Guía de seguridad
Cómo comprobar si una contraseña ha sido filtrada
Aprende formas seguras de responder a posibles filtraciones de contraseñas sin pegar contraseñas reales en sitios web no confiables.
Resumen
Si sospechas que una contraseña ha sido filtrada, la respuesta más segura suele ser reemplazarla en lugar de pegarla en sitios web desconocidos. Una verificación de filtración solo es útil cuando el servicio tiene un diseño de privacidad confiable y entiendes qué se está enviando.
Usa el comprobador de fortaleza de contraseñas para análisis local de patrones, pero no lo trates como una base de datos de filtraciones.
Qué hacer primero
Cambia la contraseña desde un dispositivo confiable. Si la misma contraseña se reutilizó, cambia todas las cuentas afectadas. Comienza con correo electrónico, banca, trabajo, almacenamiento en la nube y cuentas de recuperación del gestor de contraseñas.
Revisar el estado de la cuenta
Revoca sesiones activas, verifica la configuración del correo electrónico y teléfono de recuperación, revisa las reglas de reenvío, elimina el acceso de aplicaciones sospechosas y habilita MFA o passkeys.
Guía detallada
Esta guía se centra en verificar si una contraseña puede haber aparecido en filtraciones sin exponerla descuidadamente. Está escrita para usuarios que han oído hablar de una filtración y quieren responder de forma segura, por lo que el objetivo práctico no es crear una afirmación de seguridad dramática. El objetivo es elegir un hábito de contraseñas que pueda sobrevivir al uso diario: formularios de inicio de sesión, gestores de contraseñas, teclados móviles, recuperación de cuentas, dispositivos compartidos y el servicio ocasional con reglas de validación extrañas. Una recomendación segura solo es útil si una persona real puede seguirla de manera consistente.
El punto de partida más seguro es aleatoriedad más unicidad. Aleatoriedad significa que el valor se selecciona de un espacio grande mediante una fuente aleatoria criptográficamente adecuada, no inventado a partir de un cumpleaños, el nombre de una mascota, un patrón de teclado o una cita favorita. Unicidad significa que la misma contraseña no se usa en ningún otro lugar. Una contraseña larga pero reutilizada puede fallar rápidamente después de una filtración no relacionada, mientras que una contraseña única y aleatoria limita el daño a la única cuenta donde se usó.
Para este tema, un ajuste práctico es primero el análisis local de patrones, luego servicios confiables de alerta de filtraciones cuando sea necesario. Puedes aplicar ese ajuste con el comprobador de fortaleza de contraseñas y luego almacenar el valor final en un gestor de contraseñas confiable. PwdGen genera valores localmente en el navegador con Web Crypto; la contraseña generada no se envía a un servidor de PwdGen. Ese diseño local reduce la exposición del lado del servidor, pero no protege contra todas las amenazas. Una extensión de navegador maliciosa, un dispositivo comprometido, una página de phishing o un manejo inseguro del portapapeles aún pueden exponer un secreto después de generado.
Los problemas más comunes a evitar son escribir contraseñas reales en sitios web desconocidos, buscar contraseñas exactas en registros y asumir que ningún resultado significa ningún riesgo. Estos problemas importan porque los atacantes rara vez necesitan forzar por fuerza bruta todas las contraseñas posibles cuando los hábitos humanos les dan un atajo. El relleno de credenciales, el phishing, las listas de contraseñas filtradas y el abuso de recuperación de cuentas suelen ser más realistas que una búsqueda matemática pura. Por eso, el mejor consejo combina la calidad de la contraseña con controles a nivel de cuenta como MFA, passkeys, almacenamiento de códigos de recuperación y revisión periódica de la configuración del correo electrónico o teléfono de recuperación.
Usa esta lista de verificación al aplicar la recomendación:
- Cambia las contraseñas reutilizadas después de una filtración.
- Comienza con el correo electrónico y las cuentas de alto valor.
- Usa solo herramientas confiables de notificación de filtraciones.
- Nunca pegues una contraseña sensible en páginas aleatorias.
Si un sitio web rechaza la configuración ideal, no fuerces la contraseña a un patrón más débil manualmente. Ajusta una variable a la vez. Si se rechazan los símbolos, mantén habilitadas mayúsculas, minúsculas y números y aumenta la longitud. Si la longitud máxima es baja, usa la longitud aceptada más grande y asegúrate de que el valor sea único. Si una contraseña debe leerse en voz alta, imprimirse o escribirse en una pantalla de televisión o enrutador, considera excluir caracteres confusos y aumentar la longitud para compensar el alfabeto más pequeño.
Finalmente, recuerda el límite del consejo sobre contraseñas. Una contraseña fuerte es una capa de defensa, no una garantía. No puede hacer que una página de phishing sea segura, arreglar malware ni compensar un servicio que almacena credenciales de manera deficiente. El hábito útil es aburrido pero duradero: genera un valor único, almacénalo de forma segura, protege la ruta de recuperación y reemplázalo rápidamente si sospechas exposición.
Un próximo paso seguro
Después de leer esta guía, haz una pequeña auditoría de cuentas en lugar de intentar arreglar todo de una vez. Elige la cuenta que causaría más problemas si fuera tomada, confirma que su contraseña es única y verifica el correo electrónico de recuperación, el teléfono de recuperación, el método MFA y el almacenamiento de códigos de respaldo. Si alguna parte de esa cadena es débil, mejora esa parte antes de pasar a cuentas de menor riesgo. Este orden mantiene el trabajo manejable y protege las cuentas que los atacantes probablemente usarán como trampolín. Para saber cómo comprobar si una contraseña ha sido filtrada, el mejor resultado es un hábito repetible: generar localmente, almacenar con cuidado y evitar la reutilización.
Preguntas frecuentes
¿Debo pegar mi contraseña en sitios aleatorios de verificación de filtraciones?
No. Solo usa servicios confiables de verificación de filtraciones con un diseño de privacidad claro, o cambia la contraseña en lugar de probarla.
¿Qué debo hacer después de una filtración?
Cambia la contraseña afectada, cambia las contraseñas reutilizadas, revoca sesiones, revisa la configuración de recuperación y habilita MFA.
¿Puede PwdGen verificar bases de datos de filtraciones?
No. PwdGen proporciona estimaciones locales de fortaleza y tiempo de descifrado, no una búsqueda remota de contraseñas filtradas.