Contraseñas Filtradas: Qué Hacer si tu Cuenta Aparece en una Brecha de Datos
Miles de millones de contraseñas han sido filtradas en brechas de seguridad de grandes servicios como LinkedIn, Adobe, Yahoo, RockYou y muchos más. Si usas o reutilizas contraseñas que aparecen en estas bases de datos, tus cuentas están en riesgo ahora mismo, aunque la brecha haya ocurrido hace años. Saber si tu contraseña fue comprometida y actuar rápidamente es la primera línea de defensa. Esta guía explica cómo verificarlo, qué hacer si fue expuesta y cómo generar contraseñas nuevas que no aparecerán en ninguna lista de filtraciones.
Have I Been Pwned: verifica si tu email fue comprometido
Have I Been Pwned (HIBP, haveibeenpwned.com) es el servicio de referencia mundial para verificar si tu dirección de email aparece en brechas de datos conocidas. Creado por el investigador de seguridad Troy Hunt, agrega más de 13,000 millones de registros de cientos de brechas documentadas. Al introducir tu email, el servicio te indica en cuántas brechas aparece y los nombres de los servicios comprometidos (LinkedIn 2016, Adobe 2013, etc.). Crucialmente, HIBP también permite verificar si una contraseña específica aparece en sus bases de datos: usa un método k-anonimato que envía solo los primeros 5 caracteres del hash SHA-1 de la contraseña, de modo que la contraseña completa nunca abandona tu dispositivo. Si una contraseña aparece en sus registros, debes cambiarla inmediatamente en todos los servicios donde la uses (por eso la reutilización es tan peligrosa). Nuestro generador te proporciona el reemplazo con aleatoriedad criptográfica garantizada para que la nueva contraseña no exista en ninguna lista conocida.
Qué hacen los atacantes con contraseñas filtradas
Cuando se produce una brecha de datos, los atacantes no siempre usan las credenciales inmediatamente. A menudo, venden las bases de datos en mercados ilegales o las usan meses o años después. El ataque más común es el credential stuffing: herramientas automatizadas prueban sistemáticamente cada par email/contraseña en los mayores servicios (Gmail, Outlook, Facebook, bancos populares, Amazon) hasta encontrar coincidencias. Un atacante puede procesar millones de pares por hora usando proxies para evitar bloqueos por IP. Si encuentran que tu contraseña de LinkedIn (comprometida en 2016) funciona también en tu cuenta de Gmail, accederán al correo y desde ahí podrán resetear contraseñas de prácticamente cualquier otro servicio. Esto explica por qué el correo electrónico principal es la cuenta más crítica que proteger: es el pivote desde el que se puede comprometer todo lo demás. Contraseñas únicas para cada cuenta rompen esta cadena.
Plan de acción: qué hacer en las primeras 24 horas tras una brecha
Si recibes una notificación de que un servicio que usas sufrió una brecha de datos, o si descubres tu email en HIBP, actúa en este orden. Primero: si la brecha afecta a tu correo electrónico principal, cambia su contraseña inmediatamente y activa 2FA. Segundo: cambia la contraseña del servicio comprometido por una contraseña nueva generada aleatoriamente. Tercero: identifica todos los servicios donde usabas la misma contraseña comprometida (tu historial de memoria o gestor de contraseñas lo facilitará) y cambia la contraseña en cada uno de ellos, priorizando los más sensibles (banca, otros correos, redes sociales). Cuarto: revisa los accesos recientes en los servicios comprometidos: la mayoría permite ver desde qué dispositivos e IPs se accedió recientemente. Si ves accesos desconocidos, cierra todas las sesiones activas además de cambiar la contraseña. Quinto: considera alertar a tus contactos si la cuenta comprometida fue de correo o redes sociales, ya que los atacantes a veces envían mensajes fraudulentos desde cuentas robadas.
Por qué las contraseñas generadas aleatoriamente no aparecen en listas de brechas
Las bases de datos de contraseñas filtradas (como RockYou2024, que contiene casi 10,000 millones de contraseñas reales) están compuestas por contraseñas creadas por humanos. Están sesgadas hacia patrones predecibles: palabras del diccionario, nombres, fechas, combinaciones de caracteres simples. Una contraseña generada con crypto.getRandomValues() seleccionando aleatoriamente de 90 posibles caracteres en 20 posiciones tiene 90^20 ≈ 1.2×10^39 combinaciones posibles. El número total de contraseñas jamás creadas por humanos (estimado en decenas de miles de millones) es una fracción minúscula de ese espacio. La probabilidad de que una contraseña aleatoria de 20 caracteres ya exista en alguna lista filtrada es astronómicamente pequeña, cercana a cero. Esta es la garantía matemática de las contraseñas generadas aleatoriamente: no importa qué brechas ocurran en el futuro, tus contraseñas específicas no estarán en las listas de los atacantes porque nunca existieron antes de que las generaras.
Preguntas frecuentes
- ¿Cómo sé si mi contraseña actual ya está en listas de filtraciones?
- Visita haveibeenpwned.com/Passwords e introduce tu contraseña. El servicio verifica si aparece en las bases de datos de brechas conocidas usando un método que no revela tu contraseña completa al servidor (k-anonimato con hash SHA-1). Si aparece en la lista, cámbiala inmediatamente aunque solo sea en un sitio donde la uses, y en todos los demás donde la reutilices.
- ¿Los servicios guardan mis contraseñas en texto plano cuando hay una brecha?
- Los servicios bien gestionados almacenan solo el hash de tu contraseña (nunca la contraseña en texto plano) usando algoritmos como bcrypt, scrypt o Argon2. Si se produce una brecha, los atacantes obtienen hashes, no contraseñas directas. Sin embargo, hashes de contraseñas débiles pueden ser crackeados en segundos; solo las contraseñas con alta entropía (generadas aleatoriamente) son resistentes incluso si el hash es robado.
- ¿Debo cambiar contraseñas preventivamente aunque no haya brecha conocida?
- El NIST ya no recomienda cambios periódicos obligatorios sin causa. Cambiar contraseñas innecesariamente tiende a producir contraseñas más débiles y predecibles. La recomendación es: mantener contraseñas fuertes y únicas generadas aleatoriamente, activar 2FA en cuentas críticas, y cambiar solo cuando haya evidencia de compromiso o brecha conocida.