Volver al Blog
Seguridad

Cómo comprobar si tu contraseña ha sido filtrada (usando Have I Been Pwned)

C
Carlos Donoso
Autor
8 min lectura
1,628 vistas
1 comentarios
Cómo comprobar si tu contraseña ha sido filtrada (usando Have I Been Pwned)

La semana pasada recibí tres emails de ex alumnos preguntando básicamente lo mismo: "Profe, vi en las noticias lo del hackeo de X empresa, ¿cómo sé si mis datos están ahí?" Es una pregunta que me llega constantemente desde que empecé a dar clases, y honestamente, me alegra que se preocupen por su seguridad digital.

Andrés, que fue mi estudiante hace como cinco años, me escribió después de enterarse de la brecha de Equifax. María José, que llevó mi materia de seguridad informática, me contactó cuando salió lo de la filtración masiva de Facebook. Y así un montón más. Al final terminé escribiendo prácticamente el mismo email explicativo tantas veces que decidí convertirlo en este artículo.

¿Por qué tus datos probablemente YA están filtrados?

Antes de explicarte cómo verificar si fuiste víctima de alguna brecha, necesito que entiendas algo deprimente: probablemente ya lo fuiste. En 2019, hemos visto filtraciones masivas que afectan a millones de personas:

  • Yahoo: 3 mil millones de cuentas (sí, mil millones con "m")
  • Equifax: 147 millones de personas
  • Marriott: 500 millones de huéspedes
  • Facebook: 533 millones de usuarios
  • LinkedIn: 700 millones de perfiles

Y esas son solo las que conocemos públicamente. Cada vez que te registras en un sitio web, cada vez que compras algo online, cada vez que llenas un formulario digital, estás confiando en que esa empresa protegerá tus datos. Spoiler alert: no siempre lo hacen bien.

¿Qué es Have I Been Pwned?

Have I Been Pwned (HIBP) es un sitio web creado por Troy Hunt, un investigador de seguridad australiano que se cansó de ver la misma pregunta una y otra vez: "¿Cómo sé si mis datos fueron comprometidos?"

El sitio recopila información de brechas de datos públicamente conocidas y te permite verificar si tu email o número de teléfono aparecen en alguna de ellas. Es como tener un detector de mentiras para tu vida digital.

La página es completamente gratuita y, lo más importante, no almacena tu información cuando haces consultas. Troy Hunt tiene una reputación sólida en la comunidad de seguridad, y el código está auditado por expertos independientes.

Cómo usar Have I Been Pwned (paso a paso)

Verificando tu email

Es súper simple, hasta mi hermana (que odia la tecnología) pudo hacerlo:

  1. Ve a haveibeenpwned.com
  2. En la caja de texto, escribe tu dirección de email
  3. Haz clic en "pwned?"
  4. Espera unos segundos a que busque en su base de datos

Si tienes suerte, verás un mensaje verde que dice "Good news — no pwnage found!" Si no tienes suerte (como la mayoría de nosotros), verás una lista de todas las brechas donde apareció tu email.

Interpretando los resultados

Cuando tu email aparece en brechas, HIBP te muestra:

  • Nombre de la empresa/sitio: LinkedIn, Adobe, Dropbox, etc.
  • Fecha de la brecha: Cuándo ocurrió el incidente
  • Número de cuentas afectadas: Qué tan grande fue el problema
  • Tipos de datos comprometidos: Emails, contraseñas, nombres, teléfonos, etc.

Por ejemplo, si apareces en la brecha de LinkedIn de 2012, significa que tu email, contraseña (probablemente hasheada), y posiblemente tu información de perfil estuvieron expuestos.

Verificando contraseñas específicas

Esta es la parte que más me gusta explicar a mis ex alumnos. HIBP no solo te dice si tu email fue comprometido, también puede verificar si contraseñas específicas aparecen en brechas conocidas.

Usando "Pwned Passwords"

  1. Ve a haveibeenpwned.com/Passwords
  2. Escribe la contraseña que quieres verificar
  3. El sitio te dirá si esa contraseña aparece en alguna brecha conocida

Lo brillante de esta función es que usa una técnica llamada "k-anonymity". Tu contraseña nunca se envía completa al servidor. Solo se envían los primeros 5 caracteres del hash SHA-1, y el servidor devuelve todas las contraseñas que coinciden con esos caracteres. Tu navegador hace la verificación final localmente.

Ejemplos de contraseñas comprometidas

Para que veas qué tan común es esto, algunas contraseñas "populares" y cuántas veces aparecen en brechas:

  • "123456": Más de 23 millones de veces
  • "password": Más de 3 millones de veces
  • "qwerty": Más de 3 millones de veces
  • "admin": Más de 1 millón de veces

Si tu contraseña aparece aunque sea una vez, significa que ya está en manos de atacantes. Cámbiala YA.

El servicio de notificaciones

Una de las funciones más útiles de HIBP es el servicio de notificaciones. Puedes suscribir tu email para recibir alertas automáticas cuando aparezca en nuevas brechas.

Cómo activar notificaciones

  1. Después de buscar tu email, verás una opción "Get notifications"
  2. Haz clic y confirma tu dirección de email
  3. A partir de ese momento, recibirás alertas cuando tu email aparezca en nuevas brechas

Es gratis y muy útil. Yo tengo configuradas notificaciones para mis emails principales, y lamentablemente recibo alertas cada pocos meses.

Qué hacer cuando descubres que fuiste "pwned"

Esta es la pregunta que siempre sigue: "Ok profe, aparezco en 5 brechas, ¿y ahora qué?"

Paso 1: No entres en pánico

Estar en una brecha no significa automáticamente que te van a hackear mañana. Significa que tus datos están "ahí afuera", pero no necesariamente que alguien los esté usando activamente contra ti.

Paso 2: Cambia contraseñas comprometidas

Si usas la misma contraseña en múltiples sitios (mal hecho, pero todos lo hemos hecho), cámbiala EN TODOS LADOS inmediatamente. Especialmente en:

  • Bancos y servicios financieros
  • Email principal
  • Redes sociales importantes
  • Servicios de trabajo

Paso 3: Activa autenticación de dos factores

Incluso si tu contraseña está comprometida, 2FA hace mucho más difícil que alguien acceda a tus cuentas. Es como tener una segunda cerradura en tu puerta.

Paso 4: Usa un gestor de contraseñas

Esto es lo que más insisto a mis ex alumnos: usen un gestor de contraseñas. LastPass, 1Password, Bitwarden... cualquiera es mejor que reutilizar la misma contraseña en todos lados.

Casos reales de mis ex alumnos

El caso de Sandra

Sandra me escribió preocupada porque había usado la misma contraseña ("sandra1995") en Facebook, su banco, y su email de trabajo durante años. Cuando verificó en HIBP, apareció en la brecha de Facebook y otras tres más.

Le ayudé a configurar un gestor de contraseñas y cambiar todas sus contraseñas importantes. Dos semanas después me escribió aliviada: había recibido un intento de login sospechoso en su banco, pero como ya había cambiado la contraseña, el atacante no pudo entrar.

El caso de Miguel

Miguel, que fue mi estudiante en 2015, me contactó después de recibir emails extraños que parecían venir de su propia cuenta. Verificamos en HIBP y efectivamente, su email apareció en varias brechas, incluyendo una reciente de un sitio de gaming que usaba.

Resulta que había usado la misma contraseña ("gaming123") en ese sitio y en su email. Los atacantes habían accedido a su cuenta de correo y la estaban usando para spam. Cambiar contraseñas y activar 2FA solucionó el problema.

Limitaciones de Have I Been Pwned

HIBP es excelente, pero no es perfecto. Es importante que entiendas sus limitaciones:

Solo incluye brechas públicamente conocidas

Si alguien hackea una empresa y no hace público el ataque, o si la empresa decide no reportarlo, esa brecha no aparecerá en HIBP. También hay brechas que se venden en mercados clandestinos sin hacerse públicas.

No incluye todas las brechas históricas

Algunas brechas más antiguas o menos documentadas pueden no estar en la base de datos. Troy Hunt añade nuevas brechas constantemente, pero depende de que la información esté disponible.

No te protege proactivamente

HIBP te dice lo que ya pasó, no previene futuros ataques. Es como un detector de humo: te alerta del problema, pero no apaga el fuego.

Alternativas y herramientas complementarias

Firefox Monitor

Mozilla creó Firefox Monitor usando la API de HIBP. Básicamente hace lo mismo, pero integrado en tu navegador Firefox. Útil si ya usas Firefox como navegador principal.

Google Password Checkup

Google tiene su propia herramienta que verifica si las contraseñas guardadas en Chrome aparecen en brechas conocidas. Es conveniente, pero obviamente limitado a las contraseñas que tienes guardadas en Chrome.

Servicios de monitoreo pagos

Servicios como Identity Guard o LifeLock incluyen monitoreo de brechas de datos como parte de sus ofertas más amplias de protección de identidad. Son más caros pero ofrecen servicios adicionales.

Configurando alertas para tu familia

Esto es algo que siempre recomiendo a mis ex alumnos que ya tienen familias: configura monitoreo para todos los emails de tu familia.

El año pasado ayudé a Ricardo (ex alumno de 2010) a configurar alertas para él, su esposa, y sus dos hijos adolescentes. Tres meses después me escribió agradecido: había recibido una alerta de que el email de su hijo apareció en una brecha de un sitio de gaming. Pudieron actuar rápido y cambiar contraseñas antes de que hubiera problemas.

La realidad de vivir en 2019

La verdad incómoda es que en 2019, tener algunos de tus datos en brechas es prácticamente inevitable. Usamos docenas de servicios online, compramos en múltiples sitios web, nos registramos en aplicaciones constantemente. No podemos controlar la seguridad de todas estas empresas.

Lo que SÍ podemos controlar es cómo respondemos cuando inevitablemente seamos víctimas. HIBP nos da visibilidad sobre el problema. El resto depende de nosotros.

Consejos prácticos que les doy a mis ex alumnos

Revisa periódicamente

No uses HIBP una sola vez y te olvides. Yo reviso mis emails cada dos o tres meses, especialmente después de que sale alguna brecha grande en las noticias.

Mantén un inventario de tus cuentas importantes

Haz una lista de todos los sitios importantes donde tienes cuentas. Cuando aparezca una nueva brecha que te afecte, sabrás exactamente dónde necesitas cambiar contraseñas.

Educa a tu familia

Enseña a tus padres, hermanos, hijos a usar HIBP. La seguridad digital es responsabilidad de todos, no solo de los "expertos en computación".

Reflexión final

Cada vez que un ex alumno me escribe preocupado por su seguridad digital, me da un poco de esperanza. Significa que las clases sirvieron para algo, que sembré aunque sea una pequeña semilla de conciencia sobre ciberseguridad.

HIBP es una herramienta fantástica, pero es solo eso: una herramienta. La verdadera seguridad viene de cambiar hábitos, usar contraseñas únicas, activar 2FA, y mantenerse informado sobre amenazas.

Si eres ex alumno mío y estás leyendo esto: ya sabes que siempre puedes escribirme si tienes dudas. Prefiero recibir 100 emails "tontos" sobre seguridad que enterarme de que alguien fue víctima de algo que se pudo prevenir.

Y si no fuiste mi alumno pero llegaste hasta acá: ve ahora mismo a haveibeenpwned.com y verifica tus emails. Te garantizo que vas a aprender algo sobre tu propia exposición digital. Probablemente algo que no te va a gustar, pero es mejor saberlo.

C

Sobre Carlos Donoso

Full Stack Developer y AI Engineer apasionado por crear soluciones innovadoras. Me especializo en desarrollo web moderno, inteligencia artificial y automatización. Comparto conocimiento para ayudar a otros developers a crecer en su carrera.

Comentarios 1

Comparte tu opinión

0/1000 caracteres
Avatar de Pablo Pérez

Pablo Pérez

27/04/2020
Gracias x el artículo, súper útil. Me pasó algo similar, recibí un correo alertándome de una filtración y usé Have I Been Pwned para confirmar. Es increíble lo expuestos q estamos. Siempre es bueno estar atentos y protegernos mejor.
Gracias x el artículo, súper útil. Me pasó algo similar, recibí un correo alertándome de una filtración y usé Have I Been Pwned para confirmar. Es increíble lo expuestos q estamos. Siempre es bueno estar atentos y protegernos mejor.

Responder a Pablo Pérez

Más artículos que te pueden interesar

Descubre contenido relacionado y continúa aprendiendo

¡Enlace copiado al portapapeles!