Cómo saber si tus contraseñas se han filtrado y qué hacer después

Tu navegador te avisa: contraseña comprometida
A ver, seamos sinceros: si estás aquí es porque seguro que has recibido ese aviso. El navegador o el teléfono te sale con un mensaje de contraseña comprometida, compromised password o simplemente te recomienda cambiarla. Y lo primero que se te pasa por la cabeza es: ¿me han hackeado?
La respuesta corta es que no necesariamente. Un aviso de contraseña filtrada no significa que alguien haya accedido a tu cuenta, pero sí es una señal para que actúes. No por miedo, sino por sentido común.
Qué significa realmente un aviso de contraseña filtrada
Antes de entrar en acción, conviene entender qué se está notificando. Un aviso de contraseña puede venir de varios lados y no siempre significa lo mismo.
En el día a día, lo más habitual es que tu gestor de contraseñas (Chrome, el sistema de tu móvil o una app de terceros) compare tus contraseñas guardadas con una base de datos de filtraciones conocidas. Cuando detecta una coincidencia, te avisa. Esa base de datos se alimenta de filtraciones reales que se han hecho públicas, pero eso no quiere decir que tu cuenta haya sido violada. Solo significa que esa contraseña apareció en una filtración de otro servicio.
Y aquí viene el punto clave: si usas la misma contraseña en varios sitios, una filtración en un servicio menor puede comprometerte en otro. Esa es la razón principal por la que los avisos importan.
Paso a paso: qué hacer cuando sale el aviso
No hay que entrar en pánico, pero sí hay que actuar. Sigue estos pasos en orden.
1. Comprueba tu email en Have I Been Pwned
La herramienta más fiable y conocida es Have I Been Pwned. Introduces tu dirección de email y la web te dice si ha aparecido en alguna filtración conocida. También puedes comprobar directamente las contraseñas en Pwned Passwords, que te indica si una contraseña específica se ha filtrado sin necesidad de subirla a ningún servidor.
HIBP agrega brechas conocidas de forma continua, así que cada vez que revises tendrás información actualizada. No necesitas crear una cuenta para hacer las consultas básicas.
2. Revisa tus contraseñas guardadas
Entra en Google Password Manager o en la configuración de contraseñas de tu navegador. Ahí verás la lista de servicios para los que has guardado contraseña. Los que tengan una advertencia de compromiso son los que tienes que atender primero.
También puedes revisar las contraseñas guardadas directamente en el móvil. En Android, ve a Ajustes → Google → Administrador de contraseñas de Google. En iPhone, ve a Ajustes → Contraseñas.
3. Prioriza las cuentas más importantes
No todo tiene la misma urgencia. Atiende primero a:
- Correo electrónico principal. Es la llave de todo: si te lo comprometen, pueden resetear las contraseñas del resto de servicios.
- Banca y cuentas financieras. Por obvio que suene, estas van siempre al frente.
- Redes sociales. Una cuenta comprometida puede usarse para estafar a tus contactos.
- Tiendas online con tarjeta guardada. Si hay riesgo, mejor prevenir.
- Cualquier servicio donde reutilizaste la misma contraseña. Si la contraseña filtrada la usas en varios sitios, todos están en riesgo.
4. Cambia la contraseña desde la web oficial del servicio
Nunca cambies tu contraseña desde un enlace que te llegue por email o SMS. Siempre navega directamente a la web del servicio. Ve a su página oficial, busca la sección de seguridad o contraseñas y cámbiala desde allí.
Los sitios phishing imitan perfectamente las páginas de login. Si no escribes la URL tú mismo o no la tienes entre tus favoritos, no te fíes de los enlaces.
5. Usa contraseñas únicas y un gestor de contraseñas
Este es el consejo que suena a mantra, pero funciona: una contraseña distinta para cada servicio. Y para no tener que memorizar un arsenal, utiliza un gestor de contraseñas. El NCSC recomienda los gestores de contraseñas como la mejor forma de mantener credenciales únicas sin complicarte la vida (NCSC).
Tanto Google Password Manager como las opciones integradas en iOS o apps como 1Password, Bitwarden o KeePass cumplen esa función. Lo importante es que la contraseña la genere el gestor, no tú.
6. Activa la verificación en dos pasos
Donde el servicio lo permita, activa la verificación en dos pasos (2FA). Es ese segundo paso que te pide un código además de la contraseña, ya sea por SMS, por una app de autenticación o por una clave de seguridad.
Aunque filtren tu contraseña, sin el segundo factor no podrán entrar. Y entre las opciones, las apps de autenticación como Google Authenticator o Authy son más seguras que los SMS.
7. Revisa sesiones abiertas y dispositivos conectados
Muchos servicios te permiten ver desde qué dispositivos y ubicaciones has entrado. Comprueba esa sección. Si ves algo que no reconoces, cierra esa sesión inmediatamente.
En tu cuenta de Google, por ejemplo, puedes ir a Seguridad → Tus dispositivos → Gestionar todos los dispositivos. En otras cuentas, la opción suele llamarse Dispositivos conectados o Actividad reciente.
Resumen rápido: si ves esto, haz esto
| Lo que ves | Qué hacer |
|---|---|
| El navegador me avisa de contraseña comprometida | Comprobar en Have I Been Pwned y cambiar la contraseña en la web oficial |
| Mi email apareció en una filtración | Revisar todas las cuentas donde uso ese email y cambiar las que compartan contraseña |
| Sesiones desconocidas | Cerrar sesiones y cambiar la contraseña del servicio afectado |
| No tengo 2FA activado | Activarlo donde esté disponible, de preferencia con app de autenticación |
| Uso la misma contraseña en varios sitios | Migrar a contraseñas únicas con un gestor de contraseñas |
Qué hacer hoy y qué hábito mantener
Aquí no se trata de entrar en paranoia. Se trata de poner orden. Si tu móvil o navegador te ha sacado un aviso, dedica diez minutos hoy a comprobar Have I Been Pwned, revisar las cuentas prioritarias y cambiar las contraseñas que lo necesiten.
Lo que sí puedes convertir en hábito es mantener un gestor de contraseñas activo y activar la verificación en dos pasos en las cuentas importantes. Esos dos pasos, tomados en conjunto, cubren la inmensa mayoría de los riesgos reales a los que te enfrentas a diario.
Como dice la FTC en su guía para proteger tu información personal, la mejor defensa no es una sola acción, sino un conjunto de hábitos que, sumados, hacen mucho más difícil que alguien acceda a tus cuentas (FTC). Y Google también recomienda revisar periódicamente tus contraseñas guardadas para detectar posibles problemas a tiempo (Google Support).
No esperes a que el aviso llegue a tu pantalla. Si aún no has comprobado si tus datos han salido a la luz, ese momento es ahora.
Autor
