facebook-pixel

Cómo Saber si Tu Contraseña Fue Filtrada: Guía Práctica 2026

E
Equipo de Seguridad Lunyb
··10 min read

Cada año se filtran miles de millones de credenciales en brechas de datos. Si utilizas la misma contraseña en varios servicios (algo que hace más del 60% de los usuarios según distintos estudios de ciberseguridad), es muy probable que alguna de tus claves ya circule por foros de la dark web. La buena noticia es que existen herramientas gratuitas y fiables para comprobar si tu contraseña ha sido filtrada y actuar antes de que un atacante lo haga.

En esta guía te explicamos, paso a paso, cómo detectar filtraciones, qué señales indican que una cuenta ya ha sido comprometida y qué medidas debes tomar para blindar tu identidad digital en 2026.

¿Qué es una contraseña filtrada?

Una contraseña filtrada es aquella que ha sido expuesta públicamente tras una brecha de seguridad en un servicio online. Cuando una empresa sufre un ataque y los ciberdelincuentes acceden a su base de datos, publican o venden los pares usuario/contraseña en foros clandestinos. A partir de ese momento, esa credencial queda comprometida para siempre.

Las filtraciones más conocidas (LinkedIn, Adobe, Yahoo, Facebook, Dropbox) han expuesto más de 15.000 millones de registros combinados. Y esos son solo los casos que se han hecho públicos. Existen colecciones agregadas, como la famosa Collection #1 o RockYou2024, que reúnen más de 10.000 millones de contraseñas en un único archivo.

¿Por qué es peligroso que una contraseña esté filtrada?

El principal riesgo se llama credential stuffing: los atacantes automatizan intentos de acceso con las credenciales filtradas en cientos de servicios distintos (banca, correo, redes sociales, tiendas online). Si reutilizas contraseñas, basta con una filtración para que decenas de tus cuentas queden expuestas.

Herramientas para comprobar si tu contraseña fue filtrada

Existen servicios gratuitos, seguros y respaldados por la comunidad de ciberseguridad que te permiten verificar filtraciones sin comprometer tu privacidad. Ninguno te pedirá tu contraseña completa en texto plano si está bien diseñado.

1. Have I Been Pwned (HIBP)

Es el servicio de referencia mundial, creado por el investigador Troy Hunt. Tiene dos funcionalidades principales:

  • Búsqueda por email: introduces tu dirección de correo y te muestra en qué brechas ha aparecido.
  • Pwned Passwords: permite comprobar si una contraseña concreta forma parte de las más de 800 millones de claves filtradas de su base de datos.

Utiliza el protocolo k-anonymity: envías solo los primeros 5 caracteres del hash SHA-1 de tu contraseña, nunca la contraseña completa. Esto garantiza que ni siquiera HIBP conoce lo que estás comprobando.

2. Google Password Checkup

Si utilizas Chrome o el gestor de contraseñas de Google, tienes esta función integrada. Accede a passwords.google.com y pulsa en Comprobación de contraseñas. Google analiza tus credenciales guardadas y te avisa de:

  1. Contraseñas filtradas en brechas conocidas.
  2. Contraseñas reutilizadas en varios sitios.
  3. Contraseñas débiles o predecibles.

3. Firefox Monitor

Mozilla ofrece un servicio similar, integrado en el navegador Firefox y basado también en la base de datos de HIBP. Puedes suscribirte con tu correo para recibir alertas automáticas cuando aparezca en una nueva filtración.

4. Apple: Recomendaciones de seguridad

Los usuarios de iPhone, iPad o Mac pueden ir a Ajustes > Contraseñas > Recomendaciones de seguridad. iOS revisa continuamente las claves guardadas en el llavero y alerta si alguna coincide con una filtración conocida.

5. Gestores de contraseñas

Servicios como Bitwarden, 1Password, Dashlane o Proton Pass incluyen auditorías de seguridad que analizan tu bóveda entera y te indican qué claves están comprometidas, son débiles o están duplicadas.

Cómo usar Have I Been Pwned paso a paso

Vamos a ver la comprobación más habitual, la de un correo electrónico:

  1. Accede a haveibeenpwned.com desde un navegador seguro.
  2. Introduce tu dirección de correo electrónico en el campo principal.
  3. Pulsa el botón pwned?.
  4. Si aparece un mensaje verde (Good news), tu correo no aparece en ninguna brecha registrada.
  5. Si aparece un mensaje rojo (Oh no — pwned!), verás el listado de brechas: nombre del servicio, fecha del incidente y tipo de datos expuestos (contraseñas, direcciones, tarjetas, etc.).
  6. Anota en qué servicios has sido comprometido y cambia inmediatamente esas contraseñas.

Para comprobar contraseñas concretas, dirígete a haveibeenpwned.com/Passwords. Recuerda: aunque el protocolo es seguro, lo ideal es realizar estas verificaciones desde una red de confianza y un dispositivo actualizado.

Comparativa de herramientas de verificación

Herramienta Gratuita Comprueba email Comprueba contraseña Alertas automáticas Ideal para
Have I Been Pwned Sí (suscripción) Cualquier usuario
Google Password Checkup Indirecta Sí (bóveda) Usuarios de Chrome
Firefox Monitor No Usuarios de Firefox
Apple Recomendaciones No Sí (llavero) Ecosistema Apple
Bitwarden / 1Password Parcial Usuarios avanzados

Señales de que tu contraseña ya está siendo utilizada

A veces no hace falta consultar bases de datos: tu propia cuenta te da pistas de que ha sido comprometida. Presta atención a estas señales de alarma:

  • Inicios de sesión sospechosos: recibes correos de "nuevo acceso desde un dispositivo desconocido" o desde países en los que no has estado.
  • Correos enviados que no reconoces: en tu bandeja de Enviados aparecen mensajes que no has redactado.
  • Cambios de configuración inexplicables: reglas de reenvío automático, firmas nuevas o números de recuperación modificados.
  • Notificaciones de restablecimiento de contraseña que no has solicitado.
  • Actividad financiera anómala: compras, suscripciones o cargos que no reconoces.
  • Mensajes de amigos preguntando por enlaces extraños que "les has enviado".

Qué hacer si tu contraseña ha sido filtrada

Si una comprobación confirma que tu credencial está expuesta, actúa con rapidez siguiendo este protocolo:

1. Cambia la contraseña inmediatamente

Empieza por el servicio afectado, pero también por cualquier otra cuenta donde uses la misma clave o una variación evidente. Utiliza contraseñas únicas de al menos 14 caracteres, combinando mayúsculas, minúsculas, números y símbolos.

2. Activa la verificación en dos pasos (2FA)

Añade una segunda capa de seguridad. Prioriza aplicaciones autenticadoras (Google Authenticator, Authy, Aegis) o llaves físicas FIDO2 sobre los SMS, que son vulnerables al SIM swapping.

3. Cierra sesiones activas en todos los dispositivos

La mayoría de servicios (Google, Microsoft, Meta) permiten forzar el cierre de sesión en todos los dispositivos desde el panel de seguridad. Hazlo tras cambiar la contraseña para expulsar a posibles intrusos.

4. Revisa la configuración de recuperación

Comprueba que los emails y teléfonos de recuperación siguen siendo los tuyos. Un atacante puede haberlos modificado para bloquearte fuera de tu propia cuenta.

5. Instala un gestor de contraseñas

Es la única forma realista de mantener claves únicas y robustas para docenas de servicios. Un buen gestor genera, almacena y autocompleta tus contraseñas de forma cifrada.

6. Notifica a los servicios afectados

Si detectas fraude financiero, contacta con tu banco y presenta denuncia ante la Policía Nacional o la Guardia Civil. En el ámbito del RGPD, la AEPD (Agencia Española de Protección de Datos) permite presentar reclamaciones cuando un responsable de tratamiento no ha protegido adecuadamente tus datos.

Cómo crear contraseñas robustas y difíciles de filtrar

Prevenir es más eficiente que curar. Estas son las buenas prácticas recomendadas por el INCIBE y el Centro Criptológico Nacional:

  1. Longitud mínima de 14 caracteres. La longitud es más importante que la complejidad.
  2. Frases de paso (passphrases): combina 4-5 palabras aleatorias, por ejemplo caballo-nube-42-limón-tornado.
  3. Únicas por servicio: nunca reutilices la misma clave en dos sitios.
  4. Sin datos personales: evita nombres, fechas de nacimiento, matrículas o nombres de mascotas.
  5. Renovación tras incidentes: no cambies por rutina, pero sí en cuanto haya sospecha de filtración.
  6. Guarda en gestor cifrado: nunca en notas del móvil, hojas de cálculo o post-its.

Protege tu identidad digital más allá de las contraseñas

Comprobar filtraciones es solo una parte de una estrategia integral de privacidad. También conviene:

  • Reducir tu exposición pública: revisa qué información tuya circula por internet. Nuestra guía sobre cómo controlar tu huella digital explica cómo minimizarla paso a paso.
  • Utilizar alias de correo: servicios como SimpleLogin o Firefox Relay generan direcciones desechables para cada registro, así una filtración no expone tu correo real.
  • Configurar DNS cifrado (DoH/DoT): evita que tu proveedor o redes públicas registren tu navegación.
  • Vigilar los enlaces que compartes: si envías enlaces por correo o redes, plataformas como Lunyb te permiten acortarlos con protección de clic, contraseña y análisis, evitando que terceros rastreen destinos sensibles. Si gestionas muchos enlaces, revisa nuestra comparativa de las mejores plataformas de gestión de enlaces en 2026.
  • Mantener el software actualizado: muchas brechas se explotan tras vulnerabilidades sin parchear.

Marco legal en España: el papel del RGPD y la AEPD

El Reglamento General de Protección de Datos (RGPD) obliga a las empresas a notificar las brechas de seguridad a la AEPD en un plazo máximo de 72 horas y, cuando el riesgo para los usuarios sea alto, también a los afectados directamente. Si recibes una comunicación de este tipo:

  1. Léela con atención para identificar qué datos han sido expuestos.
  2. Cambia contraseñas y activa 2FA en el servicio implicado.
  3. Guarda la comunicación como prueba por si necesitas presentar reclamación.
  4. Consulta el estado de la brecha en el registro público de la AEPD.

Si consideras que la empresa no ha gestionado la incidencia adecuadamente, puedes presentar una reclamación gratuita en la sede electrónica de la AEPD.

Preguntas frecuentes (FAQ)

¿Es seguro escribir mi contraseña en Have I Been Pwned?

Sí, gracias al modelo k-anonymity. Tu navegador calcula un hash SHA-1 de la contraseña y solo envía los 5 primeros caracteres al servidor. HIBP nunca recibe la contraseña completa ni el hash entero, por lo que no puede reconstruirla. Aun así, es buena práctica cambiar cualquier clave que hayas verificado si detectas dudas.

Con qué frecuencia debo comprobar si mis contraseñas están filtradas?

Lo ideal es hacer una revisión completa cada 3-6 meses y, además, suscribirte a las alertas automáticas de HIBP o Firefox Monitor con tus correos principales. Así recibirás una notificación en el momento en que una nueva brecha exponga tus datos, sin esperar a la siguiente revisión manual.

¿Qué hago si me filtran datos que no son la contraseña, como el DNI o el teléfono?

Vigila especialmente el phishing y el smishing: los delincuentes usarán esos datos para intentar suplantar a bancos, Hacienda o mensajería. Considera bloquear tu perfil en el fichero ASNEF, contactar con tu operadora para reforzar la SIM contra el SIM swapping y presentar denuncia si detectas uso fraudulento. En casos graves, informa a la AEPD.

¿Los gestores de contraseñas son realmente seguros?

Los gestores de reconocido prestigio (Bitwarden, 1Password, Proton Pass, KeePassXC) utilizan cifrado de conocimiento cero: ni siquiera el proveedor puede leer tu bóveda. El único punto crítico es tu contraseña maestra: debe ser larga, única y estar protegida con 2FA. En términos de riesgo/beneficio, son mucho más seguros que reutilizar claves o apuntarlas en papel.

¿Cambiar la contraseña cada mes mejora la seguridad?

No. El NIST y el propio INCIBE han desaconsejado esa práctica desde hace años: obliga al usuario a crear claves más débiles y predecibles (con incrementos tipo Verano2025!). Lo recomendable es usar contraseñas largas y únicas, cambiarlas solo cuando exista sospecha de compromiso y confiar en 2FA como capa adicional.

Conclusión

Comprobar si tu contraseña ha sido filtrada es una acción sencilla, gratuita y que puede evitarte disgustos serios. Con herramientas como Have I Been Pwned, Google Password Checkup o el gestor de contraseñas de tu navegador tienes control real sobre tu exposición digital. Combina la verificación periódica con contraseñas únicas, 2FA y un gestor de confianza y estarás por delante del 90% de los usuarios en materia de seguridad.

La ciberseguridad no es un producto, es un hábito. Dedica quince minutos hoy a auditar tus credenciales y te ahorrarás semanas de problemas mañana.

Protect your links with Lunyb

Create secure, trackable short links and QR codes in seconds.

Get Started Free

Related Articles