Cómo se filtran realmente las contraseñas: más allá del mito del hackeo
Last updated: abril 9, 2026
Descubre cómo las contraseñas se comprometen en realidad: brechas de bases de datos, phishing, malware y reutilización. No es lo que crees.
Imagina que tu contraseña de correo electrónico aparece en un foro de internet oscuro. Tu primer pensamiento probablemente sea: "Un hacker la cracked". Pero la realidad es casi siempre diferente. En la mayoría de los casos, nadie tuvo que descifrar nada. Tu contraseña fue extraída de una base de datos comprometida, robada por malware en tu dispositivo, o capturada en una página falsa que parecía legítima. Entender cómo suceden estas cosas realmente es el primer paso para protegerse.
La brecha de base de datos: el robo masivo
Cuando lees que "fueron hackeados 500 millones de cuentas", lo que generalmente sucedió es que alguien obtuvo acceso no autorizado a los servidores de una empresa y descargó la base de datos completa. Esto no requiere ninguna habilidad especial de "cracking" de contraseñas. Es como si alguien entrara en una bodega y se llevara toda la caja de seguridad.
Ahora bien, las empresas responsables no almacenan contraseñas en texto plano (legible directamente). En cambio, usan una función de hashing: un proceso matemático que transforma tu contraseña en una cadena aparentemente aleatoria de caracteres. Si tu contraseña es "gatito123", el hash podría parecer algo como "a7x9k2m4p8v1b5". El punto es que este proceso es unidireccional: en teoría, no se puede invertir. Cuando ingresas tu contraseña, el servicio la hashea y compara el resultado con lo almacenado.
Pero aquí está el problema: ese hash sigue siendo útil para un atacante. Pueden intentar hashear millones de contraseñas comunes ("123456", "password", "admin") y ver cuáles coinciden. Es como si un ladrón tuviera una lista de "combinaciones de cajas de seguridad conocidas" y simplemente probara todas ellas. Esto se llama ataque de diccionario, y funciona sorprendentemente bien contra contraseñas débiles o comunes.
Las empresas mejores ralentizan este proceso usando salt (un código aleatorio único añadido a cada contraseña antes de hashearla) y algoritmos lento intencionalmente (como bcrypt o Argon2). Pero incluso con estas protecciones, si tu contraseña es débil, un atacante determinado eventualmente la encontrará. Y francamente, no todos usan estos métodos.
Phishing: la trampa del disfraz
Otra fuente común de filtración es el phishing. Aquí es donde un atacante crea una página web que parece idéntica a la verdadera (un clon del sitio de tu banco, tu correo electrónico, tu red social). Te envían un enlace por correo o mensaje. Confundido, ingresas tus credenciales. El atacante ahora tiene tu contraseña en texto plano, antes de que jamás llegue a los servidores reales.
Esto no es sofisticado, pero es efectivo. No requiere hackear nada. Solo requiere convencer a alguien de que haga clic en el lugar equivocado. Los ataques de phishing exitosos superen a los ataques tecnológicos puros por un factor considerable.
Malware: el espía en tu máquina
Un atacante también podría instalar malware (software malicioso) en tu dispositivo. Un logger de teclado registra cada pulsación de tecla. Un capturador de pantalla toma capturas periódicamente. Un ladrón de cookies intercepta las sesiones de inicio de sesión. Si tu dispositivo está comprometido, ninguna contraseña es verdaderamente segura, incluso si es larga y única.
El reutilización de contraseñas: la falsa economía
Pero el mecanismo más simple por el cual tus credenciales se ponen en peligro no es ninguno de estos. Es que usas la misma contraseña en múltiples sitios.
Supón que tu contraseña de correo electrónico es "TigerBlue42!" y usas la misma para Netflix, tu banco, tu red social y un foro de videojuegos. Cuando ese foro de videojuegos sufre una brecha (y lo hacen todo el tiempo), los atacantes obtienen "TigerBlue42!" junto con tu nombre de usuario. Luego simplemente lo prueban en Gmail, en el sitio de tu banco, en todas partes. Esto se llama credential stuffing: usar credenciales filtradas de un lugar para acceder a otros.
Es comprensible por qué la gente reutiliza contraseñas. Es imposible recordar 50 contraseñas únicas y seguras. Pero es una debilidad fatal.
Protección práctica: administrador de contraseñas y dos factores
La solución es usar un administrador de contraseñas (una aplicación que almacena contraseñas con cifrado fuerte, detrás de una única contraseña maestra larga). Esto permite que uses contraseñas únicas y fuertes en todos lados sin tenerse que acordar de ellas. Algunos están basados en la nube, otros locales. Todos tienen tradeoffs, pero los riesgos de un administrador de contraseñas bien diseñado son mucho menores que los riesgos de reutilización.
Además, habilita autenticación de dos factores (2FA) donde sea posible. Idealmente, usa una llave de hardware (un pequeño dispositivo USB que se conecta a tu computadora para verificar que eres realmente tú). Las llaves de hardware son prácticamente inmunes al phishing porque funcionan solo en el sitio correcto, y al malware simple porque el atacante necesitaría la llave física.
Si las llaves de hardware no están disponibles, una aplicación autenticadora (que genera códigos de tiempo limitado) es el siguiente mejor paso. Los SMS menos confiables pero aún útiles que nada.
El cuadro completo
La mayoría de las filtraciones de contraseñas no son el resultado de un hacker genio haciendo "hacking" de películas. Son brechas de bases de datos, phishing exitoso, malware en dispositivos, y a menudo, contraseñas reutilizadas que hacen que un compromiso en un lugar comprometa muchos otros. Una contraseña fuerte y única, un administrador de contraseñas confiable, y autenticación de dos factores (especialmente llaves de hardware) elimina la mayoría de los riesgos. Nada es perfecto, pero estas prácticas cubren la vasta mayoría de los ataques.
La brecha de base de datos: el robo masivo
Cuando lees que "fueron hackeados 500 millones de cuentas", lo que generalmente sucedió es que alguien obtuvo acceso no autorizado a los servidores de una empresa y descargó la base de datos completa. Esto no requiere ninguna habilidad especial de "cracking" de contraseñas. Es como si alguien entrara en una bodega y se llevara toda la caja de seguridad.
Ahora bien, las empresas responsables no almacenan contraseñas en texto plano (legible directamente). En cambio, usan una función de hashing: un proceso matemático que transforma tu contraseña en una cadena aparentemente aleatoria de caracteres. Si tu contraseña es "gatito123", el hash podría parecer algo como "a7x9k2m4p8v1b5". El punto es que este proceso es unidireccional: en teoría, no se puede invertir. Cuando ingresas tu contraseña, el servicio la hashea y compara el resultado con lo almacenado.
Pero aquí está el problema: ese hash sigue siendo útil para un atacante. Pueden intentar hashear millones de contraseñas comunes ("123456", "password", "admin") y ver cuáles coinciden. Es como si un ladrón tuviera una lista de "combinaciones de cajas de seguridad conocidas" y simplemente probara todas ellas. Esto se llama ataque de diccionario, y funciona sorprendentemente bien contra contraseñas débiles o comunes.
Las empresas mejores ralentizan este proceso usando salt (un código aleatorio único añadido a cada contraseña antes de hashearla) y algoritmos lento intencionalmente (como bcrypt o Argon2). Pero incluso con estas protecciones, si tu contraseña es débil, un atacante determinado eventualmente la encontrará. Y francamente, no todos usan estos métodos.
Phishing: la trampa del disfraz
Otra fuente común de filtración es el phishing. Aquí es donde un atacante crea una página web que parece idéntica a la verdadera (un clon del sitio de tu banco, tu correo electrónico, tu red social). Te envían un enlace por correo o mensaje. Confundido, ingresas tus credenciales. El atacante ahora tiene tu contraseña en texto plano, antes de que jamás llegue a los servidores reales.
Esto no es sofisticado, pero es efectivo. No requiere hackear nada. Solo requiere convencer a alguien de que haga clic en el lugar equivocado. Los ataques de phishing exitosos superen a los ataques tecnológicos puros por un factor considerable.
Malware: el espía en tu máquina
Un atacante también podría instalar malware (software malicioso) en tu dispositivo. Un logger de teclado registra cada pulsación de tecla. Un capturador de pantalla toma capturas periódicamente. Un ladrón de cookies intercepta las sesiones de inicio de sesión. Si tu dispositivo está comprometido, ninguna contraseña es verdaderamente segura, incluso si es larga y única.
El reutilización de contraseñas: la falsa economía
Pero el mecanismo más simple por el cual tus credenciales se ponen en peligro no es ninguno de estos. Es que usas la misma contraseña en múltiples sitios.
Supón que tu contraseña de correo electrónico es "TigerBlue42!" y usas la misma para Netflix, tu banco, tu red social y un foro de videojuegos. Cuando ese foro de videojuegos sufre una brecha (y lo hacen todo el tiempo), los atacantes obtienen "TigerBlue42!" junto con tu nombre de usuario. Luego simplemente lo prueban en Gmail, en el sitio de tu banco, en todas partes. Esto se llama credential stuffing: usar credenciales filtradas de un lugar para acceder a otros.
Es comprensible por qué la gente reutiliza contraseñas. Es imposible recordar 50 contraseñas únicas y seguras. Pero es una debilidad fatal.
Protección práctica: administrador de contraseñas y dos factores
La solución es usar un administrador de contraseñas (una aplicación que almacena contraseñas con cifrado fuerte, detrás de una única contraseña maestra larga). Esto permite que uses contraseñas únicas y fuertes en todos lados sin tenerse que acordar de ellas. Algunos están basados en la nube, otros locales. Todos tienen tradeoffs, pero los riesgos de un administrador de contraseñas bien diseñado son mucho menores que los riesgos de reutilización.
Además, habilita autenticación de dos factores (2FA) donde sea posible. Idealmente, usa una llave de hardware (un pequeño dispositivo USB que se conecta a tu computadora para verificar que eres realmente tú). Las llaves de hardware son prácticamente inmunes al phishing porque funcionan solo en el sitio correcto, y al malware simple porque el atacante necesitaría la llave física.
Si las llaves de hardware no están disponibles, una aplicación autenticadora (que genera códigos de tiempo limitado) es el siguiente mejor paso. Los SMS menos confiables pero aún útiles que nada.
El cuadro completo
La mayoría de las filtraciones de contraseñas no son el resultado de un hacker genio haciendo "hacking" de películas. Son brechas de bases de datos, phishing exitoso, malware en dispositivos, y a menudo, contraseñas reutilizadas que hacen que un compromiso en un lugar comprometa muchos otros. Una contraseña fuerte y única, un administrador de contraseñas confiable, y autenticación de dos factores (especialmente llaves de hardware) elimina la mayoría de los riesgos. Nada es perfecto, pero estas prácticas cubren la vasta mayoría de los ataques.
🛡️
Recommended VPN Services
Top-rated VPNs trusted by millions
N
NordVPN
⭐ ELECCIÓN DEL EDITOR
★★★★★ 9.5/10 · 6,000+ servers · Funciona en China
$3.39/mo
View Deal →
S
Surfshark
BEST VALUE
★★★★★ 9.6/10 · Unlimited devices
$2.49/mo
View Deal →
E
ExpressVPN
PREMIUM
★★★★★ 9.4/10 · 94 countries
$6.67/mo
View Deal →
Disclosure: SaveClip may earn a commission when you sign up through our links. This helps us keep our tools free for everyone.