HackNet Suscribirme

Passwords filtradas

Tus passwords ya están a la venta. Y no lo sabes.

Cada año se filtran miles de millones de credenciales. Si reutilizas la misma password en varios sitios, los atacantes solo necesitan que UNO se rompa para entrar en TODAS tus cuentas. Aquí tienes las 3 defensas reales y las herramientas exactas que usa la comunidad.

01

Comprueba si tus passwords ya están filtradas

Antes de cambiar nada, mira si tus emails están en bases de datos públicas de breaches.

Existen herramientas OSINT gratuitas que cruzan tu email contra todos los breaches conocidos (LinkedIn, Adobe, Dropbox, Yahoo, Canva, Santander, AT&T, etc). Te dicen exactamente qué passwords tuyas están en venta en la dark web y desde qué servicio se filtraron. Sin esto, no sabes por dónde empezar.

Herramientas

02

Usa un gestor de passwords

Una password única, larga y aleatoria por cada cuenta. Imposible memorizarlo. Inevitable usar un gestor.

NIST 2026 lo dice claro: la mejor decisión de seguridad personal que puedes tomar es adoptar un gestor de passwords. Genera passwords de 16+ caracteres aleatorios y los guarda cifrados. Tú solo recuerdas la master password. Y como cada cuenta tiene una password única, si una se filtra el resto siguen seguras.

Herramientas

03

Activa 2FA con app, nunca SMS

Aunque te roben la password, sin el segundo factor no entran. Pero el SMS ya no vale.

El SMS es vulnerable a SIM swapping (te roban el número con una llamada al operador). Microsoft y Google ya desaconsejan SMS para cuentas sensibles. Usa una app autenticadora o, mejor todavía, passkeys (autenticación sin password, soportada por Google, Apple, Microsoft, GitHub, PayPal, Amazon).

Herramientas

Por qué pasa

Por qué tu password ya está filtrada (aunque no lo sepas)

La realidad de cómo se filtran las credenciales en 2026.

  1. 1

    Una web donde tienes cuenta es hackeada

    LinkedIn, Adobe, Dropbox, Yahoo, Canva, AT&T, Santander, Ticketmaster. Cualquier servicio puede ser víctima. En 2026 ShinyHunters acaba de comprometer Canvas LMS con 275 millones de cuentas.

  2. 2

    Tu password se publica en foros y mercados

    Los atacantes publican o venden la base de datos en BreachForums, Telegram, mercados de la dark web. Cualquiera con tu email puede ver tu password antigua en segundos.

  3. 3

    Prueban esa password en TODAS tus cuentas

    Es lo que se llama "credential stuffing". Si reutilizaste la misma password en Gmail, Amazon, Netflix, banco... entran en TODAS automáticamente. Bots haciéndolo 24/7.

  4. 4

    Lo descubres cuando ya es tarde

    Cargo raro, sesión iniciada desde Rusia, tu cuenta de Instagram cambiada. Para entonces ya han accedido a tu correo, han mirado tus mensajes y han pivotado a tu banca online. Por eso el paso 1 es comprobar AHORA, no después.

Diego · HackN3t

Más en mi canal de YouTube

OSINT, ciberseguridad y casos reales con todo el contexto que no cabe en un Reel.

Suscribirme al canal