Come faccio a sapere se una password è stata rubata?

Puoi ricevere un avviso dal browser, dal gestore password o dal servizio che usi. Altri segnali sono accessi sospetti, codici di verifica non richiesti, email di sicurezza insolite o modifiche all’account che non hai fatto tu.

Cosa devo fare per prima cosa se una password è stata rubata?

Devi cambiarla subito dal sito o dall’app ufficiale del servizio. Non usare link ricevuti via email o messaggio. Dopo il cambio, controlla accessi recenti, dispositivi collegati e metodi di recupero.

Basta eliminare la password salvata dal browser?

No. Eliminare una password salvata dal browser o dallo smartphone rimuove solo la credenziale memorizzata. Se la password è stata rubata, devi cambiarla davvero nell’account collegato.

Devo cambiare anche le password degli altri account?

Sì, se hai usato la stessa password o una password molto simile su altri servizi. Il riutilizzo delle password è uno dei principali motivi per cui una singola violazione può mettere a rischio più account.

È utile attivare l’autenticazione a due fattori?

Sì. L’autenticazione a due fattori aggiunge un secondo passaggio oltre alla password e rende più difficile l’accesso non autorizzato, anche se qualcuno conosce la tua password.

Cosa faccio se non riesco più ad accedere all’account?

Usa la procedura ufficiale di recupero account del servizio. Evita link sospetti, prepara i dati necessari per dimostrare che l’account è tuo e controlla anche email, telefono e dispositivi collegati.

Una passkey è più sicura di una password?

In molti casi sì, perché non si basa su una password tradizionale da digitare e riutilizzare. Le passkey riducono il rischio di phishing, ma richiedono comunque dispositivi protetti e metodi di recupero ben configurati.

Quando devo avvisare la banca?

Devi avvisare la banca o il servizio di pagamento se noti movimenti sospetti, se l’account compromesso aveva carte salvate o se pensi di aver inserito dati bancari in una pagina falsa.

Contraseña robada: qué hacer inmediatamente para proteger tus cuentas

Descubrir que una contraseña podría haber sido robada es una situación que no debe subestimarse. A veces nos damos cuenta porque recibimos una alerta del navegador, del gestor de contraseñas o del servicio que usamos. Otras veces la sospecha surge por un acceso inusual, un correo de seguridad, un mensaje de recuperación de contraseña que no hemos solicitado o por movimientos extraños en una cuenta. Lo más importante es no entrar en pánico, sino actuar con orden. Una contraseña comprometida no significa automáticamente que todas tus cuentas hayan sido violadas, pero puede convertirse en un problema serio si la misma contraseña ha sido usada en varios servicios.

En esta guía veremos qué hacer si una contraseña ha sido robada, qué controles realizar de inmediato, cómo cambiar las credenciales correctamente y qué configuraciones activar para proteger mejor el correo electrónico, redes sociales, servicios en la nube, aplicaciones bancarias y cuentas personales. Nota importante: si una contraseña ha sido robada, no basta con eliminarla del navegador o del teléfono. Debes cambiarla desde el sitio o la aplicación del servicio afectado y comprobar si alguien ya ha accedido a tu cuenta.

Resumen

Cómo saber si una contraseña ha sido robada

No siempre una contraseña robada se usa inmediatamente. En muchos casos, las credenciales terminan en bases de datos sustraídas durante violaciones de datos, se venden en línea o se usan automáticamente para intentar acceder a otros servicios. Hay algunas señales que deberían hacer que actúes rápidamente:

recibes una alerta de que la contraseña está comprometida;
el navegador o el gestor de contraseñas señala una contraseña robada o reutilizada;
recibes códigos de verificación que no has solicitado;
llegan correos de acceso desde dispositivos o ubicaciones que no reconoces;
alguien intenta restablecer la contraseña de una de tus cuentas;
notas mensajes enviados desde tu perfil sin tu intervención;
encuentras modificaciones en correo electrónico, número de teléfono, nombre de usuario o configuraciones de seguridad;
un servicio te comunica que ha sufrido una violación de datos.

En todos estos casos conviene actuar de inmediato, comenzando por la cuenta más importante: generalmente el correo electrónico principal. Si un atacante logra entrar en tu bandeja de correo, puede intentar recuperar las contraseñas de muchos otros servicios vinculados.

Qué hacer de inmediato si una contraseña ha sido robada

Cuando sospechas que una contraseña ha sido robada, lo primero que debes hacer es cambiar esa contraseña en el sitio oficial del servicio. No utilices enlaces recibidos por correo o mensaje, especialmente si el tono es urgente o amenazante. Abre directamente el sitio escribiendo la dirección en el navegador o usa la app oficial. El procedimiento correcto es el siguiente:

abre el sitio o la app oficial del servicio;
accede a tu cuenta, si todavía puedes entrar;
ve a las configuraciones de seguridad;
cambia inmediatamente la contraseña;
elige una contraseña nueva, larga y diferente a todas las demás;
guarda la nueva contraseña de forma segura;
activa la autenticación de dos factores, si está disponible;
revisa dispositivos conectados, sesiones activas y actividad reciente.

Si ya no puedes acceder, utiliza el procedimiento oficial de recuperación de cuenta. También en este caso, evita enlaces sospechosos y siempre comienza desde la página oficial del servicio.

Regla práctica: si la contraseña robada se usaba también en otras cuentas, debes cambiarla en todas partes. No basta con cambiarla en el sitio que reportó el problema.

Cambia primero la contraseña del correo electrónico principal

El correo electrónico principal suele ser el centro de tu identidad digital. Sirve para recibir códigos de verificación, confirmaciones de acceso, enlaces para recuperar la contraseña, facturas, documentos, comunicaciones bancarias y notificaciones de redes sociales. Por esta razón, si sospechas una compromisión, debes dar prioridad a la cuenta de correo más importante. Revisa de inmediato:

si la contraseña del correo es única y no se usa en otro lugar;
si hay accesos recientes desde dispositivos desconocidos;
si se han creado reglas de reenvío automático;
si existen filtros extraños que mueven o esconden mensajes;
si el correo de recuperación y el número de teléfono siguen siendo tuyos;
si la autenticación de dos factores está activa.

Un atacante que accede a tu correo puede buscar mensajes que contengan datos personales, contraseñas antiguas, documentos, recibos, datos fiscales o referencias a servicios que usas. También puede intentar restablecer la contraseña de otras cuentas vinculadas.

Usa una contraseña nueva y diferente a todas las demás

Cuando cambies una contraseña robada, no hagas pequeñas variaciones de la antigua. Cambiar una letra, agregar un número o poner un símbolo al final no es una solución segura. Si la contraseña anterior era conocida, las variantes similares también pueden ser fáciles de adivinar. Una buena contraseña debería ser:

larga;
única para esa cuenta;
no estar relacionada con tu nombre, fecha de nacimiento u otra información personal;
no reutilizada en otros sitios;
difícil de adivinar incluso para quienes te conocen.

Puedes usar un gestor de contraseñas para generar y guardar credenciales complejas. Es mucho mejor tener contraseñas largas y distintas guardadas de forma segura, que usar la misma contraseña simple en muchas cuentas.

Si primero quieres revisar o eliminar las credenciales almacenadas en tus dispositivos, también lee la guía sobre cómo eliminar las contraseñas guardadas en Chrome, Android y iPhone.

Revisa si la misma contraseña ha sido usada en otros lugares

El mayor riesgo no siempre es la contraseña robada individual, sino reutilizar la misma contraseña en varias cuentas. Esto se debe a que muchos ataques automáticos prueban pares de correo y contraseña ya robados en otros sitios. Por ejemplo, si usas la misma combinación de correo y contraseña en un foro antiguo, en una red social y en un servicio de correo electrónico, la violación del foro antiguo podría poner en riesgo también las otras cuentas. Por eso realiza un chequeo mental y práctico:

¿dónde has usado la misma contraseña?
¿qué cuentas tienen el mismo correo de acceso?
¿qué servicios contienen datos personales o pagos?
¿qué cuentas permiten recuperar otras cuentas?
¿qué contraseñas son similares a la robada?

Comienza con las cuentas más sensibles: correo electrónico, banca en línea, servicios de pago, redes sociales, nube, comercio electrónico, cuenta Apple, cuenta Google, herramientas de trabajo y servicios con datos personales.

Activa la autenticación de dos factores

La autenticación de dos factores añade un segundo paso además de la contraseña. Puede ser un código generado por una aplicación, una notificación en el teléfono, una llave de seguridad física, un código recibido por SMS u otro método previsto por el servicio. Es una protección importante porque dificulta el acceso incluso si alguien conoce la contraseña. No es una garantía absoluta, pero reduce mucho el riesgo de accesos no autorizados. Cuando puedas elegir, prefiere:

aplicaciones de autenticación;
passkey;
llaves de seguridad físicas;
notificaciones de confirmación en dispositivo confiable.

Los SMS son mejor que nada, pero pueden ser menos seguros en comparación con otros métodos. En cualquier caso, activar un segundo factor casi siempre es una mejor opción que usar solo la contraseña.

Para recordar: después de activar la autenticación de dos factores, guarda también los códigos de recuperación en un lugar seguro. Son necesarios si pierdes el teléfono o no puedes usar el método principal de verificación.

Cerrar sesión en todos los dispositivos conectados

Después de cambiar una contraseña comprometida, revisa las sesiones activas. Muchos servicios permiten ver desde qué dispositivos, navegadores o aplicaciones se ha accedido. Busca entradas como:

dispositivos conectados;
sesiones activas;
accesos recientes;
actividad de seguridad;
dónde has accedido;
gestionar dispositivos.

Si encuentras un dispositivo que no reconoces, desconéctalo. Si el servicio ofrece la opción Cerrar sesión en todos los dispositivos, úsala después de cambiar la contraseña. Así, cualquier sesión abierta por otras personas se interrumpe. Este paso es especialmente importante para el correo electrónico, redes sociales, cuentas de Google, Apple Account, servicios en la nube, plataformas laborales y aplicaciones vinculadas a pagos.

Revisa correo electrónico, número de teléfono y métodos de recuperación

Cuando alguien logra entrar a una cuenta, podría modificar los datos de recuperación para mantener el acceso incluso después de cambiar la contraseña. Por eso debes verificar que el correo electrónico, número de teléfono y métodos de recuperación sigan siendo correctos. Revisa:

correo electrónico principal;
correo electrónico secundario;
número de teléfono;
dispositivos confiables;
aplicaciones de autenticación vinculadas;
claves de seguridad;
códigos de respaldo;
preguntas de seguridad, si aún existen.

Si encuentras algún dato que no reconoces, elimínalo inmediatamente. Luego cambia la contraseña nuevamente, porque la cuenta podría haber sido ya manipulada.

Revisa las aplicaciones conectadas y permisos

Muchas cuentas permiten que aplicaciones, extensiones o servicios externos accedan a los datos. Es cómodo, pero puede convertirse en un riesgo si con el tiempo has autorizado herramientas que ya no usas o que no reconoces. Después de una posible compromisión, accede a la sección dedicada a aplicaciones conectadas y elimina todo lo que no sea necesario. Presta especial atención a:

aplicaciones de terceros conectadas a la cuenta;
extensiones del navegador;
servicios que tienen acceso a correo electrónico, calendario, archivos o contactos;
integraciones antiguas o que ya no se usan;
apps instaladas fuera de las tiendas oficiales;
herramientas que requieren permisos demasiado amplios.

Si crees que el problema se originó por un archivo adjunto o una descarga sospechosa, también puede ser útil la guía sobre cómo descubrir si un archivo es peligroso antes de abrirlo.

Revisa el dispositivo: podría haber malware

Una contraseña puede ser robada de muchas maneras: violación de un sitio, phishing, malware, extensiones maliciosas, apps no confiables, red Wi-Fi comprometida o páginas falsas que imitan servicios conocidos. Si la contraseña fue robada después de instalar algo, abrir un adjunto o hacer clic en un enlace sospechoso, no te limites a cambiar la contraseña. Revisa también el dispositivo.

Puedes hacer estos pasos:

actualiza el sistema operativo, navegador y apps;
elimina programas o apps que no reconozcas;
desinstala extensiones del navegador innecesarias o sospechosas;
realiza un escaneo con un software de seguridad confiable;
verifica si el navegador abre páginas extrañas o muestra notificaciones sospechosas;
evita cambiar la contraseña desde un dispositivo que sospeches esté infectado.

Si tienes una duda seria, cambia las contraseñas más importantes desde un dispositivo diferente y confiable. Cambiarlas desde un ordenador comprometido podría exponer inmediatamente también las nuevas credenciales.

Atención a los correos falsos de violación de datos

Después de una violación real o presunta, pueden llegar correos de estafa que fingen avisarte de un problema de seguridad. El mensaje puede invitarte a hacer clic en un enlace, descargar un archivo o introducir la contraseña para “verificar” la cuenta. Estos mensajes suelen usar frases urgentes, logotipos similares a los originales y tonos alarmistas. El consejo es sencillo: no hagas clic en los enlaces contenidos en el correo. Ve directamente al sitio oficial o abre la app oficial del servicio.

Ten cuidado si el mensaje:

te pide ingresar la contraseña en una página a la que se accede por link;
contiene errores extraños o un dominio similar pero no idéntico al oficial;
amenaza con el cierre inmediato de la cuenta;
pide códigos de verificación o datos bancarios;
invita a descargar adjuntos;
llega de un remitente que no corresponde con el servicio real.

Una regla útil es esta: las contraseñas no se comunican por correo electrónico, chat o teléfono. Si alguien te la pide, casi seguro es un intento de estafa.

Qué hacer si ya no puedes acceder

Si la contraseña fue cambiada por otra persona y no puedes acceder a la cuenta, debes usar el procedimiento oficial de recuperación. Cada servicio tiene un proceso distinto, pero en general te pedirá confirmar tu identidad mediante correo electrónico, número de teléfono, dispositivo ya reconocido o documentos. En esta situación:

no crees una cuenta nueva si puedes recuperar la anterior;
usa solo la página oficial de recuperación;
revisa también la carpeta de spam o correo no deseado;
prepara datos útiles para demostrar que la cuenta es tuya;
avisa a tus contactos si la cuenta ha sido usada para enviar mensajes sospechosos;
si hay pagos vinculados, revisa movimientos y métodos de pago.

Si la cuenta comprometida está vinculada al trabajo, pagos, documentos o datos sensibles, también considera contactar con el soporte del servicio y, en casos más graves, al banco o a las autoridades competentes.

Cuándo avisar al banco, contactos o soporte

No todas las contraseñas robadas tienen el mismo nivel de riesgo. Si la contraseña correspondía a un foro antiguo o a una cuenta secundaria, puede bastar con cambiarla y revisar posibles reutilizaciones. Si en cambio se trata de email, banco, redes sociales o servicios profesionales, se necesita mayor atención. Avisa al banco o servicio de pago si:

notas operaciones que no reconoces;
la contraseña robada estaba vinculada a una cuenta con tarjetas guardadas;
recibes notificaciones de pagos sospechosos;
tu cuenta ha sido usada para hacer compras;
has ingresado datos bancarios en una página sospechosa.

Avisa a tus contactos si:

desde tu perfil se han enviado mensajes extraños;
alguien está usando tu nombre para pedir dinero o códigos;
la cuenta social ha sido usada para publicar contenidos que no son tuyos;
se han enviado correos phishing desde tu bandeja.

Puede ser embarazoso, pero es mejor avisar de inmediato. Así reduces el riesgo de que otras personas caigan en la estafa aprovechando la confianza que tienen en tu nombre.

Cómo prevenir el problema en el futuro

No puedes controlar cada violación de datos que ocurre en línea, pero puedes reducir mucho los riesgos siguiendo algunas buenas prácticas.

usa una contraseña diferente para cada cuenta;
activa la autenticación en dos pasos en los servicios más importantes;
usa un gestor de contraseñas fiable;
evita guardar contraseñas en dispositivos compartidos;
mantén actualizado el sistema operativo, navegador y apps;
no instales extensiones innecesarias o desconocidas;
no hagas clic en enlaces sospechosos recibidos por email, SMS o chat;
revisa periódicamente dispositivos conectados y accesos recientes;
elimina las cuentas que ya no uses;
prefiere las passkey cuando el servicio las soporte.

Antes de actuar, puede ser útil verificar qué credenciales aún están guardadas en el navegador o smartphone: en esta guía explicamos cómo ver las contraseñas guardadas en Chrome, Android y iPhone.

Contraseña robada y passkey: ¿qué cambia?

Las passkey son un sistema de acceso diferente a las contraseñas tradicionales. En lugar de escribir una contraseña, confirmas el acceso con el dispositivo, el rostro, la huella digital o un código de desbloqueo. Esto reduce el riesgo de phishing porque no hay una contraseña clásica que copiar y reutilizar. No todos los servicios aún soportan las passkey, pero cuando están disponibles pueden ser una buena opción, especialmente para las cuentas más importantes. Sin embargo, en este caso, también debes proteger bien el dispositivo, mantener activados los métodos de recuperación y saber qué hacer si pierdes el teléfono o la computadora. Las passkey no eliminan todos los riesgos, pero reducen uno de los problemas más comunes: la reutilización de la misma contraseña en varios sitios.

Errores que evitar después de una contraseña robada

Después de una posible compromisión, algunas reacciones instintivas pueden empeorar la situación. Aquí están los errores más comunes que debes evitar.

Cambiar solo una contraseña: si la misma credencial se usaba en otro lugar, debes cambiarla también en las otras cuentas.
Usar una variante similar: agregar un número o un símbolo a la contraseña vieja no es suficiente.
Hacer clic en enlaces recibidos por correo electrónico: siempre ve al sitio oficial o a la aplicación oficial.
Olvidar el correo principal: a menudo es la cuenta más importante para proteger.
No revisar los dispositivos conectados: alguien podría tener aún una sesión abierta.
No verificar aplicaciones y permisos: una aplicación conectada puede seguir accediendo a los datos.
Cambiar la contraseña desde un dispositivo sospechoso: si el dispositivo está infectado, la nueva contraseña también puede ser robada.

En resumen

Si una contraseña ha sido robada, debes actuar inmediatamente pero con método. Cambia la contraseña desde el sitio oficial, elige una credencial nueva y única, verifica si la misma contraseña se usaba en otros sitios y activa la autenticación de dos factores. Justo después, verifica accesos recientes, dispositivos conectados, métodos de recuperación, aplicaciones autorizadas y posibles actividades sospechosas. Si la cuenta está relacionada con correo electrónico, banco, pagos o datos sensibles, da máxima prioridad a la protección y no esperes.

La regla más importante es simple: una contraseña robada nunca debe seguir siendo válida ni debe usarse en varias cuentas. Cuanto más únicas sean tus contraseñas, más difícil será que un solo problema se convierta en una violación más amplia.

Preguntas frecuentes

¿Cómo puedo saber si una contraseña ha sido robada?

Puedes recibir una alerta del navegador, del gestor de contraseñas o del servicio que utilizas. Otros signos son accesos sospechosos, códigos de verificación no solicitados, correos de seguridad inusuales o modificaciones en la cuenta que tú no hiciste.

¿Qué debo hacer primero si una contraseña ha sido robada?

Debes cambiarla inmediatamente desde el sitio o la aplicación oficial del servicio. No uses enlaces recibidos por correo o mensaje. Después del cambio, revisa accesos recientes, dispositivos conectados y métodos de recuperación.

¿Es suficiente eliminar la contraseña guardada en el navegador?

No. Eliminar una contraseña guardada en el navegador o en el smartphone solo elimina la credencial almacenada. Si la contraseña ha sido robada, debes cambiarla realmente en la cuenta asociada.

¿Debo cambiar también las contraseñas de otras cuentas?

Sí, si usaste la misma contraseña o una muy similar en otros servicios. La reutilización de contraseñas es uno de los principales motivos por los cuales una sola violación puede poner en riesgo varias cuentas.

¿Es útil activar la autenticación de dos factores?

Sí. La autenticación de dos factores añade un segundo paso además de la contraseña y hace más difícil el acceso no autorizado, incluso si alguien conoce tu contraseña.

¿Qué hago si ya no puedo acceder a la cuenta?

Usa el procedimiento oficial de recuperación de cuenta del servicio. Evita enlaces sospechosos, prepara los datos necesarios para demostrar que la cuenta es tuya y revisa también el correo electrónico, teléfono y dispositivos vinculados.

¿Una passkey es más segura que una contraseña?

En muchos casos sí, porque no se basa en una contraseña tradicional para escribir y reutilizar. Las passkeys reducen el riesgo de phishing, pero aún requieren dispositivos protegidos y métodos de recuperación bien configurados.

¿Cuándo debo avisar al banco?

Debes avisar al banco o al servicio de pago si notas movimientos sospechosos, si la cuenta comprometida tenía tarjetas guardadas o si crees que ingresaste datos bancarios en una página falsa.