Me han hackeado el correo electrónico, ¿qué hago primero?

Si tu correo está comprometido, **es la máxima emergencia**: el atacante puede restablecer todas tus cuentas (banco, redes sociales, comercio online). Primera acción: intenta recuperar el acceso mediante el formulario de recuperación del proveedor (Gmail, Outlook...). Si recuperas el acceso: cambia la contraseña inmediatamente, activa el 2FA, desconecta las otras sesiones, verifica si se han añadido reglas de reenvío (signos de espionaje de tus correos). Si ya no puedes acceder: contacta el soporte del proveedor de urgencia con prueba de identidad.

¿Cómo sé si mi contraseña ha sido filtrada?

Ve a **[haveibeenpwned.com](https://haveibeenpwned.com)** — introduce tu dirección de correo para ver en qué filtraciones de datos conocidas aparece tu cuenta. Este servicio registra más de 12 mil millones de cuentas comprometidas. Si tu correo aparece, cambia las contraseñas de todas las cuentas asociadas a esa dirección. Bonus: Bitwarden Premium y Proton Pass integran esta verificación directamente en el gestor, con alertas automáticas ante nuevas filtraciones.

¿Es necesario pagar por un gestor de contraseñas?

**No, no para empezar.** Bitwarden ofrece un plan gratuito completo: bóveda ilimitada, sincronización en todos tus dispositivos (móvil, PC, navegador), generador de contraseñas fuertes. Proton Pass también ofrece un plan gratuito sólido. La versión de pago (Bitwarden Premium a 10 USD/año, Proton Pass a 12 USD/año) añade alertas automáticas de filtración, 2FA hardware (YubiKey) y auditoría de salud de la bóveda. Para el 90% de los usuarios, la versión gratuita es suficiente para eliminar el riesgo de reutilización de contraseñas.

¿Debo avisar a alguien si me han hackeado la cuenta?

Sí, en ciertos casos. **Tu banco**: si una cuenta bancaria o servicio financiero está afectado, llama inmediatamente al servicio de fraude. **Tus contactos**: si tu cuenta de correo o red social envió mensajes fraudulentos en tu nombre, avisa a tus contactos para que no abran los enlaces. **Tu empleador**: si la cuenta hackeada da acceso a recursos laborales.

Me han hackeado la cuenta pero no reutilicé mi contraseña, ¿cómo es posible?

Varios escenarios sin reutilización de contraseña: (1) **Phishing**: introdujiste tu contraseña en un sitio falso parecido al real. (2) **Filtración del servicio**: la base de datos del servicio fue comprometida con contraseñas mal protegidas. (3) **Malware/keylogger**: software malicioso en tu dispositivo captura las pulsaciones de teclado. (4) **SIM-swapping**: el atacante transfirió tu número de teléfono para interceptar los códigos SMS de recuperación. Solución a largo plazo: 2FA mediante aplicación (no SMS) + un gestor de contraseñas que detecte sitios de phishing.

Me han hackeado la cuenta: qué hacer AHORA MISMO (guía paso a paso)

Acaban de hackear tu cuenta. O crees que puede ser así. En cualquier caso, la primera regla es simple: no entres en pánico, actúa en orden. Cada minuto cuenta, pero los errores cometidos bajo estrés pueden empeorar la situación.

Esta guía te da la secuencia exacta de acciones a tomar, en el orden correcto, con las prioridades adecuadas.

01 — Respira. Esto es lo que va a pasar en los próximos 10 minutos

Si tu cuenta ha sido comprometida, el atacante probablemente tiene dos objetivos: obtener dinero o contenido, y usar tu cuenta como trampolín para atacar tus otras cuentas. La buena noticia: puedes cortar ambos en menos de 10 minutos si actúas ahora.

Esta guía sigue una lógica de triaje: primero gestionamos lo que limita el daño inmediato, después aseguramos a largo plazo.

02 — Los primeros 5 minutos: acciones inmediatas

Paso 1 — Cambiar la contraseña de la cuenta hackeada

Si todavía tienes acceso a la cuenta, ve inmediatamente a Configuración → Seguridad → Cambiar contraseña.

Usa una contraseña fuerte y única: al menos 16 caracteres, combinando letras, números y símbolos. No uses algo que uses en otro sitio — ese tipo de reutilización es exactamente lo que permite el hackeo en cascada. Usa nuestro generador de contraseñas para crear una nueva de inmediato, y nuestro comprobador de fortaleza para validar tu elección antes de guardarla.

Si ya no tienes acceso, haz clic en "¿Olvidaste tu contraseña?" o "Iniciar sesión de otra forma" y activa un restablecimiento a tu correo de recuperación.

Paso 2 — Cambiar la contraseña de tu correo electrónico principal

Este es el paso que la gente suele olvidar. Si un atacante controla tu bandeja de entrada, puede activar el restablecimiento de contraseña en todas tus cuentas — banco, redes sociales, Netflix, Amazon — desde esa dirección. Cambia la contraseña de tu correo ahora, antes de hacer cualquier otra cosa.

Tu nueva contraseña de correo debe ser diferente a la de la cuenta hackeada y a todas tus demás contraseñas.

Paso 3 — Desconectar todas las sesiones activas

En la configuración de seguridad de la cuenta comprometida, busca "Sesiones activas", "Dispositivos conectados" o "Gestionar sesiones". Desconecta todos los dispositivos excepto el tuyo. En Gmail: Configuración → Seguridad → Tus dispositivos. En Facebook: Configuración → Seguridad → Sesiones activas.

Esta acción expulsa al atacante instantáneamente, aunque siga conectado con un token válido.

03 — En los primeros 30 minutos: reforzar la seguridad

Activar el 2FA en la cuenta hackeada

La doble autenticación (2FA) significa que aunque alguien conozca tu contraseña, no puede iniciar sesión sin el código adicional. Actívala primero en la cuenta hackeada, luego en tu correo.

Usa una aplicación de autenticación, no SMS: los ataques de SIM-swapping permiten redirigir tus mensajes al atacante. Una aplicación como Google Authenticator o Bitwarden Authenticator genera los códigos localmente, sin pasar por la red telefónica.

Verificar la configuración de recuperación

Asegúrate de que el atacante no haya modificado tu dirección de recuperación ni tu número de teléfono de recuperación. Verifica también las reglas de reenvío de correos (un atacante puede haber configurado una regla para recibir copias de todos tus correos sin que te des cuenta).

Cambiar contraseñas de cuentas vinculadas

Si usaste la misma contraseña en otros sitios (banco, redes sociales, correo profesional), cámbialas ahora. Este es el riesgo número uno: una sola contraseña robada compromete todo lo demás.

Verifica en haveibeenpwned.com si tu correo aparece en filtraciones de datos conocidas.

04 — La solución duradera: un gestor de contraseñas

El hackeo de cuentas no ocurre por casualidad. La causa número uno sigue siendo la reutilización de contraseñas: se hackea un sitio y todas tus otras cuentas con la misma contraseña quedan vulnerables. La causa número dos: contraseñas demasiado simples, fáciles de adivinar o de encontrar por fuerza bruta.

Un gestor de contraseñas resuelve definitivamente ambos problemas: genera una contraseña fuerte y única para cada sitio, la almacena cifrada y la rellena automáticamente. Solo necesitas recordar una contraseña — la contraseña maestra.

Bitwarden: gratuito, código abierto, auditado

Bitwarden es nuestra recomendación principal por una razón simple: el plan gratuito es completo y sin límites (bóveda ilimitada, sincronización en todos tus dispositivos, generador de contraseñas). El código es de código abierto y fue auditado por Cure53 en 2022 — cualquiera puede verificar que hace lo que dice.

Para usuarios preocupados por su privacidad, Bitwarden Premium (10 USD/año) añade alertas automáticas de filtración de datos — te avisan en el momento en que una de tus contraseñas aparece en una nueva filtración.

Consulta nuestra reseña completa de Bitwarden 2026 para los detalles técnicos.

Probar Bitwarden gratis →Plan gratuito completo · Bóveda ilimitada · Código abierto, auditado por Cure53→

Proton Pass: para el ecosistema de privacidad

Si ya usas Proton Mail o Proton VPN, Proton Pass encaja naturalmente en ese ecosistema. Plan gratuito disponible, con cifrado de extremo a extremo de metadatos (a diferencia de la mayoría de competidores que solo cifran las contraseñas, no las URLs ni los nombres de las cuentas).

Proton Pass es especialmente adecuado si buscas una solución orientada a la privacidad con un proveedor con sede en Suiza.

Nuestra comparativa Proton Pass vs Bitwarden te ayuda a elegir según tu perfil.

Probar Proton Pass →Plan gratuito · Cifrado E2EE de metadatos · Ecosistema Proton→

05 — Lista de verificación resumida

Aquí están las acciones en orden, para ir marcándolas:

06 — Para profundizar

Mejor gestor de contraseñas 2026 — nuestro ranking completo
Mejor app de autenticación 2FA — Aegis, Google Auth, Bitwarden Authenticator comparados
Passkeys vs contraseñas — la tecnología que podría reemplazar las contraseñas definitivamente

PwdFortress recibe una comisión si te suscribes a Bitwarden Premium o Proton Pass a través de los enlaces de este artículo. Esto no cambia el precio que pagas ni el contenido editorial — las recomendaciones se basan en pruebas independientes.

★ Audit Cure53 2024 · ✓ Plan gratuit · Cross-platform

Probar NordPass30 jours satisfait ou remboursé · Plan gratuit disponible→