin verificar el dominio. Usa herramientas de análisis de enlaces como Lunyb, que además de acortar URLs ofrece protección contra dominios maliciosos y estadísticas de clic, ayudándote a distinguir enlaces legítimos de trampas.

5. Mantén tu software actualizado

Navegadores, sistema operativo y aplicaciones deben estar al día. Muchas brechas se aprovechan de vulnerabilidades ya parcheadas en usuarios que no actualizan.

6. Usa DNS cifrado y navegadores privados

Configura DNS over HTTPS (Cloudflare 1.1.1.1, NextDNS o Quad9) y usa navegadores con protección antitracking como Firefox o Brave. Reducirás la exposición a redes maliciosas y a rastreo entre sitios.

Señales de que tu cuenta ya está comprometida

A veces la filtración se detecta demasiado tarde. Presta atención a:

  • Correos de "restablecimiento de contraseña" que no has solicitado.
  • Notificaciones de inicio de sesión desde ubicaciones desconocidas.
  • Mensajes enviados desde tu cuenta que tú no escribiste.
  • Cambios en la configuración de reenvío de correo.
  • Compras, transferencias o suscripciones que no reconoces.
  • Amigos que reciben mensajes extraños de tu parte.
  • Aparición súbita de spam masivo en tu bandeja de entrada.

Filtraciones importantes de los últimos años

Para dimensionar el problema, algunas de las brechas más grandes que puede que te afecten sin saberlo:

  • Collection #1 (2019): 773 millones de emails y 21 millones de contraseñas únicas.
  • RockYou2021: 8.400 millones de contraseñas en un solo archivo.
  • Facebook (2019, publicado 2021): 533 millones de usuarios, incluidos teléfonos.
  • LinkedIn (2021): 700 millones de perfiles.
  • MOAB "Mother of All Breaches" (2024): 26.000 millones de registros combinados.

Es estadísticamente probable que tu email haya aparecido en al menos una de estas. Por eso comprobar regularmente es esencial.

Empresas: obligaciones legales ante una filtración

Si gestionas un negocio y sufres una brecha, el RGPD y la LOPDGDD te obligan a:

  • Notificar a la AEPD en un máximo de 72 horas desde que tengas constancia.
  • Informar a los usuarios afectados si existe un riesgo alto para sus derechos.
  • Documentar el incidente y las medidas adoptadas.
  • Revisar y reforzar tus medidas técnicas y organizativas.

El incumplimiento puede acarrear sanciones de hasta 20 millones de euros o el 4% de la facturación global.

Preguntas frecuentes

¿Con qué frecuencia debo comprobar si mi contraseña fue filtrada?

Lo ideal es hacer una revisión completa cada 3-6 meses, y activar notificaciones automáticas en servicios como Have I Been Pwned o Firefox Monitor para recibir avisos en tiempo real cuando aparezca una nueva brecha con tu email.

¿Es seguro escribir mi contraseña real en Have I Been Pwned?

Sí, técnicamente es seguro gracias al modelo k-anonymity: tu contraseña se convierte en hash localmente y solo se envían los primeros 5 caracteres del hash. Aun así, si tienes dudas, cámbiala primero y comprueba después la antigua.

Mi contraseña aparece como filtrada pero mi cuenta parece normal, ¿debo cambiarla?

Sí, siempre. Que no hayas notado actividad sospechosa no significa que no vaya a haberla. Las credenciales filtradas se venden y utilizan meses o años después. Cambia la contraseña y activa 2FA de inmediato.

¿Los gestores de contraseñas son realmente seguros después de filtraciones como la de LastPass?

Sí, siguen siendo la mejor opción con diferencia. El incidente de LastPass demostró la importancia de elegir gestores con arquitectura de conocimiento cero y contraseña maestra fuerte. Alternativas auditadas como Bitwarden, 1Password o Proton Pass mantienen un excelente historial de seguridad.

¿Puedo denunciar a la empresa que filtró mis datos?

Sí. En España puedes presentar una reclamación ante la AEPD si consideras que la empresa no aplicó medidas de seguridad adecuadas o no te notificó la brecha correctamente. Tienes derecho también a indemnización por daños si demuestras perjuicio, según el artículo 82 del RGPD.

¿Cambiar la contraseña cada pocos meses realmente ayuda?

Los cambios rutinarios ya no se recomiendan si usas contraseñas fuertes, únicas y 2FA. El NIST y el propio Centro Criptológico Nacional aconsejan cambiar solo cuando haya sospecha de compromiso o notificación de filtración. Cambios frecuentes sin motivo suelen llevar a contraseñas más débiles.

Conclusión

Comprobar si tu contraseña fue filtrada es una de las acciones de ciberseguridad con mayor impacto y menor esfuerzo. Dedica 10 minutos hoy a revisar tu email en Have I Been Pwned, ejecuta el Comprobador de Google, y si detectas cualquier resultado positivo, cambia esa contraseña en todos los servicios donde la usabas y activa 2FA.

La seguridad digital no es un evento único, sino un hábito. Combina un buen gestor de contraseñas, autenticación en dos pasos, atención al phishing y comprobaciones periódicas, y estarás por delante del 95% de los usuarios. Tus cuentas, tu dinero y tu identidad digital te lo agradecerán.

Protect your links with Lunyb

Create secure, trackable short links and QR codes in seconds.

Get Started Free

Related Articles