Saltar al contenido

Cómo saber si tus contraseñas han sido filtradas (y qué hacer)

A veces pensamos que nuestras contraseñas están seguras porque “nadie nos conoce” o porque “no somos famosos”, y no van a venir a por nosotros, que a los ciberdelincuentes no les interesamos. Pero la realidad es que las filtraciones de datos no van dirigidas a personas concretas, sino a millones de cuentas a la vez. Y da igual si eres una familia normal, un padre, una madre o un niño: si tu contraseña estaba en esa base de datos filtrada, está comprometida y eres un objetivo.

A mí me pasó no hace mucho. Recibí un aviso de que una contraseña mía había aparecido en una filtración masiva. No me habían hackeado, no había hecho nada raro, ni me había metido en páginas de dudosa procedencia… simplemente esa web había sufrido un ciberataque y los datos habían sido robados. Desde entonces, reviso periódicamente si mis contraseñas han sido filtradas y enseño a mi familia a hacer lo mismo.

Porque hoy en día se producen filtraciones de datos constantemente. Grandes empresas de servicios digitales, redes sociales o tiendas online (donde tenemos cuentas creadas y por tanto nuestros datos), sufren ataques donde millones de contraseñas quedan expuestas.

La mayoría de las personas no saben que sus datos han sido filtrados… hasta que ya es demasiado tarde.

🔎 Qué encontrarás en esta guía
🔎 Qué encontrarás en esta guía

🔍 Qué significa que una contraseña “se haya filtrado”

Cuando una contraseña se filtra, significa que ha aparecido en una base de datos robada de alguna web o servicio. No es culpa tuya. No significa que hayas hecho nada mal. Simplemente estas cosas ocurren.

Puede pasar por:

  • Hackeo de una web donde tenías cuenta.
  • Robo de datos de una app.
  • Filtración de un servicio antiguo que ya ni recuerdas.
  • Malware o spyware —programas maliciosos o espías— en un dispositivo (menos común, pero posible).

Lo importante es entender esto:

Si una contraseña aparece en una filtración, deja de ser segura. Aunque sea larga, “difícil” y nunca la hayas compartido.

🚨 Qué puede pasar si no cambias una contraseña filtrada

Sé que la tentación es pensar que si hasta ahora no ha pasado nada, probablemente no pase. Yo también lo pensé. El problema es que cuando una contraseña aparece en una filtración, no significa que alguien la esté usando en ese momento. Significa que está disponible para quien quiera usarla, ahora o dentro de seis meses.

Ciberdelincuente manejando un ordenador

Y lo que hacen los ciberdelincuentes con esas bases de datos es automatizar el proceso. No hay una persona sentada probando contraseñas una a una. Hay programas que en cuestión de minutos prueban millones de combinaciones en correos, redes sociales, plataformas de streaming y bancos. Sin descanso, sin parar.

Si tu contraseña filtrada es la misma que usas en el email, tienen acceso a tu correo. Desde ahí pueden resetear cualquier otra cuenta, ver tus fotos, leer tus mensajes y suplantar tu identidad. Si encima es la misma que usas en el banco o en Amazon, puedes imaginarte el problema.

Y si tus hijos usan esa misma contraseña en sus juegos o redes sociales, ellos también están expuestos. Una filtración en una web pequeña y aparentemente inofensiva puede ser la puerta de entrada a algo mucho más serio si se repiten contraseñas.

Por eso cuando aparece una filtración no hay que pensárselo. Hay que actuar.

⚠️ Señales de que una cuenta puede estar comprometida

A veces no necesitas buscar una filtración para saber que algo no va bien. Tu propia cuenta te manda señales. El problema es que la mayoría de las personas no saben reconocerlas o las ignoran pensando que es un error técnico.

Estas son las más comunes y lo que significan:

Recibes emails de cambio de contraseña sin haberlo pedido tú. Alguien está intentando entrar en tu cuenta y ha solicitado un reseteo. Si no has sido tú, es una señal clara de que alguien tiene tu email y está intentando tomar el control. Actúa inmediatamente.

Ves inicios de sesión desde dispositivos o ubicaciones que no reconoces. La mayoría de los servicios como Google, Instagram o iCloud te permiten ver desde dónde se ha accedido a tu cuenta. Si aparece un inicio de sesión desde una ciudad donde no has estado o desde un dispositivo que no es tuyo, alguien más tiene acceso.

Encuentras mensajes enviados que no recuerdas haber escrito. Emails enviados, mensajes de WhatsApp o publicaciones en redes sociales que no son tuyos. Si alguien ha entrado en tu cuenta, puede usarla para enviar estafas a tus contactos haciéndose pasar por ti.

Recibes alertas de seguridad en tu móvil o email. Google, Apple y la mayoría de las redes sociales envían avisos automáticos cuando detectan actividad sospechosa. No los ignores ni los mandes a la papelera. Son avisos reales y hay que hacerles caso.

Ves apps o servicios conectados a tu cuenta que no recuerdas haber autorizado. En casi todas las cuentas puedes ver qué aplicaciones tienen acceso a ella. Si aparece algo que no reconoces, esa app puede estar leyendo tus datos sin que lo sepas. Quítale el acceso inmediatamente.

Si detectas cualquiera de estas señales, no esperes a comprobar si hay una filtración. Cambia la contraseña ahora y activa la verificación en dos pasos si no la tienes ya.

🧰 Cómo saber si tus contraseñas han sido filtradas (paso a paso)

Hay tres formas de comprobarlo. Las tres son gratuitas, sencillas y no llevan más de dos minutos. Te explico cada una para que elijas la que mejor se adapta a ti.

1. Have I Been Pwned: la más conocida y fiable

Es la herramienta de referencia en el mundo de la ciberseguridad. La creó un investigador especializado en filtraciones de datos y hoy la usan desde particulares hasta grandes empresas para monitorizar si sus datos han quedado expuestos. Es gratuita, independiente y no tiene ningún interés comercial detrás.

Cómo usarla:

  • Abre tu navegador y entra en haveibeenpwned.com
  • Escribe tu dirección de correo electrónico
  • Pulsa «Check» y espera el resultado

Si aparece en verde, tu email no está en ninguna filtración conocida. Si aparece en rojo, te dirá exactamente en qué filtraciones ha aparecido y cuándo ocurrieron.

Una cosa importante: esta herramienta solo te pide el email, nunca la contraseña. Si alguna web te pide que introduzcas tu contraseña para comprobar si ha sido filtrada, no lo hagas. No es así como funciona ninguna herramienta legítima.

Repite esta comprobación con todos los emails que uses en casa, el tuyo, el de tu pareja y cualquier cuenta que hayas creado para tus hijos.

2. Tu gestor de contraseñas: la opción más cómoda para el día a día

Si ya usas un gestor de contraseñas como NordPass o 1Password, tienes esta función incluida sin necesidad de hacer nada extra. Es la opción que más recomiendo para familias porque no depende de que te acuerdes de revisar nada: el gestor lo hace por ti de forma automática y te avisa cuando detecta un problema.

Lo que hace concretamente:

  • Revisa de forma periódica si alguna de tus contraseñas guardadas aparece en bases de datos de filtraciones conocidas
  • Te avisa si una contraseña es débil o está repetida en varias cuentas
  • Te indica cuáles son las más urgentes de cambiar y por qué

En NordPass esta función se llama «Escáner de brechas de datos» y aparece en el panel principal. En 1Password se llama «Watchtower» y hace lo mismo con un resumen visual muy claro de qué contraseñas necesitan atención.

Si aún no usas un gestor, este es otro buen motivo para empezar.

3. Las alertas de Google y Apple: lo que ya tienes en el móvil

Tanto Google como Apple llevan años incorporando avisos de seguridad en sus dispositivos. La mayoría de las personas los tienen activados sin saberlo, pero nunca los revisan. Si usas Android o iPhone, tienes esta herramienta a un par de toques.

En Android:

  • Ve a Ajustes
  • Entra en Administración general o Google
  • Busca Contraseñas o Gestor de contraseñas de Google
  • Ahí verás un resumen de contraseñas filtradas, débiles o repetidas

En iPhone:

  • Abre la app Contraseñas (el icono con tres llaves de colores)
  • Entra en Seguridad
  • Verás las contraseñas marcadas como comprometidas, débiles o reutilizadas

Si aparece un aviso, no lo ignores. No es un error del sistema ni una notificación genérica. Significa que esa contraseña está en una base de datos de filtraciones reales y hay que cambiarla.

La limitación de esta opción es que solo revisa las contraseñas que tienes guardadas en Google o en el llavero de Apple. Si usas contraseñas que no están guardadas ahí, no las detectará. Por eso para una protección completa de toda la familia, la combinación de Have I Been Pwned y un gestor de contraseñas sigue siendo la mejor opción.

🧱 Qué hacer si tu contraseña aparece en una filtración

Aquí no hay debate ni tiempo que perder. Cuando una contraseña aparece en una filtración hay que cambiarla, punto. Pero no de cualquier forma. Hacerlo mal es casi tan peligroso como no hacerlo.

Estos son los pasos que yo sigo, en este orden.

Cambia la contraseña inmediatamente, pero hazlo bien.

Nada de coger la contraseña antigua y añadirle un número al final. Eso no es cambiar la contraseña. Crea una contraseña nueva, larga y que no hayas usado antes en ningún sitio. Si necesitas un método para crearla, aquí te explico cómo crear contraseñas seguras.

Revisa si usabas esa misma contraseña en otros sitios.

Este paso es el que más personas se saltan y el más importante después del primero. Si repetías esa contraseña en el email, en el banco, en Instagram o en cualquier otro servicio, cámbiala también ahí. Una filtración en una web pequeña puede ser la puerta de entrada a cuentas mucho más sensibles si las contraseñas son iguales.

Activa la verificación en dos pasos en esa cuenta.

Es el seguro que te protege, aunque alguien tenga tu contraseña. Con la verificación en dos pasos activada, aunque un atacante consiga tu clave, no puede entrar sin ese segundo código que solo llega a tu móvil. Si tienes dudas sobre 2FA aquí te explico cómo funciona y cómo activarla.

Guarda la nueva contraseña en un gestor.

No en una nota del móvil, no en un papel junto al ordenador, no en un mensaje de WhatsApp a ti mismo. En un gestor de contraseñas. Así no tendrás que recordarla, no la repetirás en otro sitio y si vuelve a aparecer en una filtración, te avisará automáticamente.

Revisa las apps y servicios conectados a esa cuenta.

Cuando alguien accede a una cuenta, a veces conecta aplicaciones de terceros para mantener el acceso aunque cambies la contraseña. Entra en la configuración de seguridad de la cuenta afectada, busca el apartado de apps conectadas o permisos y quítale el acceso a cualquier cosa que no reconozcas.

💬 Hábitos que marcan la diferencia

Hay cosas que se aprenden leyendo y cosas que solo se aprenden cuando te pasa. Estas son las que yo he aprendido de las dos formas, algunas por haberlas aplicado a tiempo y otras por no haberlo hecho.

Si una contraseña se filtra, cámbiala ese mismo día. Sin esperar a ver si pasa algo, sin dejarlo para el fin de semana. El tiempo que pasa entre que una contraseña queda expuesta y que alguien la usa puede ser cuestión de horas. Y cuando actúas rápido, una filtración se queda en un susto. Cuando no actúas, puede convertirse en un problema real.

Revisa tus cuentas cada tres o seis meses si no usas gestor. No lleva más de cinco minutos. Entra en Have I Been Pwned, comprueba todos los emails de la familia y listo. Si usas un gestor de contraseñas, ni siquiera tienes que acordarte: él lo hace por ti automáticamente.

No ignores los avisos de seguridad del móvil. Sé que la tendencia es cerrarlos sin leerlos, como si fueran notificaciones de actualización. Pero cuando Google o Apple te avisan de una contraseña comprometida es porque han detectado algo real. Ese aviso merece dos minutos de atención ese mismo día.

Enseña a tus hijos a no repetir contraseñas, especialmente en juegos y redes sociales. Los menores suelen usar la misma en todo porque nadie les ha explicado por qué es peligroso. Una conversación de cinco minutos vale más que cualquier configuración técnica. Si entienden el motivo, toman mejores decisiones solos.

No creas que una contraseña larga es suficiente. La longitud protege contra ataques de fuerza bruta, pero no contra filtraciones. Si una web donde tienes cuenta sufre un ataque, da igual lo larga que sea tu contraseña. Está comprometida y hay que cambiarla.

No olvides las cuentas antiguas que ya no usas. Foros, tiendas, apps de hace años. Esas cuentas también tienen contraseñas, y si son las mismas que usas en otros sitios, una filtración en ese servicio olvidado puede afectar a cuentas que sí usas a diario. Vale la pena revisarlas o directamente borrarlas si ya no las necesitas.

No ignores los avisos de tu gestor de contraseñas o de Google y Apple. Estos sistemas no generan alertas falsas. Si te avisan es porque han detectado algo real. Ignorarlo no hace desaparecer el problema, solo le da más tiempo para crecer.

❓ Preguntas frecuentes

¿Significa que me han hackeado si aparece mi contraseña en una filtración?

No necesariamente, y es importante entender la diferencia. Que tu contraseña aparezca en una filtración significa que los datos de algún servicio donde tenías cuenta fueron robados en algún momento. No significa que alguien haya entrado ya en tu cuenta ni que te estén vigilando. Puede haber pasado hace meses o incluso años sin que hayas notado nada.

Pero tampoco significa que estés a salvo. Esa contraseña está ahora en manos de personas que no debería y puede ser usada en cualquier momento. Por eso hay que cambiarla, aunque no hayas notado nada raro.

¿Debo borrar mi cuenta si aparece en una filtración?

No, no hace falta llegar a ese extremo. Borrar la cuenta no deshace la filtración ni elimina tus datos de la base de datos robada. Lo que sí resuelve el problema es cambiar la contraseña, activar la verificación en dos pasos y revisar que no haya accesos no autorizados.

Borrar la cuenta solo tiene sentido si llevas años sin usarla y no quieres seguir manteniendo datos tuyos en ese servicio. En ese caso, borrarlo es una buena práctica general de higiene digital, pero no es la respuesta urgente a una filtración.

¿Qué pasa si la filtración es antigua?

Depende de si aún usas esa contraseña. Si la filtraron hace dos años, pero tú seguías usando esa misma contraseña hasta hoy, sigue siendo un problema real y hay que cambiarla ahora. El tiempo no hace que una contraseña filtrada deje de estar comprometida.

Si ya la cambiaste en su momento o esa cuenta ya no existe, no hay nada que hacer. Pero si tienes dudas, lo más seguro es cambiarla igualmente. Cuesta dos minutos y te quita la preocupación.

¿Es seguro usar Have I Been Pwned?

Sí. Es una herramienta creada y mantenida por Troy Hunt, uno de los investigadores de seguridad más reconocidos del mundo, y es usada por empresas, gobiernos y profesionales de ciberseguridad en todo el mundo. Solo introduces tu email, nunca tu contraseña, y no guarda ni registra tus búsquedas de forma personal.

Si alguna vez tienes dudas sobre cualquier herramienta de este tipo, la regla es simple: si te pide que introduzcas tu contraseña para comprobar si ha sido filtrada, no es legítima. Las herramientas reales nunca necesitan tu contraseña para hacer esta comprobación.

¿Con qué frecuencia debería revisar si mis contraseñas han sido filtradas?

Si usas un gestor de contraseñas, no necesitas acordarte de revisarlo manualmente. El gestor lo hace por ti y te avisa cuando detecta algo. Con eso es suficiente.

Si no usas gestor, la recomendación es revisar Have I Been Pwned cada tres o seis meses con todos los emails de la familia. No lleva más de cinco minutos y es uno de esos hábitos pequeños que pueden evitar un problema grande.

Y siempre, sin excepción, si recibes un aviso de seguridad en el móvil o por email, revísalo ese mismo día. No lo dejes para después.

🛠️ Herramientas que recomiendo para monitorizar filtraciones

Antes de recomendarte nada, lo de siempre: algunos de estos enlaces son de afiliado, lo que significa que si compras a través de ellos recibo una pequeña comisión sin coste adicional para ti que ayuda a mantener este blog activo. Te las recomiendo porque las uso, no porque me paguen por ello.

NordPass

Es el gestor que uso en casa y el que recomiendo si buscas algo sencillo y accesible para toda la familia. Además de guardar y gestionar contraseñas, incluye una función de monitorización de filtraciones que revisa automáticamente si alguna de tus contraseñas guardadas ha aparecido en bases de datos comprometidas. No tienes que acordarte de revisar nada: si detecta algo, te avisa.

Lo que más valoro para el uso familiar es que puedes compartir accesos de forma segura con tu pareja sin mandar contraseñas por WhatsApp, y que cualquier persona de la familia puede manejarlo sin instrucciones previas.

👉 Si quieres echarle un vistazo,aquí tienes NordPass.

1Password

La alternativa que recomiendo si en casa hay personas con distintos niveles técnicos. Su función Watchtower hace exactamente lo mismo que el escáner de NordPass pero con un panel visual especialmente claro: de un vistazo ves qué contraseñas están comprometidas, cuáles son débiles y cuáles están repetidas, con indicaciones de cuáles son más urgentes de cambiar.

No tiene versión gratuita, pero el plan familiar cubre hasta cinco personas y la experiencia de uso es especialmente cuidada. Si vuestra prioridad es la facilidad por encima de todo, es la mejor opción.

👉 Puedes ver cómo funciona 1Password aquí.

Checklist final contraseñas filtradas: Cambiar la contraseña por una nueva y única Revisar si esa contraseña estaba repetida en otros servicios, Activar la verificación en dos pasos, Guardar la nueva contraseña en un gestor, Revisar apps y servicios conectados a esa cuenta

❤️ Conclusión

El día que me llegó el aviso de que mi contraseña había aparecido en una filtración no sentí que me habían hackeado. Sentí que había tenido suerte de saberlo a tiempo. Porque la diferencia entre una filtración que no tiene consecuencias y una que las tiene es exactamente esa: saber que ha ocurrido y actuar antes de que alguien lo haga por ti.

Comprobar si tus contraseñas han sido filtradas no es algo técnico ni complicado. Es una revisión clave en vuestra seguridad digital, de solo cinco minutos que cualquier padre puede hacer hoy mismo desde el móvil. Y si además usas un gestor de contraseñas, ni siquiera tienes que acordarte: él te avisa.

Tu familia no tiene que ser un objetivo fácil. Con estos hábitos, no lo será.

Familia utilizando dispositivos electrónicos

Seguridad digital para familias: cómo proteger a tus hijos

Esta guía forma parte de Cibervida, un proyecto dedicado a ayudar a familias normales a mejorar su s…

📚Sigue aprendiendo sobre seguridad digital con estos artículos:

👉 Cómo crear contraseñas seguras para toda la familia

👉Cómo proteger el móvil de tus hijos

👉 Qué es la verificación en dos pasos (2FA) y cómo activarla

👉 VPN para familias: qué es, para qué sirve y cuál elegir si nunca has usado una 

Etiquetas: