InstantTempEmail.com
Seguridad

Qué le pasa a tu dirección de email después de una filtración de datos

Cuando una empresa sufre una brecha, tu dirección de email no desaparece simplemente. Aquí está exactamente lo que le ocurre, cuánto tiempo circula y qué puedes hacer para protegerte antes y después de una filtración.

TM
··8 min de lectura

Una empresa con la que te registraste hace años es hackeada. Su base de datos — incluyendo tu dirección de email, posiblemente tu contraseña y otros datos personales — es robada. ¿Y luego qué?

La mayoría de la gente imagina que los datos robados desaparecen en algún rincón oscuro de internet. La realidad es más organizada, más persistente y con más consecuencias que eso.

La cronología de una filtración de datos

Entender lo que le pasa a tus datos después de una filtración te ayuda a responder apropiadamente y a tomar mejores decisiones antes de que ocurran las filtraciones.

Fase 1: La filtración ocurre (Día 0)

Un atacante obtiene acceso no autorizado a la base de datos de una empresa. Esto puede ocurrir a través de una vulnerabilidad sin parchear, un ataque de phishing a un empleado, credenciales comprometidas o una base de datos mal configurada dejada accesible públicamente.

El atacante copia la base de datos. Esto puede ocurrir en minutos para bases de datos pequeñas, horas o días para las grandes. Es posible que la empresa aún no sepa que ha ocurrido.

Fase 2: Descubrimiento y divulgación (Días a meses después)

La empresa puede descubrir la filtración por sí misma a través de monitorización, o puede ser notificada por un investigador de seguridad, las fuerzas del orden o los propios atacantes (en escenarios de ransomware).

Bajo el RGPD (Europa), las empresas están obligadas a notificar a los usuarios afectados dentro de las 72 horas posteriores al descubrimiento. Según las diversas leyes estatales de EE.UU., los plazos de notificación varían. En la práctica, muchas filtraciones se divulgan semanas o meses después de ocurrir — y algunas nunca se divulgan.

Fase 3: Los datos llegan al mercado (Inmediatamente a semanas después)

Esto es lo que realmente le ocurre a la base de datos robada:

Escenario A: Vendida en mercados de la dark web El atacante lista la base de datos para su venta. Los precios varían enormemente — una base de datos de un millón de pares email/contraseña de un servicio financiero puede venderse por miles de dólares. Una base de datos de emails de un sitio de videojuegos puede venderse por unos pocos cientos.

Escenario B: Usada directamente para credential stuffing Si la base de datos incluye contraseñas (aunque estén hasheadas), los atacantes las pasan por crackers de contraseñas y luego prueban las credenciales crackeadas en objetivos de alto valor — sitios bancarios, proveedores de email, sitios de e-commerce. Esto se llama credential stuffing. Funciona porque la mayoría de la gente reutiliza contraseñas.

Escenario C: Añadida a listas de spam Incluso sin contraseñas, las direcciones de email de filtraciones son valiosas para los spammers. Las direcciones están verificadas como reales (se usaron una vez para registrarse en algo) y se añaden a listas de email masivo.

Escenario D: Usada para phishing dirigido Si la filtración incluía contexto adicional — qué servicio usabas, tu nombre de usuario, historial de compras — los atacantes pueden crear emails de phishing convincentes que hacen referencia a detalles específicos para parecer legítimos.

Fase 4: Los datos circulan indefinidamente

Esta es la parte que la mayoría de la gente no entiende: los datos filtrados no caducan ni desaparecen.

Una vez que una base de datos se vende una vez, se revende. Se combina con otras bases de datos de filtraciones en "listas combo" — colecciones masivas de pares email/contraseña de cientos de filtraciones fusionadas. Algunas listas combo contienen miles de millones de registros.

Una dirección de email de una filtración de 2015 sigue circulando en listas de spam y listas combo en 2026. Los datos de las grandes filtraciones — LinkedIn 2012, Adobe 2013, Yahoo 2013-2016 — todavía se usan activamente en ataques hoy en día.

Cómo comprobar si tu email ha sido filtrado

HaveIBeenPwned (haveibeenpwned.com) es la herramienta gratuita más completa para comprobar si tu email aparece en bases de datos de filtraciones conocidas. Fue creada por el investigador de seguridad Troy Hunt y rastrea cientos de grandes filtraciones.

Introduce tu dirección de email y te dice:

  • En qué filtraciones apareció tu dirección
  • Qué datos se expusieron en cada filtración (email, contraseña, nombre de usuario, dirección IP, etc.)
  • La fecha de cada filtración

Esto es útil para entender tu exposición histórica. No detectará filtraciones que aún no se hayan divulgado públicamente.

Mozilla Monitor (monitor.mozilla.org) usa la misma base de datos de HaveIBeenPwned y añade monitorización continua — te alerta cuando tu dirección aparece en nuevas filtraciones.

Qué hacer inmediatamente después de una notificación de filtración

Si recibes una notificación de que tu email (y posiblemente tu contraseña) fue expuesto en una filtración, actúa en este orden:

1. Cambia la contraseña en el servicio filtrado Aunque la empresa diga que las contraseñas estaban "hasheadas", cámbiala. Los algoritmos de hashing varían en fortaleza, y las filtraciones antiguas a menudo usaban hashing débil (MD5) que se puede crackear rápidamente.

2. Comprueba si reutilizaste esa contraseña en otro lugar Si usaste la misma contraseña en otros servicios — especialmente email, banca o cuentas sociales — cámbiala en esos servicios inmediatamente. Los ataques de credential stuffing explotan específicamente la reutilización de contraseñas.

3. Activa la autenticación de dos factores en las cuentas importantes El 2FA por email es mejor que nada. Una aplicación de autenticación (Google Authenticator, Authy) o una clave de hardware (YubiKey) es significativamente mejor que el 2FA por email.

4. Estate alerta ante intentos de phishing Las filtraciones que expusieron datos contextuales (qué servicio usabas, tu nombre de usuario, historial de compras) van seguidas de campañas de phishing dirigido. Sé extra escéptico con los emails que hagan referencia a detalles específicos de cuenta durante las próximas semanas.

5. Monitoriza tus cuentas financieras Si la filtración incluía datos de pago, monitoriza los extractos de tu tarjeta para detectar cargos no autorizados. Notifica los cargos no autorizados a tu banco inmediatamente.

Cómo el email temporal limita el daño de una filtración

Usar una dirección de email temporal o desechable para registros no esenciales limita directamente tu exposición a filtraciones.

Cuando usas una dirección temporal para un servicio que después sufre una filtración:

  • La base de datos filtrada contiene xk7p2m@instanttempemail.com — una dirección expirada y aleatoria sin ningún vínculo con tu identidad
  • Tu dirección de email real no está en la base de datos
  • No recibes emails de phishing en tu dirección real porque los datos de la filtración no la incluyen
  • Los ataques de credential stuffing que usan esa dirección no llevan a ningún lado porque la dirección está muerta

Este es uno de los beneficios de privacidad más concretos y prácticos del email desechable — limita el radio de impacto de cualquier filtración individual a solo ese servicio, sin desbordamiento a tu identidad real ni a otras cuentas.

La dirección temporal todavía puede usarse en campañas de phishing, pero como la bandeja está expirada, los emails de phishing no llegan a ningún lado y nunca los ves.

El problema de la reutilización de contraseñas

Las filtraciones de datos son más peligrosas cuando exponen contraseñas que se reutilizan en múltiples servicios. Entender esto ayuda a explicar por qué tanto la higiene de filtraciones como la higiene de email importan juntas.

Un ataque típico de credential stuffing funciona así:

  1. El atacante compra una lista combo con 500 millones de pares email/contraseña de varias filtraciones
  2. Escribe un script que prueba cada par contra un servicio objetivo (Gmail, PayPal, Amazon)
  3. Un pequeño porcentaje — incluso el 0,1% — iniciará sesión con éxito porque esos usuarios reutilizaron la contraseña
  4. Esas cuentas están ahora comprometidas

La defensa es sencilla pero requiere disciplina:

Usa un gestor de contraseñas. 1Password, Bitwarden (código abierto, gratuito) o Dashlane generan y almacenan contraseñas aleatorias únicas para cada servicio. Nunca reutilizas una contraseña porque nunca necesitas recordar contraseñas.

Usa contraseñas únicas para cada servicio. Con un gestor de contraseñas, esto no requiere esfuerzo. Sin uno, es genuinamente difícil — por eso la mayoría de la gente no lo hace, y por eso funciona el credential stuffing.

Combinar contraseñas únicas con emails desechables para servicios de bajo valor significa que una filtración en cualquier servicio no expone nada útil para atacar otros servicios.

Por qué algunas empresas no divulgan las filtraciones

No todas las filtraciones se hacen de conocimiento público. Las empresas pueden:

  • No saber que fueron hackeadas (los atacantes suelen ser sigilosos)
  • Corregir silenciosamente la vulnerabilidad y esperar que nadie se dé cuenta
  • Subestimar el alcance de lo que fue accedido
  • Estar en jurisdicciones con requisitos de divulgación débiles o inexistentes
  • Retrasar la divulgación mientras investigan, a veces durante meses

Esto significa que tu email puede aparecer en bases de datos de filtraciones que HaveIBeenPwned no conoce. El problema de las filtraciones no divulgadas es por qué usar direcciones desechables para servicios de baja confianza es valioso incluso si nunca has recibido una notificación de filtración — puede que hayas sufrido una filtración sin saberlo.

Preguntas frecuentes

Si mi email estuvo en una filtración pero mi contraseña no, ¿estoy seguro? Más seguro, pero no seguro. Las filtraciones solo de email alimentan listas de spam y te convierten en objetivo de phishing. También se combinan con otros datos de filtraciones para crear perfiles más ricos de posibles objetivos. No cambies nada, pero sé más alerta ante emails sospechosos.

¿Puedo hacer que eliminen mis datos de las bases de datos de filtraciones? De las bases de datos de filtraciones usadas por servicios como HaveIBeenPwned — no, y no querrías hacerlo. Esas bases de datos son lo que te permite comprobar tu exposición. De las listas de spam y listas combo que circulan entre atacantes — no. Una vez que los datos están en estas listas, no hay mecanismo de eliminación.

¿Vale la pena pagar por servicios de protección contra el robo de identidad? Varían en valor. La función principal — monitorizar tus datos personales en bases de datos de filtraciones — está disponible gratuitamente a través de HaveIBeenPwned y Mozilla Monitor. Los servicios de pago añaden seguros, monitorización del crédito y servicios de recuperación asistida, que tienen valor si ya has sido afectado por un robo de identidad. Solo para la monitorización de filtraciones, las herramientas gratuitas son suficientes.

¿Cómo saben los atacantes qué pares email/contraseña probar dónde? Las listas combo a menudo incluyen metadatos sobre de dónde provienen las credenciales. Los atacantes también usan la probabilidad — si tienen tu email y una contraseña, prueban primero los objetivos de alto valor más comunes: Gmail, Outlook, PayPal, Amazon, los principales bancos. Automatizan este proceso en millones de credenciales.

Mi contraseña fue expuesta pero estaba hasheada. ¿Debería cambiarla igualmente? Sí. La fortaleza del hashing varía. Los hashes MD5 y SHA1 (usados por muchos servicios antiguos) se pueden crackear en minutos usando herramientas basadas en GPU y tablas rainbow. Incluso las contraseñas hasheadas con bcrypt pueden crackearse dado suficiente tiempo y potencia de cómputo si la contraseña era débil. Cámbiala independientemente.

Pruébalo ahora — es gratis

Obtén tu correo desechable al instante

Sin registros. Tu dirección está lista.

Abrir TempMail →

Leer en otro idioma

🇬🇧 English🇫🇷 Français🇩🇪 Deutsch🇪🇸 Español🇸🇦 العربية🇹🇷 Türkçe🇧🇷 Português