Guía

Te han filtrado el correo: cómo comprobarlo y qué hacer

Publicado el · Equipo Aprende Ciberseguridad

TL;DR: cuando una web sufre un ataque, tu correo y tu contraseña acaban en listas que circulan por internet. Puedes comprobar gratis si te ha pasado, y la defensa es siempre la misma: contraseñas distintas para cada sitio y verificación en dos pasos. Así, aunque se filtre una, las demás siguen a salvo.

No hace falta que te hackeen a ti. Basta con que ataquen a una tienda, un foro o una app donde te registraste hace años. Cuando eso ocurre —lo llaman una filtración o brecha de datos—, tu correo y la contraseña que usaste salen a la luz y terminan en listas que los delincuentes compran y prueban en otros sitios.

¿El problema de verdad? Que casi todos reutilizamos la misma contraseña (o dos parecidas). Así, una sola filtración les abre la puerta de tu correo, tu banco y tus redes. La buena noticia: comprobarlo es gratis y cerrar la puerta está a tu alcance hoy mismo.

Qué es una filtración de datos (y por qué te afecta)

Una filtración ocurre cuando alguien roba la base de datos de usuarios de una empresa. Dentro suele haber correos, contraseñas y, a veces, teléfonos o direcciones.

El peligro no es solo esa web concreta. Es lo que viene después: los ladrones cogen tu correo y tu contraseña filtrada y los prueban, de forma automática, en cientos de servicios populares. A esto se le llama «credential stuffing» (probar credenciales robadas en masa). Si reutilizas claves, entran sin esfuerzo.

Cómo comprobar si tu correo está en una filtración

Existe una herramienta gratuita y de referencia: Have I Been Pwned (haveibeenpwned.com). La creó un investigador de seguridad reconocido y la usan medios y profesionales de todo el mundo.

  1. Entra en haveibeenpwned.com (escribiéndolo tú en el navegador).
  2. Escribe tu dirección de correo y pulsa «pwned?».
  3. Si sale en verde, no apareces en filtraciones conocidas. Si sale en rojo, te listará en qué servicios se filtraron tus datos y qué tipo de información.

Que aparezcas no significa que te vayan a robar hoy. Significa que esa contraseña, en esos sitios, ya no es secreta. Toca cambiarla.

Un apunte de tranquilidad: la web solo necesita tu correo para la consulta y no te pide la contraseña. Aun así, escribe la dirección tú mismo en el navegador para no caer en una imitación.

Tu navegador o tu gestor de contraseñas también suelen avisarte: muchos vigilan tus claves y te marcan en rojo las que se han filtrado.

Qué hacer si tus datos están filtrados

Sin agobios y por orden:

  1. Cambia la contraseña del servicio afectado por una nueva, larga y única. Puedes crearla en segundos con nuestro generador de contraseñas.
  2. Cámbiala también en cualquier otro sitio donde usaras esa misma clave. Este es el paso que más gente se salta y el más importante.
  3. Activa la verificación en dos pasos en el correo, el banco y las redes. Aunque tengan tu contraseña, sin el segundo código no entran.
  4. Vigila tu correo y tus cuentas las semanas siguientes: si ves accesos raros o mensajes que no reconoces, cambia claves de nuevo.
  5. Si la filtración incluía datos del banco o la tarjeta, avisa a tu entidad para que vigile movimientos.

La causa de raíz: dejar de reutilizar contraseñas

Comprobar filtraciones está bien, pero es reaccionar. La solución de fondo es no repetir contraseñas nunca. Así, el día que se filtre una web, el daño se queda en esa web y no salpica a tu vida entera.

Hacerlo a mano es imposible: nadie memoriza cincuenta claves distintas. Por eso existe el gestor de contraseñas, que las inventa y las recuerda por ti. Tú solo memorizas una clave maestra. Te lo contamos a fondo en la guía de gestores de contraseñas, empezando por una opción gratuita.

Cómo reducir tu exposición a futuro

  • Una contraseña por sitio, gestionada con un gestor.
  • Verificación en dos pasos en todo lo importante.
  • Menos cuentas zombi: date de baja de servicios que ya no usas; lo que no existe no se filtra.
  • Un correo aparte para registros poco importantes (sorteos, descargas, foros), separado del correo serio del banco.

Preguntas frecuentes

Aparezco en una filtración de hace años. ¿Tengo que preocuparme? Lo importante es si esa contraseña sigue en uso en algún sitio. Si ya la cambiaste por una única y activaste la verificación en dos pasos, el riesgo es bajo. Si la sigues usando, cámbiala hoy.

¿Es seguro escribir mi correo en Have I Been Pwned? Sí. Es una herramienta gratuita y respetada en el sector que solo comprueba el correo contra filtraciones ya conocidas; no te pide la contraseña. Como siempre, entra escribiendo tú la dirección para evitar imitaciones.

Me han filtrado el teléfono, no la contraseña. ¿Y eso? Un teléfono filtrado se usa sobre todo para estafas por SMS (smishing) y llamadas. No cambies de número por norma; basta con desconfiar de mensajes y llamadas que te metan prisa o pidan datos.

Si crees que ya han entrado en alguna cuenta, no te quedes con la duda: pásate por nuestra ayuda o llama gratis al 017 de INCIBE.