¿Sabes cuántas veces se ha filtrado tu dirección de correo electrónico?
Según Have I Been Pwned, más de 17.500 millones de registros de cuentas están en bases de datos de filtraciones a principios de 2026. Eso significa que la mayoría de los usuarios de Internet han tenido su información expuesta de alguna forma.
Este artículo utiliza técnicas de OSINT (Open Source Intelligence) para ayudarte a descubrir cuánta de tu información personal está disponible públicamente en Internet. Al auditarte con los mismos métodos que usan los atacantes, puedes encontrar y corregir vulnerabilidades antes de que sean explotadas. Ejecutar estos pasos suele revelar filtraciones que la gente había olvidado por completo — cuentas de foros antiguos con nombre real y email expuestos durante años.
Qué es OSINT (explicado en 30 segundos)
OSINT (Open Source Intelligence) es la práctica de recopilar y analizar información públicamente disponible. Se originó en agencias de inteligencia, pero ahora se usa ampliamente en auditorías de ciberseguridad, periodismo y análisis de amenazas corporativas.
Ejemplos cotidianos:
- Buscar tu propio nombre en Google → eso es OSINT
- Verificar si tu email apareció en una filtración de datos → eso es OSINT
- Revisar qué revelan tus perfiles de redes sociales → eso es OSINT
No se trata de hackear. Se trata de recopilar sistemáticamente información que ya está disponible.
Google Dark Web Report ya no existe — ¿Y ahora qué?
Google discontinuó su Dark Web Report el 16 de febrero de 2026. Era una herramienta gratuita que permitía a los usuarios de Gmail verificar si su email aparecía en filtraciones conocidas. Ya no está disponible.
Estas son las alternativas:
| Servicio | Precio | Característica clave |
|---|---|---|
| Have I Been Pwned | Gratis | La base de datos de filtraciones más grande. Solo ingresa tu email |
| Mozilla Monitor | Gratis (plan de pago para asistencia de eliminación) | Notificaciones de filtraciones por email |
| NordPass Data Breach Scanner | Incluido con Premium | Monitoreo 24/7 de emails, contraseñas y tarjetas de crédito |
| Apple Passwords | Gratis (dispositivos Apple) | Detección de filtraciones en iCloud Keychain |
Usaremos estas herramientas en los pasos que siguen.
Step 1: Verifica si tu email ha sido filtrado
La verificación más fundamental. Descubre si tus direcciones de correo aparecen en filtraciones de datos conocidas.
Have I Been Pwned (gratis)
- Ve a haveibeenpwned.com
- Ingresa tu dirección de correo y haz clic en "pwned?"
- Revisa los resultados
Si ves "Oh no — pwned!" sobre un fondo rojo, tu email fue encontrado en filtraciones pasadas. El sitio también muestra qué servicios filtraron tus datos (LinkedIn, Adobe, Dropbox, etc.). Si quieres entender qué pasa cuando tus contraseñas quedan expuestas, consulta cómo funciona el crackeo de contraseñas.
# Verificar vía API (para desarrolladores)
# Documentación: https://haveibeenpwned.com/API/v3
curl -s "https://haveibeenpwned.com/api/v3/breachedaccount/your@email.com" \
-H "hibp-api-key: YOUR_API_KEY" | jq '.[].Name'
Verifica todas tus direcciones
Revisa cada email que hayas usado — laboral, personal, cuentas antiguas. Las direcciones más antiguas tienen mayor probabilidad de haber sido filtradas.
Si se encuentran filtraciones, cambia tus contraseñas inmediatamente. Para monitoreo continuo, el Data Breach Scanner de NordPass proporciona alertas en tiempo real para nuevas filtraciones. También monitorea números de tarjetas de crédito — una función que pocos escáneres de filtraciones ofrecen.
Step 2: Busca tu propio nombre en Internet
A continuación, búscate en Google. Observa qué encontraría un atacante al investigar tu nombre.
Búsquedas básicas
"Juan Pérez" site:linkedin.com
"Juan Pérez" site:facebook.com
"Juan Pérez" filetype:pdf
Las comillas fuerzan una coincidencia exacta. site: limita los resultados a un dominio específico. filetype:pdf busca dentro de documentos PDF.
Google Dorking (para autoevaluación)
Google Dorking usa operadores de búsqueda avanzados para descubrir información. Es perfectamente legal cuando verificas tus propios datos.
"your@email.com" -site:tusitio.com
"tu número de teléfono"
"tu dirección" filetype:pdf
Hacer dorking con tu propio email puede revelar sorpresas — listas de asistentes a eventos, posts antiguos en foros, o PDFs de presentaciones de conferencias que llevan años indexados en Google.
Configura Google Alerts para monitoreo continuo
- Ve a Google Alerts
- Agrega tu nombre y dirección de correo
- Recibe notificaciones cuando aparezcan nuevas menciones
La configuración toma un minuto. Es gratis. No hay razón para no hacerlo.
Step 3: Encuentra la reutilización de nombres de usuario entre servicios
Si usas el mismo nombre de usuario en múltiples servicios, una filtración en una plataforma puede llevar a los atacantes a tus cuentas en otras.
Sherlock (código abierto)
Sherlock busca en más de 400 sitios para encontrar dónde está registrado un nombre de usuario específico.
# Instalar
pip install sherlock-project
# Buscar
sherlock your_username
Revisa los resultados. Si encuentras cuentas en servicios que ya no usas, considera eliminarlas. Las cuentas abandonadas son un blanco fácil para los atacantes.
Namechk (basado en navegador)
Si prefieres una interfaz gráfica, ve a namechk.com y escribe tu nombre de usuario. Verifica más de 100 sitios al instante.
Step 4: Verifica si tus fotos filtran datos de ubicación
Las fotos tomadas con smartphones contienen metadatos EXIF (Exchangeable Image File Format) — coordenadas GPS, marcas de tiempo, modelo de cámara y más.
Verificar con ExifTool
ExifTool es la herramienta estándar de línea de comandos para leer metadatos de imágenes.
# Instalar (Ubuntu/Debian)
sudo apt install libimage-exiftool-perl
# macOS
brew install exiftool
# Ver metadatos
exiftool photo.jpg
Ejemplo de salida:
GPS Latitude : 35 deg 41' 22.20" N
GPS Longitude : 139 deg 41' 30.12" E
Create Date : 2026:01:15 14:30:22
Camera Model : iPhone 16 Pro
Si hay coordenadas GPS presentes, subir esa foto a ciertas plataformas podría revelar la ubicación de tu hogar o lugar de trabajo.
Cómo solucionarlo
- Plataformas sociales: X (Twitter), Instagram y Facebook eliminan los datos EXIF al subir. Sin embargo, compartir por álbumes de LINE o adjuntos de email puede conservarlos
- Al momento de captura: Desactiva "Incluir ubicación en fotos" en la configuración de tu teléfono
- Después del hecho: Ejecuta
exiftool -all= photo.jpgpara eliminar todos los metadatos
Step 5: Observa qué revela tu dirección IP
Verifica cómo se ve tu dirección IP doméstica o el dominio de tu sitio web desde el exterior.
Shodan (motor de búsqueda IoT)
Shodan indexa dispositivos conectados a Internet. Busca tu propia IP para ver qué puertos son visibles externamente.
- Ve a shodan.io (se requiere cuenta gratuita)
- Busca tu dirección IP
Si ves puertos abiertos que no deberían estar expuestos, revisa la configuración de tu firewall inmediatamente.
Verifica la información de tu dominio
# Consulta WHOIS
whois tudominio.com
# Registros DNS
dig tudominio.com ANY
Si tu registro WHOIS expone información personal (dirección, número de teléfono), activa el servicio de protección de privacidad de tu registrador de dominios.
Tres cosas que hacer inmediatamente si encuentras una filtración
Si tu autoauditoría reveló filtraciones o información expuesta, prioriza estas tres acciones.
1. Cambia todas tus contraseñas
Cambia las contraseñas en cada servicio comprometido — y en cada servicio donde reutilizaste la misma contraseña.
Hacer esto manualmente en docenas de servicios no es realista. Un gestor de contraseñas genera y almacena contraseñas únicas y fuertes para cada cuenta — y los mejores incluyen monitoreo de filtraciones para alertarte en cuanto aparece una nueva.
2. Activa la autenticación multifactor (MFA)
Incluso si tu contraseña fue filtrada, MFA previene el inicio de sesión no autorizado. Prioriza estas cuentas:
- Cuentas de correo electrónico (el punto de reinicio de todo lo demás)
- Servicios bancarios y financieros
- Redes sociales (prevenir suplantación de identidad)
- Almacenamiento en la nube
3. Reduce tu huella digital
- Elimina cuentas que no uses
- Quita información personal innecesaria de perfiles de redes sociales
- Verifica y elimina datos EXIF de tus fotos
- Solicita la eliminación de datos a los intermediarios de datos (legalmente exigible bajo RGPD)
- Usa una VPN para prevenir el rastreo por dirección IP
Gestor de contraseñas de los creadores de NordVPN
- Gestiona contraseñas, passkeys y tarjetas de crédito en un solo lugar
- Arquitectura de conocimiento cero
- Escáner de filtraciones de datos integrado
OSINT y la ley — dónde termina lo legal y empieza lo ilegal
Las técnicas OSINT implican recopilar información públicamente disponible, lo cual es generalmente legal. Sin embargo, qué recopilas, de quién son los datos y cómo los usas determina el riesgo legal.
Legal
| Acción | Base legal |
|---|---|
| Verificar tu propio email en busca de filtraciones | Tus propios datos, servicio público |
| Buscar tu propio nombre en Google | Ver información pública |
| Google Dorking en tu propio sitio web | Tu propio dominio |
| Buscar tu IP en Shodan | Tu propia infraestructura |
Potencialmente ilegal
| Acción | Riesgo |
|---|---|
| Acceder a la cuenta de otra persona | Ley de Fraude Informático (EE.UU.), Ley de Acceso No Autorizado (Japón) |
| Descargar contraseñas de otros de bases de datos de filtraciones | Adquisición no autorizada de credenciales |
| Publicar información personal de alguien sin su consentimiento | Violación de privacidad, potencial difamación |
| Escanear los sistemas de una empresa sin autorización | Leyes de acceso no autorizado |
Marcos legales clave
Japón: La Ley de Acceso No Autorizado a Computadoras prohíbe acceder a sistemas protegidos por controles de acceso sin permiso. Ver información públicamente disponible no está cubierto, pero acceder a sistemas protegidos por login sin autorización es un delito penal (hasta 3 años de prisión o multa de hasta 1 millón de yenes).
UE (RGPD): Bajo el Reglamento General de Protección de Datos, los titulares de datos pueden solicitar la divulgación, corrección, eliminación y portabilidad de sus datos personales. Solicitar la eliminación de datos a intermediarios es completamente legal, con un plazo de respuesta de un mes.
EE.UU. (CCPA/CPRA): Bajo la Ley de Privacidad del Consumidor de California, modificada por la CPRA, los residentes de California pueden solicitar la divulgación, eliminación y exclusión de la venta de su información personal recopilada por empresas. Desde enero de 2026, nuevas regulaciones exigen auditorías de ciberseguridad y evaluaciones de riesgo para la toma de decisiones automatizada.
Preguntas Frecuentes
¿Es legal el OSINT?
Sí, cuando se aplica a tus propios datos. OSINT implica recopilar información públicamente disponible, lo cual es legal en la mayoría de jurisdicciones. La línea se cruza cuando accedes a sistemas protegidos por login sin autorización, recopilas datos personales de otros sin consentimiento, o usas la información para acosar a alguien.
¿Con qué frecuencia debo hacer una autoauditoría OSINT?
Una auditoría completa cada 6 meses es una buena base. Para verificar filtraciones específicamente, se recomiendan escaneos mensuales ya que se descubren nuevas filtraciones diariamente. Herramientas como el servicio de notificación de Have I Been Pwned pueden automatizar esto.
¿Cuál es la diferencia entre OSINT y hacking?
OSINT solo utiliza información públicamente disponible — motores de búsqueda, bases de datos públicas, perfiles de redes sociales. El hacking implica eludir controles de acceso para llegar a sistemas protegidos. Ejecutar sherlock tu_usuario es OSINT. Intentar iniciar sesión en la cuenta de otra persona es hacking.
¿Alguien puede investigarme con OSINT sin que lo sepa?
Sí. Todo lo cubierto en este artículo puede ser realizado por cualquier persona — exactamente por eso deberías auditarte primero. Si la información está disponible públicamente, cualquiera puede encontrarla. El objetivo es minimizar lo que está ahí fuera antes de que alguien más lo descubra.
¿Las plataformas de redes sociales eliminan los datos EXIF de las fotos subidas?
Las principales plataformas como X (Twitter), Instagram y Facebook eliminan automáticamente los metadatos EXIF al subir. Sin embargo, compartir fotos por email, apps de mensajería como LINE, o enlaces de almacenamiento en la nube puede conservar los metadatos originales incluyendo coordenadas GPS.
¿Es legal usar Shodan?
Sí. Shodan indexa información públicamente accesible de dispositivos conectados a Internet. Buscar tu propia dirección IP no es diferente de verificar qué es visible desde el exterior. Sin embargo, usar los resultados de Shodan para intentar acceso no autorizado a los sistemas de otra persona es ilegal.
¿Qué hago si encuentro mi información personal en un sitio de intermediarios de datos?
Bajo el RGPD (UE) y CCPA/CPRA (California), tienes el derecho legal de solicitar la eliminación de tus datos personales. Envía una solicitud de eliminación directamente al intermediario de datos — están obligados a responder en un mes (RGPD) o 45 días (CCPA). Mozilla Monitor Plus puede automatizar las solicitudes de eliminación en múltiples intermediarios.
Conclusión
OSINT es una forma poderosa de verte a ti mismo a través de los ojos de un atacante. No necesitas habilidades especiales — los cinco pasos de este artículo te permiten auditar tu huella digital usando las mismas técnicas que usan los profesionales.
Con el Dark Web Report de Google ya discontinuado, proteger tu información está en tus propias manos. Comienza verificando tu email en Have I Been Pwned. Si se encuentran filtraciones, cambiar tus contraseñas y activar MFA debería ser tu máxima prioridad.
Artículos relacionados: