Para comprobar si tu contraseña ha sido filtrada, la comparas con bases de datos de credenciales expuestas en violaciones de datos pasadas, idealmente usando un método llamado k-anonimato que nunca envía tu contraseña real a ningún lado. La forma más rápida y segura es un verificador de filtraciones que hashea tu contraseña localmente y solo transmite un fragmento de cinco caracteres de ese hash. Si tu contraseña aparece en una filtración conocida, trátala como comprometida y cámbiala en todos los sitios donde la hayas reutilizado.
Esa última frase es la parte que la gente pasa por alto. Una contraseña filtrada no es solo un problema para el sitio que sufrió la violación. Los atacantes introducen esas credenciales filtradas en formularios de inicio de sesión de miles de otros sitios, apostando a que reutilizaste la misma contraseña. Esta guía te muestra cómo verificar de forma segura, por qué el método seguro realmente lo es, y exactamente qué hacer si obtienes un mal resultado.
Por qué una contraseña filtrada es más peligrosa de lo que parece#
Cuando una empresa sufre una filtración de datos, los datos robados suelen incluir direcciones de correo electrónico y contraseñas. Esas listas se intercambian, venden y finalmente se publican. Una vez que tu contraseña está en una de esas listas, deja de ser un secreto.
El verdadero daño proviene del relleno de credenciales. Los atacantes toman pares de correo electrónico y contraseña filtrados de una brecha y los prueban automáticamente contra bancos, proveedores de correo, sitios de compras y redes sociales. La automatización les permite probar millones de combinaciones a bajo costo.
Si usaste la misma contraseña en el sitio vulnerado y en tu cuenta de correo, una sola filtración puede convertirse en una toma de control total de la cuenta. Por eso "pero era solo mi inicio de sesión en un foro antiguo" es un pensamiento peligroso. La reutilización de contraseñas es lo que convierte una pequeña filtración en un desastre personal.
Punto clave: la pregunta no es solo "se filtró esta contraseña específica". Es "he reutilizado esta contraseña en algún lugar que importe". Verificar la contraseña es el primer paso. Dejar de reutilizarla es la solución real.
Cómo comprobar si tu contraseña ha sido filtrada (de forma segura)#
Esta es la preocupación que impide que la gente lo compruebe. Escribir tu contraseña real en un sitio web aleatorio parece imprudente, y generalmente lo es. La buena noticia es que el método confiable fue diseñado específicamente para que nunca tengas que exponer tu contraseña.
Un verificador de filtraciones seguro utiliza una técnica llamada k-anonimato. En lugar de enviar tu contraseña, envía un fragmento diminuto e irreconocible de un hash. El servicio puede decirte si tu contraseña aparece en una filtración sin saber nunca cuál es tu contraseña. Desglosaremos exactamente cómo funciona en la siguiente sección, porque entenderlo es lo que te permite confiar en él.
Puedes realizar esta comprobación tú mismo en segundos. El verificador gratuito de contraseñas filtradas de Molixa realiza el hash en tu navegador y solo transmite el prefijo corto, por lo que tu contraseña nunca sale de tu dispositivo en una forma legible.
Qué estás comprobando realmente#
Hay dos comprobaciones relacionadas pero diferentes, y la gente las confunde constantemente:
- Comprobación de contraseña filtrada: ¿esta cadena de contraseña exacta está presente en algún corpus de filtraciones conocido? Esta es la comprobación al estilo "contraseñas vulneradas" y no requiere tu correo electrónico.
- Comprobación de correo electrónico o cuenta filtrada: ¿alguna cuenta vinculada a mi correo electrónico ha aparecido en una filtración específica (como las filtraciones de LinkedIn o Adobe)? Esto te indica qué servicios expusieron tus datos.
Esta guía se centra en la comprobación de contraseñas, porque es la que puedes hacer sin revelar datos personales y responde directamente a "¿es segura esta contraseña para seguir usándola?" Si quieres saber qué sitios filtraron tus datos, una búsqueda de filtraciones basada en correo electrónico la complementa.
¿Qué es el anonimato K y por qué es seguro?#
El anonimato K es el modelo de privacidad que hace confiable una verificación de contraseñas filtradas. En términos simples, te permite preguntar "¿mi contraseña está en la lista de filtraciones?" ocultándola dentro de un grupo de otras posibilidades, para que el servidor que responde no pueda identificar cuál es la tuya.
Aquí está el mecanismo, paso a paso, usando el mismo enfoque popularizado por el servicio Pwned Passwords de Troy Hunt, en el que se basan la mayoría de los verificadores confiables:
- Tu contraseña se hashea localmente con SHA-1, generando una huella digital hexadecimal de 40 caracteres. El hash es unidireccional, por lo que no se puede revertir para obtener tu contraseña.
- Solo los primeros cinco caracteres de ese hash (el prefijo) se envían al servidor. Cinco caracteres hexadecimales corresponden a aproximadamente un millón de grupos.
- El servidor devuelve todos los hashes filtrados que comparten ese prefijo de cinco caracteres, a menudo varios cientos, sin saber cuál (si alguno) es el tuyo.
- Tu navegador compara el hash completo con esa lista devuelta localmente. La coincidencia ocurre en tu dispositivo, no en el servidor.
El servidor solo ve cinco caracteres de un hash SHA-1. Eso es compartido por cientos de contraseñas no relacionadas, por lo que no identifica nada. Tu contraseña completa y el hash completo nunca salen de tu máquina. Ese es el punto: obtienes una respuesta definitiva mientras filtras esencialmente cero información.
| Qué se envía | Qué aprende el servidor | Riesgo para ti |
|---|---|---|
| Tu contraseña en texto plano | Todo | No hagas esto nunca |
| Hash SHA-1 completo | El hash exacto (reversible mediante tablas de búsqueda para contraseñas débiles) | Evítalo |
| Primeros 5 caracteres del hash (anonimato K) | Uno de ~1 millón de grupos de prefijos, compartido por muchas contraseñas | Insignificante |
Así que cuando un verificador promete "tu contraseña nunca sale de tu dispositivo", el anonimato K es la razón por la que esa afirmación puede ser cierta. Una herramienta que te pide pegar tu contraseña y la envía completa no está usando este modelo, y no deberías confiar en ella.
Cómo interpretar el resultado de tu verificación de filtraciones#
Ejecutaste la verificación. ¿Y ahora qué significa el número? Los verificadores de filtraciones suelen informar cuántas veces apareció tu contraseña en filtraciones conocidas. El recuento importa más de lo que la gente cree.
- 0 apariciones: esta cadena de contraseña específica no está en el corpus de filtraciones conocido. Eso es bueno, pero no es una garantía de fortaleza. Una contraseña débil como
Verano2024!puede estar ausente hoy y ser trivialmente adivinable de todas formas. - Un puñado de apariciones: la contraseña está filtrada y circulando. Deja de usarla.
- Miles o millones de apariciones: esta es una contraseña común y muy reutilizada (piensa en
contraseña1oqwerty123). Está en el diccionario de primer intento de cualquier atacante. Cámbiala inmediatamente, en todos lados.
Un recuento alto de apariciones no mide qué tan grave fue la filtración de tu cuenta específica. Mide qué tan común es la contraseña en todas las filtraciones. Cuanto más común, más rápido un ataque automatizado la probará. De cualquier forma, cualquier recuento distinto de cero significa que esa contraseña está comprometida y debe ser retirada.
Advertencia: "no encontrada" no significa "fuerte". Una verificación de filtraciones responde solo una pregunta: si esta contraseña ya es pública. El objetivo es una contraseña larga y única que nunca se haya filtrado. Combina la verificación de filtraciones con una verificación de fortaleza para cubrir ambos aspectos.
Qué hacer si se filtró tu contraseña#
Descubrir que una contraseña está filtrada es la parte fácil. La recuperación es donde la mayoría de las guías se vuelven vagas. Aquí tienes un plan concreto que puedes ejecutar hoy, en orden de prioridad.
Paso 1: Cambia la contraseña filtrada en todos los sitios donde la usaste#
Empieza por las cuentas más sensibles: correo electrónico principal, banca, cualquier cosa con datos de pago. Tu correo es la llave maestra, porque la mayoría de los restablecimientos de contraseña pasan por él. Asegura eso primero.
Luego revisa todos los demás sitios donde reutilizaste esa misma contraseña. Si no puedes recordarlos todos, esa incertidumbre es exactamente por qué la reutilización es peligrosa. Asume lo peor y cambia ampliamente.
Paso 2: Haz que cada nueva contraseña sea única y fuerte#
No cambies una contraseña filtrada por otra reutilizada. Cada cuenta necesita su propia contraseña distinta. La forma más rápida de hacerlo sin inventarlas a mano es un generador que produzca cadenas largas y aleatorias.
Usa un generador de contraseñas aleatorias fuerte para crear una contraseña única para cada cuenta. Prioriza la longitud sobre trucos de complejidad: una contraseña larga y aleatoria o una frase de varias palabras supera a P@ssw0rd! siempre. Un gestor de contraseñas las recuerda para que no tengas que hacerlo tú.
Paso 3: Activa la autenticación de dos factores#
La autenticación de dos factores (2FA) es tu red de seguridad. Incluso si una futura filtración expone una nueva contraseña, un atacante aún necesitaría el segundo factor (un código de aplicación o una llave de hardware) para acceder. Actívala en todos los sitios donde esté disponible, empezando por el correo y las cuentas financieras.
Prefiere una aplicación de autenticación o una llave de seguridad de hardware sobre los códigos SMS cuando tengas la opción. Los SMS pueden ser interceptados mediante ataques de intercambio de SIM, mientras que los factores basados en aplicaciones y hardware son mucho más difíciles de robar de forma remota.
Paso 4: Verifica que tus nuevas contraseñas estén realmente limpias#
Después de generar los reemplazos, verifica las nuevas contraseñas en el comprobador de filtraciones para confirmar que no aparecen en ninguna. Una contraseña aleatoria recién generada siempre debería aparecer limpia. Esta verificación rápida cierra el ciclo y demuestra que no elegiste accidentalmente algo que ya está circulando.
Paso 5: Revisa tu correo electrónico en bases de datos de filtraciones#
Finalmente, busca tu dirección de correo en un servicio confiable de notificación de filtraciones para ver qué sitios expusieron tus datos históricamente. Esto te indica dónde enfocarte, descubre cuentas antiguas que olvidaste y te permite registrarte para recibir alertas, para que te enteres de futuras filtraciones temprano en lugar de meses después.
¿Con qué frecuencia deberías revisar?#
No necesitas revisar a diario. Un ritmo sensato es ejecutar una verificación en tres situaciones:
- Después de cualquier noticia de filtración que involucre un servicio que uses. Si las noticias dicen que una empresa fue vulnerada y tienes una cuenta allí, revisa y cambia esa contraseña.
- Al reciclar cuentas antiguas. Antes de volver a iniciar sesión en una cuenta inactiva, verifica que la contraseña no esté en una lista filtrada.
- Como un hábito de higiene trimestral para tus contraseñas más importantes (correo electrónico, banco, proveedores de identidad principales).
La solución más profunda es estructural. Si cada cuenta ya tiene una contraseña única y generada con 2FA activado, una sola filtración solo puede comprometer un inicio de sesión. Esa contención vale mucho más que las revisiones manuales frecuentes.
Mitos comunes que comprometen a los usuarios#
Algunas creencias persistentes mantienen expuestas a las personas incluso después de enterarse de las filtraciones. Es importante aclararlas.
"Cambié algunos caracteres, así que mi contraseña es diferente." Los atacantes conocen las variaciones comunes. Agregar un 1 o un ! a una contraseña base filtrada es una de las primeras cosas que intentan las herramientas de relleno de credenciales. Una contraseña filtrada modificada sigue siendo una contraseña filtrada.
"Mi contraseña es demasiado oscura para estar en una filtración." La oscuridad no es el problema. Si la usaste en un sitio que fue vulnerado, está en el volcado sin importar lo ingeniosa que pareciera. La filtración tomó la base de datos, no solo las contraseñas obvias.
"Verificar mi contraseña en algún sitio la filtrará." Con un verificador de k-anonimato, este es exactamente el temor que el diseño elimina. Toda la arquitectura existe para que puedas verificar sin exponer nada. El peligro está en las herramientas que no lo usan, no en el acto de verificar en sí.
Conclusión: Verifica y luego detén la fuga#
Aprender a verificar si tu contraseña ha sido filtrada toma segundos, y hacerlo de forma segura es totalmente posible gracias al anonimato k, que envía solo un pequeño fragmento hash y mantiene tu contraseña real en tu dispositivo. Ejecuta la verificación, lee el número de apariciones y trata cualquier resultado distinto de cero como una contraseña que debe retirarse de inmediato.
La verificación es la alarma, no la solución. La solución son contraseñas únicas y generadas en cada cuenta, más la autenticación de dos factores, para que la próxima filtración (y habrá una próxima) solo pueda costarte un inicio de sesión en lugar de toda tu vida digital. Ejecuta tus contraseñas actuales en el verificador gratuito de filtraciones de contraseñas ahora y reemplaza cualquier contraseña que aparezca como filtrada.
Preguntas Frecuentes#
¿Cómo puedo verificar si mi contraseña ha sido filtrada sin exponerla? Usa un verificador de filtraciones que implemente k-anonimato. Este hashea tu contraseña en tu navegador con SHA-1 y envía solo los primeros cinco caracteres de ese hash al servidor, que devuelve todos los hashes filtrados que comparten ese prefijo. Tu dispositivo realiza la comparación final localmente, por lo que tu contraseña completa y tu hash completo nunca salen de tu máquina.
¿Es seguro escribir mi contraseña en un verificador de filtraciones en línea? Solo si la herramienta usa k-anonimato y realiza el hasheo localmente, en cuyo caso nunca transmite tu contraseña real. Nunca pegues tu contraseña en un verificador que envíe la contraseña completa a un servidor, porque estarías entregando tu credencial a un tercero desconocido. En caso de duda, usa una herramienta que explique abiertamente su modelo de k-anonimato.
¿Qué significa si mi contraseña aparece miles de veces en filtraciones? El recuento refleja cuán común y reutilizada es la contraseña en todas las filtraciones conocidas, no cuán gravemente se violó una cuenta específica. Un recuento alto significa que la contraseña está en los diccionarios de primer intento de los atacantes y se probará instantáneamente durante ataques automatizados. Cualquier recuento distinto de cero, alto o bajo, significa que debes dejar de usar esa contraseña.
Mi verificación de contraseña salió limpia, ¿estoy seguro? Un resultado limpio solo significa que esa contraseña exacta no está en el corpus de filtraciones conocidas. No mide la fortaleza, por lo que una contraseña corta o adivinable puede seguir siendo débil incluso si no se ha filtrado aún. Combina la verificación de filtraciones con una evaluación de fortaleza y una contraseña única, larga y generada aleatoriamente para una seguridad real.
¿Debo verificar mi correo electrónico o mi contraseña para detectar filtraciones? Ambos, porque responden preguntas diferentes. Una verificación de contraseña te dice si una cadena de contraseña específica está comprometida y se puede hacer sin revelar datos personales. Una verificación de correo electrónico te dice qué sitios específicos expusieron tus cuentas, lo que te ayuda a encontrar cuentas olvidadas y registrarte para alertas de futuras filtraciones.
¿Cómo creo una contraseña que no aparezca en una filtración? Genera una contraseña larga y completamente aleatoria o una frase de contraseña de varias palabras que nunca hayas usado antes, y úsala en una sola cuenta. Un generador de contraseñas aleatorias seguras produce credenciales que estadísticamente nunca coincidirán con listas filtradas, y combinar cada una con autenticación de dos factores te protege incluso si ese sitio se filtra después.



