Have I Been Pwned: comprueba si tu email o contraseña se ha filtrado
Have I Been Pwned (HIBP) es la web del investigador Troy Hunt que te dice, en segundos, si tu correo o tus contraseñas han aparecido en filtraciones de datos. Es la herramienta más rápida para saber si estás expuesto.
Qué hace exactamente
HIBP recopila brechas de seguridad (cuando hackean una empresa y se filtran sus usuarios) y las indexa. Tú introduces tu email y te dice en qué filtraciones aparece y qué datos tuyos se expusieron: contraseñas, teléfonos, direcciones, etc.
Lee también: Los mejores antivirus gratuitos para Windows en 2026
Tiene más de 14.000 millones de cuentas indexadas. Es gratis y no necesitas registrarte para la búsqueda básica.
Cómo comprobar tu email paso a paso
- Entra en haveibeenpwned.com.
- Escribe tu dirección de correo en la caja de búsqueda.
- Pulsa «pwned?».
- Si sale fondo verde («Good news»), tu email no aparece en ninguna brecha conocida.
- Si sale fondo rojo («Oh no — pwned!»), abajo verás la lista de filtraciones.
Repite el proceso con todas tus cuentas de correo, incluidas las antiguas que ya casi no usas: suelen ser las más vulnerables.
Qué significan las brechas que aparecen
Cada brecha muestra la fecha, la empresa afectada y los «Compromised data» (datos comprometidos). Presta atención a esto:
- Passwords: lo más grave. Tu contraseña de ese servicio está circulando.
- Email addresses: solo tu correo. Riesgo de spam y phishing dirigido.
- Phone numbers / Physical addresses: datos para suplantación o estafas.
Si una brecha incluye passwords, asume que esa contraseña está quemada y cámbiala en todos los sitios donde la reutilizaras.
Pwned Passwords: comprueba una contraseña sin revelarla
En la pestaña «Pwned Passwords» puedes meter una contraseña concreta y ver cuántas veces ha aparecido en filtraciones. Si una clave sale 50.000 veces, está en todos los diccionarios de ataque.
Es seguro: HIBP usa k-anonymity, solo envía los 5 primeros caracteres del hash SHA-1 de tu contraseña, nunca la clave completa. Aun así, si eres paranoico, comprueba variantes, no tu clave real.
Desde línea de comandos también se puede consultar la API:
curl https://api.pwnedpasswords.com/range/21BD1Devuelve los sufijos de hash que empiezan por ese prefijo; buscas el tuyo en la lista.
Activar notificaciones (Notify me)
Lo más útil a largo plazo:
- Ve a «Notify me» en el menú.
- Introduce tu email y confirma desde el enlace que te llega.
- A partir de ahí, si tu correo aparece en una nueva filtración, HIBP te avisa por email automáticamente.
Si gestionas un dominio propio, el «Domain search» te deja monitorizar todos los correos de tu organización de golpe.
Qué hacer si sales en una filtración
- Cambia la contraseña del servicio afectado de inmediato.
- No reutilices claves: usa un gestor de contraseñas (Bitwarden, KeePass, 1Password) y una clave única por sitio.
- Activa el 2FA (doble factor) en todas las cuentas importantes: correo, banco, redes.
- Desconfía del phishing: tras una brecha es habitual recibir emails dirigidos que usan tus datos reales para parecer legítimos.
Si quieres montar tu propio kit de investigación, tienes más recursos en mi guía de herramientas OSINT.
Truco de experto
Crea alias de correo (con tu dominio o con servicios tipo correo desechable) distintos por servicio. Si un alias aparece en HIBP, sabes exactamente qué empresa filtró tus datos, aunque ellos no lo reconozcan.
Preguntas frecuentes
¿Es seguro meter mi email en Have I Been Pwned?
Sí. HIBP es un proyecto reputado de Troy Hunt, no guarda tus búsquedas para fines comerciales y la comprobación de contraseñas usa k-anonymity, sin enviar nunca la clave completa.
¿Significa que me han hackeado si aparezco?
No necesariamente tu cuenta personal, sino que un servicio que usabas sufrió una brecha y tus datos se filtraron. El riesgo real depende de si se expuso tu contraseña y de si la reutilizabas.
¿Puedo comprobar el email de otra persona?
Técnicamente sí, pero hazlo solo con consentimiento o en contextos legítimos. Comprobar correos ajenos de forma masiva o sin permiso puede vulnerar la privacidad y la normativa de protección de datos.
