Maskmail
Iniciar sesiónEmpezar prueba gratis
Todos los artículos

Blog

Cómo saber si tu correo filtró (y qué hacer después)

Usa Have I Been Pwned y señales relacionadas para ver exposición a brechas al momento y contén el daño con máscaras antes de que el próximo volcado arrastre tu bandeja.

Flat vector illustration of a sealed envelope under a magnifying glass with a small purple shield badge and muted warning dots on a pastel gradient

Las filtraciones de datos ya forman parte del paisaje de internet. Mucha gente se entera de que su correo aparece en una base robada cuando de pronto sube el spam o empiezan a llegar intentos de restablecer cuentas que ni recuerda haber abierto. Comprobarlo en índices públicos de filtraciones es rápido y merece la pena.

Esta guía explica cómo usar Have I Been Pwned con criterio, por qué conviene contrastar con una segunda fuente, cómo leer los resultados sin entrar en pánico y cómo el enmascaramiento de correo evita que la próxima filtración arrastre toda tu identidad digital.

Paso 1: empieza por Have I Been Pwned

Have I Been Pwned (HIBP), creado por Troy Hunt, es la referencia más conocida para consultar filtraciones. Escribes una dirección de correo y el sitio te dice si aparece en alguna de las brechas que tiene indexadas.

Su base de datos es enorme y cambia continuamente. Para cifras actualizadas y detalles sobre el tratamiento de los datos, consulta las páginas About y FAQs del propio proyecto.

Flujo práctico:

  1. Abre haveibeenpwned.com.
  2. Pega la dirección que quieres comprobar.
  3. Lanza la búsqueda desde la página principal.

Si hay coincidencias, verás los incidentes: qué servicio perdió los datos, cuándo ocurrió aproximadamente y qué tipo de información quedó expuesta (solo correo, contraseñas, teléfonos, etc.). Si no aparece nada, HIBP también te lo dirá claramente.

Activa los avisos

La opción Notify me te avisa si esa dirección aparece en una filtración futura. Es mucho más fiable que acordarte de repetir la búsqueda cada cierto tiempo.

Revisa las contraseñas que todavía uses

Pwned Passwords sirve para comprobar si una contraseña aparece en listas filtradas sin enviarla de forma ingenua junto con tu identidad. HIBP explica su sistema de hashing con k anonimato; vale la pena leerlo una vez para entender por qué es una comprobación razonable.

Si una contraseña que sigues usando aparece marcada, cámbiala en todos los sitios donde la hayas repetido.

Paso 2: contrasta con otra fuente

Ningún agregador ve todas las filtraciones. Cada proyecto tiene acceso a colecciones distintas.

El comprobador de fugas de correo gratuito de Maskmail consulta la API pública de XposedOrNot. Pasa tu dirección por HIBP y después por esa herramienta. Si los resultados no coinciden, tómalo como una señal para mirar más de cerca, no como una excusa para ignorar el aviso.

Paso 3: lee los resultados con calma

Cada coincidencia responde a tres preguntas:

¿Quién perdió los datos? Si la cuenta sigue activa, cambia primero la contraseña de ese servicio. Usa una clave nueva, fuerte y única.

¿Cuándo ocurrió la filtración? Si ya cambiaste las credenciales después de que se hiciera pública, parte del riesgo quedó atrás. Si nunca lo hiciste, actúa como si esas credenciales siguieran comprometidas.

¿Qué se filtró exactamente? Que se filtre solo el correo ya es un problema. Si también salieron contraseñas, teléfonos o direcciones físicas, el impacto crece. Si reutilizaste una contraseña filtrada, considera comprometidos todos los sitios donde la usabas hasta que los corrijas.

Paso 4: limita el daño

Si tu correo aparece en una filtración:

  1. Cambia la contraseña del servicio afectado con una clave única y fuerte.
  2. Activa la verificación en dos pasos siempre que esté disponible, para que la contraseña no baste por sí sola.
  3. Busca reutilización. Una misma contraseña en cinco servicios convierte una sola filtración en cinco posibles accesos.

El problema de fondo: un correo para todo

Muchas guías se quedan en “cambia la contraseña”. Eso ayuda, pero no resuelve el problema estructural: sigues usando el mismo correo personal en tiendas, boletines, foros, apps de parking y cuentas de prueba. La próxima filtración volverá a apuntar al mismo identificador.

Tu correo principal no nació para ser una credencial pública en todo internet. Protege restablecimientos de contraseña, avisos bancarios y conversaciones privadas. Una vez que acaba en bases de intermediarios de datos y agregadores, no hay un botón realista para sacarlo de circulación.

Por eso el enmascaramiento de correo importa sobre todo en los registros nuevos, no solo cuando reaccionas a una filtración que ya salió en las noticias.

Cómo el enmascaramiento reduce la cascada

Con máscaras, cada proveedor recibe un alias de reenvío distinto que entrega los mensajes en el buzón que ya usas. No necesita conocer tu dirección principal. Si quieres ver la parte técnica, lee cómo funciona el enmascaramiento de correo.

Cuando se filtra un proveedor al que diste una máscara:

El daño queda acotado. Quizá se filtre ese alias concreto, pero no la misma dirección que usas para el banco, la nube o tus cuentas importantes si allí diste otras máscaras.

Puedes cortar esa relación sin tocar las demás. Desactivas el alias y esa vía deja de funcionar. El resto de máscaras y tu buzón principal siguen igual.

La atribución es evidente. Un alias, una relación. Si llega spam a una máscara concreta, sabes de dónde salió.

Con Maskmail generas un alias nuevo cada vez que un formulario pide correo. La entrega sigue llegando casi al instante a Gmail, Proton, iCloud o el proveedor que uses. La extensión para Chrome, Edge y Brave evita cambiar de pestaña para crear la máscara.

Si tienes dominio propio, puedes conectarlo a Maskmail y crear direcciones al vuelo. El catch-all acepta cualquier dirección bajo tu dominio sin tener que dar de alta cada alias manualmente.

Un hábito simple que evita problemas

Hoy: pasa tu dirección real por HIBP y por el comprobador de Maskmail. Corrige contraseñas débiles, elimina la reutilización y activa 2FA donde falte.

A partir de ahora: trata tu correo principal como un dato sensible, no como un nombre de usuario público. Cada servicio nuevo recibe una máscara. Si dentro de un año se filtra una tienda, apagas un alias y sigues. Tu buzón central, tus rutas de recuperación y tus cuentas importantes se quedan fuera de esa base.

La filtración antigua ya ocurrió. Lo que todavía puedes decidir es que la próxima no vuelva a exponer tu dirección real.

Deja de repartir tu correo real.

Crea tu primera máscara en minutos y mantén tu bandeja limpia, privada y bajo tu control.

Crea tu primera máscara
  • 14 días de prueba gratis
  • Cancela cuando quieras
  • Listo en menos de 2 minutos