Cómo Saber si Tu Contraseña Fue Filtrada: Guía Completa 2026
Cada año se exponen miles de millones de credenciales en brechas de datos. Si reutilizas contraseñas o llevas tiempo sin revisarlas, hay una alta probabilidad de que al menos una de las tuyas esté circulando en foros de ciberdelincuentes. La buena noticia es que comprobar si tu contraseña fue filtrada es rápido, gratuito y seguro si sabes qué herramientas utilizar.
En esta guía vas a aprender a detectar credenciales comprometidas, qué hacer inmediatamente después de descubrir una filtración y cómo blindar tus cuentas para que esto no vuelva a ocurrir.
¿Qué significa que una contraseña esté filtrada?
Una contraseña filtrada es una credencial que ha sido expuesta públicamente tras una brecha de seguridad en algún servicio donde estaba registrada. Estas contraseñas terminan en bases de datos compartidas en la dark web, foros especializados o repositorios públicos como "Collection #1".
El problema no es solo que un atacante pueda acceder a la cuenta original, sino que muchos usuarios reutilizan la misma contraseña en varios servicios. Esto da pie al ataque más común tras una filtración: el credential stuffing, donde los atacantes prueban automáticamente combinaciones de email y contraseña en cientos de páginas (banca, correo, redes sociales, tiendas online).
Tipos de filtraciones más habituales
- Brechas directas: el servicio donde te registraste sufre un hackeo (LinkedIn, Dropbox, Adobe, etc.).
- Malware infostealer: un troyano roba credenciales guardadas en tu navegador.
- Phishing: introduces tu contraseña en una página falsa.
- Filtraciones de terceros: un proveedor que gestionaba datos de la empresa expone su base de datos.
Señales de que tu contraseña podría estar comprometida
Antes de usar herramientas de comprobación, conviene reconocer los indicios típicos de una cuenta vulnerada:
- Recibes correos de "inicio de sesión desde un dispositivo desconocido" en países donde no has estado.
- Te llegan códigos de verificación de dos pasos que no has solicitado.
- Aparecen mensajes enviados, publicaciones o compras que no reconoces.
- Tu proveedor de correo marca actividad sospechosa o restablece la contraseña automáticamente.
- Amigos te avisan de mensajes extraños recibidos desde tu cuenta.
- Notas spam dirigido al alias exacto que solo usaste en un servicio concreto.
Herramientas gratuitas para comprobar si tu contraseña fue filtrada
Existen varios servicios fiables que cruzan tu email o contraseña con bases de datos de brechas conocidas. Todos los recomendados aquí usan métodos criptográficos seguros (como el modelo k-anonymity) que no exponen tu contraseña real al servidor.
1. Have I Been Pwned (HIBP)
Es el referente del sector, creado por el experto en seguridad Troy Hunt. Tiene indexadas más de 12.000 millones de cuentas comprometidas. Puedes consultar por dos vías:
- Por email: en haveibeenpwned.com introduces tu dirección y te muestra en qué brechas aparece.
- Por contraseña: en la sección "Pwned Passwords" puedes verificar si una clave concreta está en la lista. Solo se envían los 5 primeros caracteres del hash SHA-1, nunca la contraseña en claro.
2. Google Password Checkup
Si guardas contraseñas en Chrome o en tu cuenta de Google, accede a passwords.google.com y pulsa "Comprobación de contraseñas". Google te dirá cuáles están filtradas, cuáles son débiles y cuáles están reutilizadas. Todo el proceso ocurre con cifrado de extremo a extremo.
3. Firefox Monitor / Mozilla Monitor
Mozilla ofrece un monitor de brechas integrado con HIBP. Puedes suscribirte con tu email para recibir alertas cuando aparezca tu dirección en una nueva filtración.
4. Comprobaciones nativas del navegador y del sistema
- Apple (iOS/macOS): Ajustes > Contraseñas > Recomendaciones de seguridad.
- Microsoft Edge: Configuración > Perfiles > Contraseñas > Monitor de contraseñas.
- Gestores como Bitwarden o 1Password: incluyen informes de salud que detectan credenciales filtradas.
Comparativa de herramientas para comprobar contraseñas filtradas
| Herramienta | Búsqueda por email | Búsqueda por contraseña | Alertas automáticas | Precio |
|---|---|---|---|---|
| Have I Been Pwned | Sí | Sí | Sí (email) | Gratis |
| Google Password Checkup | Sí (cuentas guardadas) | Sí (automático) | Sí | Gratis |
| Mozilla Monitor | Sí | No directa | Sí | Gratis / Plus 9$/mes |
| Bitwarden Reports | Sí | Sí | Sí | Gratis / Premium 10€/año |
| 1Password Watchtower | Sí | Sí | Sí | Desde 2,99€/mes |
Cómo comprobar paso a paso si tu contraseña fue filtrada
Sigue este proceso ordenado para hacer una revisión completa de tus credenciales en menos de 15 minutos:
- Lista tus emails principales. Anota todas las direcciones que has usado en los últimos 10 años, incluidas las antiguas de Hotmail o Yahoo.
- Consulta cada email en Have I Been Pwned. Anota las brechas en las que aparece y la fecha aproximada.
- Accede a passwords.google.com y revisa el informe de seguridad. Identifica claves filtradas, débiles y reutilizadas.
- Repite el proceso en Apple o Edge si guardas contraseñas en esos ecosistemas.
- Prioriza las cuentas críticas: banca, email principal, gestor de contraseñas, redes sociales con autenticación de terceros, plataformas de trabajo.
- Cambia primero las contraseñas filtradas y reutilizadas. Empieza por las cuentas críticas.
- Activa la verificación en dos pasos (2FA) en cada servicio que lo permita.
- Suscríbete a alertas en HIBP o Mozilla Monitor para que te avisen en el futuro.
Qué hacer si descubres que tu contraseña está filtrada
Detectar una filtración es solo el principio. La acción inmediata marca la diferencia entre un susto y un robo de identidad completo.
1. Cambia la contraseña en el servicio afectado
Genera una clave única de mínimo 16 caracteres con un gestor de contraseñas. Nunca uses variaciones de la anterior (añadir un "1" o un "!" al final no sirve de nada).
2. Cambia la misma contraseña en cualquier otro sitio donde la reutilizaras
Este es el paso que más gente olvida. Si usabas la clave de LinkedIn también en tu correo personal, el atacante probará ahí en cuestión de horas.
3. Cierra todas las sesiones activas
La mayoría de servicios tiene una opción para "cerrar sesión en todos los dispositivos" tras cambiar la contraseña. Úsala siempre.
4. Revisa la actividad reciente
Comprueba inicios de sesión, dispositivos conectados, reglas de reenvío de correo (un truco habitual de los atacantes), apps de terceros con permisos y direcciones de recuperación.
5. Activa autenticación de dos factores
Prioriza aplicaciones TOTP (Google Authenticator, Aegis, 2FAS) o llaves físicas FIDO2 (YubiKey). Evita el SMS cuando puedas, ya que es vulnerable a SIM swapping.
6. Notifica si hubo datos personales sensibles
Si la brecha afecta a documentos de identidad, datos bancarios o información de salud, puedes presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD). El RGPD obliga a las empresas a notificar las brechas en 72 horas y a los afectados sin demora indebida cuando exista alto riesgo. Si la información expuesta sigue indexada en buscadores, también puedes revisar la guía sobre cómo solicitar el derecho al olvido para retirarla.
Cómo crear contraseñas resistentes a filtraciones
Una contraseña fuerte no evita que un servicio sea hackeado, pero sí reduce drásticamente las posibilidades de que un atacante la descifre y la utilice contra otras cuentas tuyas.
Buenas prácticas actuales
- Longitud antes que complejidad: 16 caracteres aleatorios son más seguros que "P@ssw0rd!".
- Una contraseña distinta por servicio. Sin excepciones.
- Usa un gestor de contraseñas (Bitwarden, 1Password, KeePassXC, Proton Pass). Solo tienes que recordar una clave maestra.
- Frases de paso aleatorias ("caballo-jirafa-balcón-trueno-42") para la clave maestra y otras que tengas que escribir a mano.
- Renueva las contraseñas críticas al menos una vez al año o tras cualquier brecha.
Errores que debes evitar
- Reutilizar la misma contraseña en varios servicios.
- Guardar contraseñas en un documento de texto, hoja de cálculo o notas del móvil sin cifrar.
- Compartirlas por correo, WhatsApp o SMS. Si necesitas compartir un enlace privado y de un solo uso, plataformas como Lunyb permiten generar URLs con caducidad y control de accesos para no exponer información sensible en cadenas públicas.
- Usar datos personales (nombre, fecha de nacimiento, mascota) como base de la contraseña.
- Confiar únicamente en el SMS como segundo factor.
Cómo prevenir futuras filtraciones
La prevención total es imposible: si un servicio que usas sufre una brecha, no puedes evitarlo. Lo que sí puedes controlar es el impacto.
Higiene digital recomendada
- Usa alias de correo con servicios como SimpleLogin o el "Ocultar mi correo" de Apple. Si un alias se filtra, sabes exactamente qué empresa lo dejó escapar.
- Activa alertas de seguridad en tu banco para cualquier movimiento sospechoso.
- Configura DNS cifrado (DNS over HTTPS) para evitar interceptaciones en redes públicas.
- Mantén el sistema actualizado. Muchos infostealers se aprovechan de vulnerabilidades parcheadas hace meses.
- Usa navegadores con foco en privacidad como Firefox o Brave configurados para bloquear rastreadores.
- Revisa los permisos de las apps conectadas a Google, Microsoft o Apple cada trimestre.
- Audita tus credenciales con HIBP cada 6 meses.
Recursos adicionales para reforzar tu seguridad digital
Si quieres profundizar en otros aspectos de privacidad y gestión de identidad digital, te interesará revisar estas guías relacionadas:
- Derecho al olvido: cómo solicitarlo paso a paso para retirar información personal indexada en buscadores.
- Mejor plataforma de gestión de enlaces 2026 si necesitas compartir URLs con control de privacidad.
- Cómo crear un QR seguro para no exponer datos sensibles al compartir códigos.
Preguntas frecuentes
¿Es seguro introducir mi contraseña en Have I Been Pwned?
Sí, siempre que uses la sección "Pwned Passwords". El servicio aplica un modelo de k-anonymity: solo envía los primeros 5 caracteres del hash SHA-1 de tu contraseña, nunca la clave en texto plano. El servidor devuelve una lista de coincidencias y la comparación final ocurre en tu navegador. Es uno de los métodos más auditados del sector.
¿Cada cuánto debo comprobar si mis contraseñas fueron filtradas?
Lo ideal es revisarlas cada 6 meses y siempre que se anuncie una brecha en algún servicio que utilizas. Si activas las alertas automáticas de Mozilla Monitor o Have I Been Pwned, te avisarán en cuanto tu email aparezca en una nueva filtración, lo que elimina la necesidad de hacer comprobaciones manuales.
Mi contraseña aparece como filtrada pero no recuerdo haberme registrado en ese sitio. ¿Qué hago?
Es habitual que aparezcan brechas de servicios olvidados o que adquirieron una empresa donde sí te registraste. Aunque no recuerdes la cuenta, si reutilizaste la misma contraseña en otros sitios actuales, cámbiala en todos ellos. Después intenta recuperar la cuenta original para cerrarla o eliminar tus datos.
¿Sirve de algo cambiar la contraseña si ya pasaron años desde la filtración?
Sí, especialmente si reutilizaste esa clave. Las bases de datos filtradas se reciclan continuamente: ataques de credential stuffing siguen probando combinaciones antiguas porque mucha gente nunca llega a cambiarlas. Cambiar la contraseña y activar 2FA neutraliza el riesgo aunque hayan pasado 10 años desde la brecha original.
¿Los gestores de contraseñas son realmente seguros si también pueden sufrir filtraciones?
Los gestores reputados cifran tu bóveda con tu clave maestra usando algoritmos como AES-256 antes de subirla a sus servidores. Aunque sus bases de datos fueran robadas, el atacante solo obtendría datos cifrados ilegibles sin tu contraseña maestra. El riesgo real depende de la fortaleza de tu clave maestra y de tener 2FA activo. Estadísticamente, sigue siendo mucho más seguro que reutilizar contraseñas o guardarlas en un documento.
Protect your links with Lunyb
Create secure, trackable short links and QR codes in seconds.
Get Started FreeRelated Articles
Cómo Trackear Clics en Enlaces 2026: Guía Completa Paso a Paso
Aprende a trackear clics en enlaces en 2026 con métodos efectivos, herramientas profesionales y métricas clave. Guía paso a paso con comparativas, buenas prácticas y cumplimiento del RGPD.
Cómo Compartir Tu Ubicación con la Familia de Forma Segura en 2026
Aprende cómo compartir tu ubicación con la familia de forma segura: comparativa de apps, ajustes de privacidad recomendados, riesgos del RGPD y buenas prácticas para proteger los datos de geolocalización de todos los miembros del hogar.
Cómo Eliminar Tus Datos de los Corredores de Datos: Guía Completa 2026
Los corredores de datos venden tu información personal sin que lo sepas. Aprende paso a paso cómo eliminar tus datos amparándote en el RGPD y la AEPD, con plantillas listas para usar y consejos preventivos para proteger tu privacidad a largo plazo.
Cómo Configurar Retargeting con Acortadores: Guía Completa 2026
Aprende a configurar retargeting con acortadores paso a paso: integra píxeles de Meta, Google y LinkedIn en tus enlaces cortos, crea audiencias personalizadas y multiplica el retorno de tus campañas publicitarias cumpliendo con el RGPD.