facebook-pixel
L
Lunyb

Qué Hacer si te Roban tu Cuenta de Email: Guía de Recuperación 2026

E
Equipo de Seguridad Lunyb
··9 min read

Que te roben la cuenta de email es una de las experiencias digitales más estresantes que puedes vivir. Tu correo electrónico es la llave maestra de tu vida online: desde él se restablecen contraseñas de bancos, redes sociales, plataformas de compra y servicios laborales. Si un atacante toma el control, las consecuencias pueden ir desde el robo de identidad hasta el fraude financiero.

En esta guía completa te explicamos qué hacer en las primeras horas críticas, cómo recuperar el acceso, qué derechos tienes según el RGPD y cómo denunciar el incidente ante la AEPD y las Fuerzas y Cuerpos de Seguridad del Estado.

Cómo saber si te han robado la cuenta de email

Antes de actuar, conviene confirmar que realmente se trata de un acceso no autorizado y no de un fallo técnico. Estas son las señales más habituales de que te han robado la cuenta de email:

  • No puedes iniciar sesión con tu contraseña habitual.
  • Recibes notificaciones de cambio de contraseña que tú no has solicitado.
  • Aparecen correos enviados desde tu cuenta que no reconoces.
  • Tus contactos te avisan de mensajes extraños procedentes de tu dirección.
  • Detectas inicios de sesión desde ubicaciones o dispositivos desconocidos.
  • Han desaparecido correos importantes (bancarios, facturas, recibos).
  • Se han añadido reglas de reenvío automático sin tu autorización.

Si reconoces dos o más de estas señales, asume que la cuenta está comprometida y actúa de inmediato.

Primeros pasos en las primeras 30 minutos

El tiempo es crítico. Cuanto antes actúes, menos daño podrá hacer el atacante. Sigue este orden de prioridades:

  1. Intenta recuperar la contraseña usando la opción "He olvidado mi contraseña" del proveedor (Gmail, Outlook, Yahoo, ProtonMail, etc.).
  2. Cierra todas las sesiones activas desde la configuración de seguridad. En Gmail está en "Mi cuenta > Seguridad > Tus dispositivos".
  3. Activa la verificación en dos pasos (2FA) en cuanto recuperes el acceso, preferiblemente con app autenticadora o llave física, no SMS.
  4. Revisa los datos de recuperación: teléfono, email secundario y preguntas de seguridad. El atacante suele cambiarlos para mantener el control.
  5. Comprueba las reglas de filtrado y reenvío automático. Es la técnica más usada para que sigan recibiendo tus correos sin que te des cuenta.
  6. Avisa a tus contactos de que tu cuenta ha sido comprometida y que ignoren cualquier mensaje sospechoso.

Qué NO debes hacer

  • No uses la misma contraseña en otros servicios mientras investigas el incidente.
  • No abras enlaces de "recuperación" que lleguen a otras cuentas si no los has solicitado tú.
  • No pagues a nadie que prometa "recuperar tu cuenta hackeada" en redes sociales: es estafa en el 99% de los casos.
  • No borres los correos sospechosos: te servirán como prueba en una denuncia.

Cómo recuperar la cuenta según tu proveedor

Cada proveedor tiene su propio proceso de recuperación. A continuación te resumimos los enlaces y pasos clave de los más utilizados en España.

Gmail (Google)

Accede a g.co/recover e introduce tu dirección. Google te pedirá información que solo tú deberías conocer: contraseñas anteriores, fecha de creación de la cuenta, dispositivos habituales. Cuanta más información correcta proporciones, más posibilidades tienes de recuperarla. Si lo consigues, ve a Seguridad > Actividad reciente y revisa todos los inicios de sesión.

Outlook / Hotmail (Microsoft)

Visita account.live.com/acsr y rellena el formulario de recuperación. Microsoft suele tardar entre 24 y 72 horas en validar la identidad. Te recomendamos hacer la solicitud desde un dispositivo y red que sueles usar para iniciar sesión.

Yahoo Mail

Yahoo permite recuperación mediante teléfono o email alternativo. Si ambos han sido modificados por el atacante, tendrás que contactar con su soporte mediante el formulario de cuenta comprometida.

ProtonMail / Tutanota

Estos servicios cifrados son más estrictos: si pierdes la contraseña y no tienes la frase de recuperación, no podrán recuperarla por motivos de privacidad. Por eso es imprescindible guardar offline las claves de recuperación cuando creas la cuenta.

Tabla comparativa: tiempos y métodos de recuperación

Proveedor Tiempo medio Método principal Soporte humano
Gmail 1-24 horas Formulario automatizado Limitado
Outlook 24-72 horas Formulario ACSR Sí, por chat
Yahoo 24-48 horas Teléfono / email alternativo
ProtonMail No recuperable sin clave Frase de recuperación No (por diseño)
iCloud (Apple) 1-7 días Apple ID Recovery Sí, telefónico

Qué hacer después de recuperar la cuenta

Recuperar el acceso es solo el primer paso. Ahora toca limpiar y blindar la cuenta para evitar que vuelva a ocurrir. Este es el plan de acción recomendado:

  1. Cambia la contraseña por una única y robusta de al menos 16 caracteres. Usa un gestor de contraseñas (Bitwarden, 1Password, KeePass) para no reutilizarla.
  2. Activa 2FA con app autenticadora (Google Authenticator, Authy, Aegis) o llave física FIDO2 (YubiKey).
  3. Revisa aplicaciones de terceros conectadas y revoca cualquier acceso que no reconozcas.
  4. Comprueba la bandeja de enviados, papelera y borradores para detectar comunicaciones fraudulentas.
  5. Cambia las contraseñas de servicios críticos: banca, Hacienda, redes sociales, plataformas de comercio. Asume que el atacante ha podido pedir restablecimientos.
  6. Revisa movimientos bancarios de los últimos 30 días y avisa a tu banco si detectas algo raro.
  7. Escanea tu equipo con un antivirus actualizado por si la filtración vino de un malware local.

Qué hacer si el atacante usó tu email para enviar enlaces

Es habitual que los atacantes usen cuentas robadas para enviar enlaces de phishing a tus contactos. Si descubres que se han enviado URL desde tu cuenta, avisa a los destinatarios y, en el futuro, comparte enlaces solo desde plataformas de confianza con protección antifraude. Si usas acortadores como Lunyb, podrás revocar enlaces, ver estadísticas de clics y detectar usos sospechosos en tiempo real, algo imposible con un enlace largo enviado desde un correo comprometido.

Cómo denunciar el robo de cuenta en España

El robo de una cuenta de correo es un delito tipificado en el Código Penal español (artículos 197 y siguientes, sobre descubrimiento y revelación de secretos). Tienes derecho y, en muchos casos, deber de denunciarlo.

1. Denuncia ante la Policía Nacional o Guardia Civil

Puedes hacerlo de forma presencial en cualquier comisaría o cuartel, o a través de la Oficina Virtual de Denuncias de la Policía Nacional. La Guardia Civil cuenta con el Grupo de Delitos Telemáticos (GDT), especializado en ciberdelincuencia.

Para la denuncia, aporta:

  • Capturas de pantalla de los accesos no autorizados.
  • Cabeceras completas de los correos sospechosos.
  • Direcciones IP de los inicios de sesión extraños (Gmail y Outlook las muestran).
  • Cualquier comunicación recibida del atacante (extorsión, peticiones de rescate).

2. Notificación a la AEPD

Si la cuenta robada es profesional y contiene datos personales de terceros (clientes, empleados, proveedores), tu empresa tiene la obligación, según el artículo 33 del RGPD, de notificar la brecha de seguridad a la Agencia Española de Protección de Datos (AEPD) en un plazo máximo de 72 horas desde que se detecta. La sede electrónica de la AEPD dispone del formulario "Notificación de brechas de seguridad".

Si los afectados corren un alto riesgo, también deberás comunicárselo directamente (artículo 34 RGPD).

3. Aviso al INCIBE

El Instituto Nacional de Ciberseguridad (INCIBE) ofrece la línea gratuita 017 y un servicio de ayuda en ciberseguridad para particulares y empresas. No tramitan denuncias, pero te asesoran sobre los pasos técnicos a seguir.

Cómo evitar que vuelva a pasar: 8 buenas prácticas

La mejor recuperación es la prevención. Aplica estas medidas para reducir drásticamente el riesgo de que vuelvan a robarte la cuenta de email:

  1. Contraseñas únicas y largas generadas por un gestor de contraseñas.
  2. 2FA siempre activo, preferiblemente con llave física o app TOTP.
  3. Email de recuperación independiente, que no uses para nada más y que también tenga 2FA.
  4. Desconfía de los correos urgentes que te piden hacer clic en enlaces o introducir credenciales: el phishing es la causa nº1 de cuentas robadas.
  5. Comprueba la URL antes de pulsar. Pasa el ratón sobre el enlace para ver el destino real.
  6. Mantén el sistema y el navegador actualizados para evitar vulnerabilidades.
  7. Usa una cuenta separada para registros poco importantes (newsletters, foros), distinta de la principal.
  8. Revisa periódicamente Have I Been Pwned (haveibeenpwned.com) para ver si tu email aparece en filtraciones.

Recursos adicionales útiles

Si tu trabajo o negocio depende del email, también te interesa proteger los enlaces que envías y la imagen de marca. Te recomendamos estos artículos relacionados:

Preguntas frecuentes (FAQ)

¿Cuánto tarda en recuperarse una cuenta de email robada?

Depende del proveedor. Gmail puede resolverlo en horas si aportas información correcta; Outlook tarda entre 24 y 72 horas; Apple iCloud puede llegar a una semana. ProtonMail y Tutanota no permiten recuperación si pierdes la frase, por su política de cifrado de extremo a extremo.

¿Qué pasa si el atacante ha cambiado el email y el teléfono de recuperación?

Todos los grandes proveedores tienen formularios de "cuenta comprometida" donde puedes verificar tu identidad respondiendo preguntas históricas (fechas, contactos frecuentes, contraseñas antiguas). Cuanta más información correcta proporciones desde un dispositivo conocido, más probabilidades tendrás de recuperarla.

¿Tengo que denunciar obligatoriamente el robo de mi cuenta personal?

Para cuentas personales no es obligatorio denunciar, pero sí muy recomendable, especialmente si ha habido fraude económico o suplantación. Para cuentas profesionales que gestionan datos de terceros, la notificación a la AEPD en 72 horas sí es obligatoria según el artículo 33 del RGPD.

¿Pueden usar mi email robado para suplantar mi identidad en otros servicios?

Sí, y es uno de los mayores riesgos. Con acceso a tu correo, el atacante puede solicitar restablecimientos de contraseña en tu banco, Hacienda, Amazon, redes sociales, etc. Por eso, tras recuperar la cuenta, es imprescindible cambiar las contraseñas de todos los servicios críticos asociados a ese email.

¿Sirve de algo cambiar solo la contraseña sin activar 2FA?

Es claramente insuficiente. Si tu contraseña apareció en una filtración o el atacante instaló un keylogger, volverá a entrar en cuanto pueda. La verificación en dos pasos (2FA), idealmente con app autenticadora o llave física FIDO2, es la barrera más efectiva contra accesos no autorizados, incluso si la contraseña queda expuesta.

Protect your links with Lunyb

Create secure, trackable short links and QR codes in seconds.

Get Started Free

Related Articles

Tu DNI ha sido Filtrado: Qué Hacer Paso a Paso (Guía 2026)

¿Tu DNI ha sido filtrado en una brecha de datos? Te explicamos paso a paso qué hacer: denuncia ante la AEPD, protección bancaria, cambio de DNI y cómo evitar la suplantación de identidad. Guía completa con base legal RGPD para España.

10 min

Estafas Bancarias por SMS: Cómo Evitarlas en 2026

Las estafas bancarias por SMS (smishing) se han convertido en una de las amenazas más extendidas en España. Aprende a identificar mensajes fraudulentos, qué hacer si caes en la trampa y cómo blindar tu cuenta bancaria con medidas efectivas.

9 min

Autenticación en Dos Pasos: Por Qué la Necesitas en 2026

La autenticación en dos pasos bloquea el 99,9% de los ataques automatizados a cuentas. Descubre qué métodos existen, cuáles son los más seguros y cómo activarla correctamente en todos tus servicios para proteger tu identidad digital.

8 min

Ingeniería Social: Tipos y Cómo Defenderse en 2026

La ingeniería social es la causa principal de los incidentes de ciberseguridad en España. Descubre los 9 tipos más comunes —phishing, vishing, smishing, whaling y más— y aprende un método paso a paso para defenderte de ellos en tu vida personal y profesional.

9 min