"Nos tomamos muy en serio tu seguridad"
Has recibido el email. Una empresa que usas ha sufrido un "incidente de seguridad". Se "toman muy en serio tu privacidad". Están "trabajando con expertos líderes en ciberseguridad". Recomiendan que "cambies tu contraseña por precaución".
¿Qué significa esto realmente? ¿Qué pasó con tus datos? ¿Y qué están haciendo esos hackers con ellos ahora mismo?
Cómo ocurre una brecha realmente
Los escenarios más comunes, por orden de frecuencia:
Inyección SQL — Un atacante encuentra un formulario en el sitio (búsqueda, login, contacto) donde puede inyectar comandos de base de datos. En lugar de un nombre de usuario, escribe ' OR 1=1 --. La base de datos devuelve todo. Esta vulnerabilidad tiene décadas y sigue siendo la más común.
Credential stuffing — Los atacantes toman contraseñas de otras brechas y las prueban en el sitio objetivo. Si reutilizaste una contraseña de un sitio que fue hackeado en 2019, el atacante tiene tus credenciales listas para probar.
Phishing a un empleado — Alguien en la empresa hace clic en un email falso convincente, entrega sus credenciales y el atacante ahora tiene acceso interno. Muchas grandes brechas comenzaron con el clic de phishing de un solo empleado.
Software sin parchear — Un servidor con una versión antigua de un framework o biblioteca con una vulnerabilidad conocida. El atacante la explota, obtiene acceso, extrae datos.
Amenaza interna — Menos frecuente pero real. Un empleado descontento, un contratista con demasiado acceso.
Qué se llevan
No todas las brechas son iguales. Lo que extrae un atacante depende de lo que la empresa almacenaba:
Nivel 1 — Lo peor (frecuentemente vendido por 5–50 € por registro)
- Nombre completo + email + teléfono + fecha de nacimiento + dirección postal
- Números de tarjeta de crédito parciales o completos
- Número de seguridad social / DNI
- Contraseñas en texto plano (sí, todavía ocurre)
Nivel 2 — Malo
- Email + contraseña hasheada (como suele ser)
- Nombre de usuario + metadatos de cuenta
- Historial de compras
Nivel 3 — Molesto pero contenido
- Solo dirección de email
- Direcciones IP
La notificación de brecha de la empresa generalmente describe qué fue expuesto. Léela con atención.
Qué pasa con los datos después
Hora 0 — La exfiltración
El atacante copia los datos. Puede haber estado dentro del sistema durante días o meses antes de que alguien lo notara — el "tiempo de permanencia" medio antes del descubrimiento es de 197 días.
Días 1–7 — Uso interno o venta
El atacante, o bien:
- Usa los datos él mismo (si es su empresa objetivo o quiere cuentas específicas)
- Los vende en mercados de la darknet inmediatamente por máximo valor de "frescura"
Semanas 1–4 — La brecha se hace pública
La empresa la descubre (mediante herramientas de seguridad, un aviso de investigador o una demanda de rescate) o aparece en un foro de hackers. La empresa notifica a los usuarios — a menudo semanas después.
Meses 1–12 — Campañas de credential stuffing
Los atacantes prueban tu combinación email+contraseña en los principales servicios: Gmail, Netflix, PayPal, bancos. Herramientas automatizadas prueban miles de combinaciones por minuto. Si reutilizaste esa contraseña en algún lugar, será encontrada.
Año 1+ — La larga cola
Los datos de una brecha no caducan. Una brecha de 2018 puede usarse para campañas de phishing en 2026. Los datos de múltiples brechas se combinan ("enriquecimiento de datos") para construir perfiles más completos para ataques dirigidos.
Cómo se almacenan (deberían almacenarse) las contraseñas
Cuando una empresa almacena tu contraseña, nunca debería guardar la contraseña real. En su lugar almacena un hash — una transformación matemática irreversible.
- Defines la contraseña:
contraseña123 - El sitio almacena:
6f3b56e15f5f9a5b...(hash SHA-256) - Al iniciar sesión: el sitio hashea tu entrada y compara los hashes
El problema: no todos los hashes son iguales.
MD5 — Rápido de calcular, rápido de romper. Una sola GPU puede probar 10.000 millones de hashes MD5 por segundo. Una base de datos MD5 hackeada de 10 millones de contraseñas puede romperse en minutos.
SHA-256 (sin sal) — Mejor, pero aún rápido. Las rainbow tables (bases de datos de hashes precalculados) pueden romper contraseñas comunes al instante.
bcrypt / Argon2 — Diseñados para ser lentos. Una GPU que rompe 10.000 millones de MD5 por segundo solo puede romper ~100 hashes bcrypt por segundo. Una brecha de contraseñas hasheadas con bcrypt da meses, no minutos.
Texto plano — Sí, algunas empresas todavía almacenan contraseñas en texto plano. Si una notificación de brecha dice "las contraseñas fueron expuestas" y no "las contraseñas hasheadas fueron expuestas", eso es una señal de alarma.
Qué hacer cuando recibes el email
Inmediato (primeras 24 horas):
- Cambia tu contraseña en ese sitio — aunque la brecha solo afectara contraseñas hasheadas
- Si usabas esa misma contraseña en otro lugar, cámbiala también allí — en todos, ese mismo día
- Comprueba si el sitio almacenaba datos sensibles (tarjeta, DNI) — si es así, monitorea tu crédito
En la semana:
- Activa 2FA en el sitio afectado si no lo tenías
- Comprueba tu email contra la base de datos HaveIBeenPwned para ver la exposición completa
- Genera una nueva contraseña única para cada sitio que encuentres comprometido (Generador de contraseñas)
A largo plazo:
- Usa una contraseña diferente para cada sitio — siempre. Un gestor de contraseñas hace esto manejable.
- Activa 2FA en el email — es la clave de recuperación de todo lo demás
- Considera un bloqueo de crédito si tu DNI/número de seguridad social fue expuesto
Lo único que realmente importa
La reutilización de contraseñas es la raíz de la mayoría de las tomas de control de cuentas tras una brecha. Si tu contraseña de LinkedIn de 2012 es igual a tu contraseña de Gmail hoy, una brecha de hace 12 años sigue siendo una amenaza actual.
Comprueba si tu email ha estado en una brecha. Si es así, trata cada contraseña que usabas en esa época como comprometida — y genera nuevas.