Qué Hacer si te Roban tu Cuenta de Email: Guía de Emergencia 2026
Que te roben la cuenta de email es una de las situaciones más graves que puedes enfrentar en el mundo digital. Tu correo electrónico es la llave maestra de tu identidad online: desde él se pueden restablecer contraseñas de bancos, redes sociales, tiendas online y servicios de mensajería. Si te han robado la cuenta, cada minuto cuenta.
En esta guía completa te explicamos qué hacer paso a paso si te han hackeado el email, cómo recuperar el acceso, qué hacer después para minimizar daños y cómo prevenir que vuelva a ocurrir. Sigue las instrucciones en el orden indicado para maximizar tus probabilidades de éxito.
Cómo saber si te han robado la cuenta de email
El robo de una cuenta de email no siempre es evidente al instante. Los atacantes sofisticados intentan pasar desapercibidos para acceder a más servicios antes de que la víctima reaccione. Estas son las señales más comunes de que tu cuenta ha sido comprometida:
- No puedes iniciar sesión con tu contraseña habitual, aunque estés seguro de que es correcta.
- Recibes notificaciones de inicio de sesión desde dispositivos o ubicaciones que no reconoces.
- Tus contactos reciben emails extraños que tú no has enviado, normalmente con enlaces sospechosos o solicitudes de dinero.
- Faltan correos en tu bandeja de entrada, especialmente los relacionados con bancos o servicios importantes.
- Aparecen reglas de filtrado que no has creado (por ejemplo, que reenvían correos a una dirección externa).
- Recibes emails de "restablecimiento de contraseña" que no has solicitado de otros servicios.
- Tu firma o foto de perfil ha cambiado sin que tú la hayas modificado.
Paso 1: Actuar inmediatamente para recuperar el acceso
Si crees que han robado tu cuenta de email, la velocidad es crítica. Cuanto más tiempo tenga el atacante el control, más daño puede causar. Sigue estos pasos en orden:
1.1 Intenta cambiar la contraseña desde un dispositivo seguro
Usa un ordenador o móvil de confianza, preferiblemente diferente al que normalmente usas. Si el atacante ha instalado malware en tu dispositivo principal, podría capturar la nueva contraseña.
- Accede a la página oficial del proveedor (Gmail, Outlook, Yahoo, etc.). Escribe la URL manualmente, no uses enlaces de emails.
- Intenta iniciar sesión. Si la contraseña sigue funcionando, cámbiala inmediatamente.
- Crea una contraseña fuerte: mínimo 16 caracteres, combinando mayúsculas, minúsculas, números y símbolos.
1.2 Usa el proceso de recuperación oficial
Si no puedes iniciar sesión porque el atacante ya cambió la contraseña, utiliza los formularios de recuperación de cada proveedor:
- Gmail: accounts.google.com/signin/recovery
- Outlook/Hotmail: account.live.com/acsr
- Yahoo: login.yahoo.com/forgot
- iCloud: iforgot.apple.com
Prepárate para responder preguntas de seguridad, verificar mediante números de teléfono antiguos o aportar fechas aproximadas de creación de la cuenta. Cuanta más información correcta proporciones, mayores serán las probabilidades de recuperación.
1.3 Cierra todas las sesiones activas
Una vez recuperes el acceso, lo primero es expulsar al atacante. Todos los grandes proveedores permiten cerrar sesión de forma remota en todos los dispositivos:
- Gmail: ve al final de la bandeja de entrada, haz clic en "Detalles" y selecciona "Cerrar todas las sesiones web".
- Outlook: Configuración → Seguridad → Opciones de seguridad avanzadas → Cerrar sesión en todas partes.
Paso 2: Activar la autenticación en dos pasos (2FA)
Una vez dentro, activa inmediatamente la autenticación en dos pasos. Esto añade una segunda barrera que impide que el atacante vuelva a entrar incluso si conoce tu contraseña.
| Método 2FA | Nivel de seguridad | Recomendación |
|---|---|---|
| SMS | Bajo | Solo si no hay otra opción |
| App autenticadora (Google Authenticator, Authy) | Alto | Recomendado para la mayoría |
| Llave física (YubiKey, Titan) | Muy alto | Ideal para cuentas críticas |
| Passkey (clave de acceso) | Muy alto | El futuro, ya disponible |
Evita el SMS si es posible, ya que es vulnerable a ataques de SIM swapping (duplicado de tarjeta SIM). Las apps autenticadoras como Authy o Google Authenticator son una opción mucho más segura y gratuita.
Paso 3: Revisar la configuración de la cuenta
Recuperar el acceso no es suficiente. Los atacantes suelen dejar "puertas traseras" para volver a entrar más tarde. Revisa minuciosamente toda la configuración:
3.1 Direcciones de recuperación
Comprueba que el email y teléfono de recuperación siguen siendo tuyos. Los atacantes a menudo añaden sus propios datos para poder restablecer la contraseña en el futuro.
3.2 Reglas de reenvío y filtros
Una táctica común es crear filtros que reenvían correos sensibles (como los de bancos) a una cuenta del atacante, manteniendo así el acceso sin que lo notes. Revisa:
- Reglas de reenvío automático.
- Filtros que muevan correos a la papelera o archivos sin que los veas.
- Respuestas automáticas configuradas.
3.3 Aplicaciones y dispositivos conectados
Revisa la lista de aplicaciones de terceros con acceso a tu cuenta. Revoca el acceso a cualquiera que no reconozcas o que ya no uses. También revisa los dispositivos en los que la cuenta está activa.
3.4 Firma del correo
Comprueba que tu firma no haya sido modificada con enlaces maliciosos. Los atacantes pueden añadir URLs que apunten a sitios de phishing para que tus contactos sean víctimas también.
Paso 4: Proteger las cuentas asociadas
Tu email es la puerta de entrada a docenas (o cientos) de servicios. Si el atacante tuvo acceso, debes asumir que ha intentado o intentará acceder a ellos. Prioriza las cuentas más sensibles:
- Cuentas bancarias y financieras: cambia las contraseñas, revisa movimientos recientes y activa alertas SMS.
- Servicios de pago: PayPal, Bizum, Wise, etc.
- Redes sociales: Facebook, Instagram, X, LinkedIn.
- Servicios en la nube: Google Drive, Dropbox, iCloud.
- Tiendas online con datos de tarjeta guardados: Amazon, AliExpress, etc.
- Plataformas profesionales: herramientas de trabajo, gestores de proyectos.
Para cada una, cambia la contraseña y activa 2FA. Usa un gestor de contraseñas como Bitwarden, 1Password o KeePass para generar y almacenar contraseñas únicas y fuertes.
Paso 5: Avisar a tus contactos
Mientras el atacante tenía control de tu cuenta, es muy probable que enviara emails de phishing a tus contactos haciéndose pasar por ti. Envía un aviso claro:
"Hola, mi cuenta de email fue comprometida entre [fechas]. Si recibiste algún mensaje extraño durante ese periodo, por favor ignóralo y no hagas clic en ningún enlace. Ya he recuperado el control de la cuenta."
Este paso es especialmente importante en entornos profesionales, donde un email aparentemente legítimo puede causar fraudes de transferencia bancaria (estafa del CEO) o filtración de información sensible.
Paso 6: Denunciar el incidente
En España, el robo de cuentas de email es un delito tipificado en el Código Penal. Debes denunciar el incidente para que quede constancia oficial, especialmente si ha habido daños económicos o suplantación de identidad.
Dónde denunciar
- Policía Nacional: Grupo de Delitos Telemáticos. Puedes denunciar online en denuncias.policia.es o presencialmente.
- Guardia Civil: Grupo de Delitos Telemáticos (GDT), gdt.guardiacivil.es.
- AEPD (Agencia Española de Protección de Datos): si se han visto comprometidos datos personales tuyos o de terceros, puedes presentar una reclamación en aepd.es.
- INCIBE: línea de ayuda gratuita 017 para asesoramiento técnico.
Conserva toda la evidencia: capturas de pantalla, emails sospechosos, notificaciones de inicio de sesión. Esta documentación será fundamental para la investigación.
Paso 7: Analizar cómo ocurrió el ataque
Entender la causa del robo te ayudará a evitar que vuelva a ocurrir. Las vías más comunes son:
| Vector de ataque | Cómo funciona | Prevención |
|---|---|---|
| Phishing | Email falso que imita al proveedor | Verificar siempre la URL, no hacer clic en enlaces sospechosos |
| Contraseña reutilizada | Filtración en otro servicio | Usar contraseñas únicas con gestor |
| Malware/keylogger | Software malicioso captura teclas | Antivirus actualizado, no descargar de fuentes dudosas |
| WiFi pública | Interceptación de tráfico | Usar VPN en redes públicas |
| SIM swapping | Duplicado de tarjeta SIM | Activar PIN en la SIM, evitar 2FA por SMS |
| Ingeniería social | Engaño telefónico al soporte | Configurar palabras clave de seguridad |
Comprueba si tu email aparece en filtraciones conocidas usando servicios como Have I Been Pwned (haveibeenpwned.com). Si aparece, sabrás qué servicios filtraron tus datos y podrás reforzar la seguridad en ellos.
Cómo prevenir futuros robos de cuenta
La mejor estrategia es la prevención. Adoptar estos hábitos reducirá drásticamente las probabilidades de sufrir otro ataque:
1. Contraseñas únicas y gestor de contraseñas
Nunca reutilices contraseñas entre servicios. Un gestor como Bitwarden (gratuito y de código abierto) genera y guarda contraseñas únicas para cada cuenta.
2. 2FA en todas las cuentas críticas
No solo en el email: actívala en banca, redes sociales y cualquier servicio que la ofrezca. Prefiere apps autenticadoras o llaves físicas frente al SMS.
3. Email separado para servicios críticos
Considera usar una dirección de email dedicada (que nadie conozca) exclusivamente para banca y servicios financieros. Esto reduce la superficie de ataque considerablemente.
4. Mantén tus dispositivos actualizados
Sistema operativo, navegador, antivirus. Las actualizaciones de seguridad corrigen vulnerabilidades que los atacantes podrían explotar.
5. Desconfía de enlaces y archivos
Antes de hacer clic en un enlace, verifica el dominio real. Para ello puedes pasar el ratón por encima (sin clicar) o usar herramientas de análisis. Si compartes enlaces, hazlo con un acortador seguro como Lunyb, que ofrece protección contra malware y estadísticas detalladas para detectar actividad sospechosa. Conocer cómo funcionan los acortadores también te ayuda a identificar enlaces sospechosos: si te interesa el tema, lee nuestra comparativa de la mejor plataforma de gestión de enlaces 2026.
6. Revisa periódicamente la actividad de tu cuenta
Una vez al mes, revisa los inicios de sesión recientes, dispositivos conectados y configuración de seguridad. Detectar una intrusión a tiempo marca la diferencia.
Errores comunes que debes evitar
Cuando alguien descubre que le han robado el email, el pánico lleva a cometer errores que empeoran la situación. Evita estos errores frecuentes:
- No avisar a tus contactos: podrían ser víctimas también.
- Usar el mismo dispositivo que estaba comprometido sin haberlo escaneado antes con un antivirus.
- Crear una nueva cuenta y abandonar la antigua: mantienes el problema sin resolver y el atacante seguirá con acceso a tus otros servicios.
- Pagar a quien te pida dinero a cambio de devolverte el acceso: casi siempre es una estafa adicional.
- No documentar nada: sin pruebas, la denuncia tendrá poco recorrido.
- Confiar en "hackers éticos" desconocidos que ofrecen recuperar la cuenta por dinero.
Preguntas frecuentes
¿Puedo recuperar mi cuenta si el atacante cambió el email y teléfono de recuperación?
Sí, aunque es más difícil. Usa el formulario oficial de recuperación del proveedor y aporta toda la información posible: fechas aproximadas de creación, contactos frecuentes, asuntos de emails antiguos, ubicaciones desde las que sueles conectarte. El proceso puede tardar varios días, pero es viable. En casos extremos, puedes acudir presencialmente a las oficinas del proveedor si tiene sede en tu país.
¿Cuánto tiempo tengo para denunciar un robo de cuenta?
Cuanto antes mejor. Legalmente puedes denunciar en cualquier momento dentro de los plazos de prescripción del delito (varios años), pero las primeras 24-48 horas son críticas para que las autoridades puedan rastrear la actividad. Además, si ha habido cargos fraudulentos, los bancos suelen requerir denuncia inmediata para activar las protecciones.
¿Es obligatorio notificar a la AEPD si me roban el email?
Si eres un particular, no estás obligado a notificar a la AEPD. Sin embargo, si gestionabas datos personales de terceros (clientes, empleados) desde esa cuenta, sí podrías tener obligación de notificar la brecha de seguridad en un plazo de 72 horas según el RGPD. Consulta la web de la AEPD para más información sobre tu caso concreto.
¿Debo cerrar mi cuenta de email si la han hackeado?
No es necesario en la mayoría de casos. Una vez recuperado el acceso y reforzada la seguridad, la cuenta sigue siendo segura. Cerrarla podría hacerte perder históricos importantes y dificultar la recuperación de cuentas asociadas. Solo plantéate cerrarla si has sido víctima repetidas veces o si la cuenta tiene información tan sensible que prefieres empezar de cero.
¿Cómo sé si el atacante sigue teniendo acceso después de cambiar la contraseña?
Revisa la sección de "dispositivos conectados" o "actividad reciente" de tu cuenta. Si ves sesiones activas que no reconoces, ciérralas todas. También comprueba que no haya reglas de reenvío, aplicaciones de terceros sospechosas ni direcciones de recuperación alternativas. Si todo está limpio y la 2FA está activada, es muy poco probable que mantenga acceso.
Conclusión
Que te roben la cuenta de email es una situación estresante, pero con una respuesta rápida y metódica puedes minimizar el daño y recuperar el control. Recuerda los pasos clave: recuperar el acceso, activar 2FA, revisar configuración, proteger cuentas asociadas, avisar a contactos y denunciar.
La prevención es siempre la mejor estrategia: contraseñas únicas, autenticación en dos pasos, dispositivos actualizados y desconfianza ante enlaces sospechosos. Invertir tiempo en seguridad digital es invertir en tranquilidad. Tu identidad online vale la pena protegerla.
Protect your links with Lunyb
Create secure, trackable short links and QR codes in seconds.
Get Started FreeRelated Articles
Autenticación en Dos Pasos: Por Qué la Necesitas en 2026
La autenticación en dos pasos es la barrera más eficaz frente al robo de contraseñas y al phishing. Descubre qué métodos existen, cuáles son los más seguros y cómo activarla en tus cuentas paso a paso.
Mejor Gestor de Contraseñas en Español 2026: Comparativa Completa
Comparativa completa de los mejores gestores de contraseñas en español para 2026: Bitwarden, 1Password, NordPass, Proton Pass, Dashlane y KeePassXC. Análisis de precios, cifrado, cumplimiento RGPD y recomendaciones según tu perfil de usuario.
Estafas Bancarias por SMS: Cómo Evitarlas en 2026 (Guía Completa)
Las estafas bancarias por SMS o smishing son uno de los fraudes más comunes en España. Aprende a identificarlas, protegerte y actuar si has sido víctima. Guía completa con ejemplos reales, señales de alerta y marco legal según AEPD y PSD2.
Filtraciones de Datos en España 2026: Casos, Causas y Cómo Protegerte
Las filtraciones de datos en España han batido récords en 2026. Analizamos los casos más relevantes, las sanciones de la AEPD y las medidas prácticas para proteger tu información personal frente a brechas y ciberataques.