Es casi seguro que su dirección de correo electrónico se encuentra en una violación de datos. Compruébalo en 30 segundos.
24 junio 2026 · 4 min de lectura · Comentarios
Este artículo contiene enlaces de afiliados. Si compra a través de ellos, es posible que ganemos una comisión, sin costo adicional para usted.
La mayoría de las personas descubren que su correo electrónico sufrió una violación de datos de la misma manera: algo sale mal. Un intento de inicio de sesión desde otro país. Una contraseña que deja de funcionar. Un cargo bancario que no hicieron. Cuando eso sucede, la infracción suele tener años de antigüedad.
Los datos se filtraron, se difundieron a través de canales privados, se combinaron con otras filtraciones y, finalmente, se utilizaron, todo mientras la persona a la que pertenecían asumía que no tener noticias no significaba ningún problema.
La pregunta realmente no es si su dirección de correo electrónico apareció en una base de datos filtrada. Para la mayoría de las personas que han estado en línea durante más de unos pocos años, así es. La cuestión es qué infracciones, qué se expuso junto con ellas y si alguien ya las ha aprovechado.
¿Por qué las infracciones se extienden más allá del ataque original?
Las violaciones de datos ocurren en empresas en las que la mayoría de la gente confía y en las que no piensan más. Sitios minoristas. Servicios de suscripción. Programas de fidelización. Portales sanitarios. Cuando se filtra uno de ellos, los datos no desaparecen: se combinan con otras filtraciones en archivos más grandes que se intercambian a través de redes privadas.
Su dirección de correo electrónico de una infracción de un sitio de compras de 2019 ahora podría estar en el mismo archivo que una contraseña de un foro de juegos de 2021 y un número de teléfono de una aplicación de entrega de 2023. Individualmente, cada exposición es limitada. Juntos, le dan a un extraño lo suficiente como para intentar acceder a cuentas importantes.
Esta combinación ocurre completamente sin su participación. No tienes que hacer nada malo. Sólo hay que haber confiado en una empresa que luego tuvo una seguridad débil, alguna vez, hace años.
Aquí se explica cómo comprobarlo en 30 segundos.
Hay una herramienta gratuita llamada Have I Been Pwned. Fue creado por Troy Hunt, un investigador de seguridad independiente, e indexa cientos de bases de datos de violaciones conocidas en un registro con capacidad de búsqueda. Ingresas tu dirección de correo electrónico y en cuestión de segundos te dice exactamente en qué infracciones apareció tu dirección y qué quedó expuesto en cada una.
No se requiere cuenta. Sin pago. Treinta segundos.
No es una herramienta oscura. Firefox y Google utilizan su base de datos para advertir a los usuarios cuando aparece una contraseña guardada en una infracción conocida. El Centro Nacional de Seguridad Cibernética del Reino Unido lo utiliza. Se convirtió en la referencia estándar para el mundo de la seguridad antes de que a nadie se le ocurriera explicárselo a los demás.
¿Qué hacer con lo que encuentres?
- If a breach exposed passwords: change that password immediately — and anywhere else you used the same one. Password reuse is the mechanism that turns one breach into many compromised accounts.
- If only email addresses were exposed: lower immediate risk, but expect more targeted phishing. Scammers cross-reference breach lists to send convincing fake emails to people they know have accounts at specific services.
- If name, address, phone number, or date of birth were exposed: these can't be changed. They're useful across a wider range of attacks and tend to stay in circulation for years. This is worth taking seriously.
En todos los casos, saber es mejor que no saber. El incumplimiento ya ocurrió. Lo que puedes controlar es lo que haces a continuación.
Preguntas frecuentes
What is credential stuffing?+
El relleno de credenciales se produce cuando los atacantes toman combinaciones de correo electrónico y contraseña expuestas en una infracción y las prueban automáticamente con otros servicios. Si reutiliza las contraseñas, una infracción en un sitio les da a los atacantes acceso a todas las cuentas con las mismas credenciales.
Is it safe to store all your passwords in one place?+
Sí, cuando se utiliza un administrador de contraseñas de buena reputación. La bóveda cifrada es mucho más segura que las contraseñas débiles o reutilizadas. Los administradores de contraseñas como NordPass utilizan una arquitectura de conocimiento cero, lo que significa que ni siquiera la empresa puede ver sus contraseñas almacenadas.
What is two-factor authentication and should I use it?+
La autenticación de dos factores (2FA) requiere un segundo paso de verificación más allá de su contraseña, generalmente un código de una aplicación. Utilice una aplicación de autenticación (Google Authenticator, Authy) en lugar de códigos SMS, que son vulnerables a ataques de intercambio de SIM.
Si sus resultados muestran más de una o dos infracciones, o si se expusieron datos personales como su dirección o número de teléfono, existe un segundo problema que vale la pena conocer: los sitios de intermediarios de datos que publican esos detalles públicamente. Cubriremos eso en el siguiente artículo.
