¿Sabes cuántas veces se ha filtrado tu dirección de correo electrónico?
Según Have I Been Pwned, más de 17.500 millones de registros de cuentas están en bases de datos de filtraciones a principios de 2026. Eso significa que la mayoría de los usuarios de Internet han tenido su información expuesta de alguna forma.
Este artículo utiliza técnicas de OSINT (Open Source Intelligence) para ayudarte a descubrir cuánta de tu información personal está disponible públicamente en Internet. Al auditarte con los mismos métodos que usan los atacantes, puedes encontrar y corregir vulnerabilidades antes de que sean explotadas.
Qué es OSINT (explicado en 30 segundos)
OSINT (Open Source Intelligence) es la práctica de recopilar y analizar información públicamente disponible. Se originó en agencias de inteligencia, pero ahora se usa ampliamente en auditorías de ciberseguridad, periodismo y análisis de amenazas corporativas.
Ejemplos cotidianos:
- Buscar tu propio nombre en Google → eso es OSINT
- Verificar si tu email apareció en una filtración de datos → eso es OSINT
- Revisar qué revelan tus perfiles de redes sociales → eso es OSINT
No se trata de hackear. Se trata de recopilar sistemáticamente información que ya está disponible.
Google Dark Web Report ya no existe — ¿Y ahora qué?
Google discontinuó su Dark Web Report el 16 de febrero de 2026. Era una herramienta gratuita que permitía a los usuarios de Gmail verificar si su email aparecía en filtraciones conocidas. Ya no está disponible.
Estas son las alternativas:
| Servicio | Precio | Característica clave |
|---|---|---|
| Have I Been Pwned | Gratis | La base de datos de filtraciones más grande. Solo ingresa tu email |
| Mozilla Monitor | Gratis (plan de pago para asistencia de eliminación) | Notificaciones de filtraciones por email |
| NordPass Data Breach Scanner | Incluido con Premium | Monitoreo 24/7 de emails, contraseñas y tarjetas de crédito |
| Apple Passwords | Gratis (dispositivos Apple) | Detección de filtraciones en iCloud Keychain |
Usaremos estas herramientas en los pasos que siguen.
Step 1: Verifica si tu email ha sido filtrado
La verificación más fundamental. Descubre si tus direcciones de correo aparecen en filtraciones de datos conocidas.
Have I Been Pwned (gratis)
- Ve a https://haveibeenpwned.com/
- Ingresa tu dirección de correo y haz clic en "pwned?"
- Revisa los resultados
Si ves "Oh no — pwned!" sobre un fondo rojo, tu email fue encontrado en filtraciones pasadas. El sitio también muestra qué servicios filtraron tus datos (LinkedIn, Adobe, Dropbox, etc.).
# Verificar vía API (para desarrolladores)
curl -s "https://haveibeenpwned.com/api/v3/breachedaccount/your@email.com" \
-H "hibp-api-key: YOUR_API_KEY" | jq '.[].Name'
Verifica todas tus direcciones
Revisa cada email que hayas usado — laboral, personal, cuentas antiguas. Las direcciones más antiguas tienen mayor probabilidad de haber sido filtradas.
Si se encuentran filtraciones, cambia tus contraseñas inmediatamente. Para monitoreo continuo, el Data Breach Scanner de NordPass proporciona alertas en tiempo real para nuevas filtraciones. También monitorea números de tarjetas de crédito — una función que pocos escáneres de filtraciones ofrecen.
Step 2: Busca tu propio nombre en Internet
A continuación, búscate en Google. Observa qué encontraría un atacante al investigar tu nombre.
Búsquedas básicas
"Juan Pérez" site:linkedin.com
"Juan Pérez" site:facebook.com
"Juan Pérez" filetype:pdf
Las comillas fuerzan una coincidencia exacta. site: limita los resultados a un dominio específico. filetype:pdf busca dentro de documentos PDF.
Google Dorking (para autoevaluación)
Google Dorking usa operadores de búsqueda avanzados para descubrir información. Es perfectamente legal cuando verificas tus propios datos.
"your@email.com" -site:tusitio.com
"tu número de teléfono"
"tu dirección" filetype:pdf
Podrías encontrar tu información en lugares inesperados — listas de asistentes a eventos, publicaciones antiguas en foros, metadatos de PDF.
Configura Google Alerts para monitoreo continuo
- Ve a https://www.google.com/alerts
- Agrega tu nombre y dirección de correo
- Recibe notificaciones cuando aparezcan nuevas menciones
La configuración toma un minuto. Es gratis. No hay razón para no hacerlo.
Step 3: Encuentra la reutilización de nombres de usuario entre servicios
Si usas el mismo nombre de usuario en múltiples servicios, una filtración en una plataforma puede llevar a los atacantes a tus cuentas en otras.
Sherlock (código abierto)
Sherlock busca en más de 400 sitios para encontrar dónde está registrado un nombre de usuario específico.
# Instalar
pip install sherlock-project
# Buscar
sherlock your_username
Revisa los resultados. Si encuentras cuentas en servicios que ya no usas, considera eliminarlas.
Namechk (basado en navegador)
Si prefieres una interfaz gráfica, ve a https://namechk.com/ y escribe tu nombre de usuario. Verifica más de 100 sitios al instante.
Step 4: Verifica si tus fotos filtran datos de ubicación
Las fotos tomadas con smartphones contienen metadatos EXIF (Exchangeable Image File Format) — coordenadas GPS, marcas de tiempo, modelo de cámara y más.
Verificar con ExifTool
# Instalar (Ubuntu/Debian)
sudo apt install libimage-exiftool-perl
# macOS
brew install exiftool
# Ver metadatos
exiftool photo.jpg
Ejemplo de salida:
GPS Latitude : 35 deg 41' 22.20" N
GPS Longitude : 139 deg 41' 30.12" E
Create Date : 2026:01:15 14:30:22
Camera Model : iPhone 16 Pro
Si hay coordenadas GPS presentes, subir esa foto a ciertas plataformas podría revelar la ubicación de tu hogar o lugar de trabajo.
Cómo solucionarlo
- Plataformas sociales: X (Twitter), Instagram y Facebook eliminan los datos EXIF al subir. Sin embargo, compartir por álbumes de LINE o adjuntos de email puede conservarlos
- Al momento de captura: Desactiva "Incluir ubicación en fotos" en la configuración de tu teléfono
- Después del hecho: Ejecuta
exiftool -all= photo.jpgpara eliminar todos los metadatos
Step 5: Observa qué revela tu dirección IP
Verifica cómo se ve tu dirección IP doméstica o el dominio de tu sitio web desde el exterior.
Shodan (motor de búsqueda IoT)
Shodan indexa dispositivos conectados a Internet. Busca tu propia IP para ver qué puertos son visibles externamente.
- Ve a https://www.shodan.io/ (se requiere cuenta gratuita)
- Busca tu dirección IP
Si ves puertos abiertos que no deberían estar expuestos, revisa la configuración de tu firewall inmediatamente.
Verifica la información de tu dominio
# Consulta WHOIS
whois tudominio.com
# Registros DNS
dig tudominio.com ANY
Si tu registro WHOIS expone información personal (dirección, número de teléfono), activa el servicio de protección de privacidad de tu registrador de dominios.
Tres cosas que hacer inmediatamente si encuentras una filtración
Si tu autoauditoría reveló filtraciones o información expuesta, prioriza estas tres acciones.
1. Cambia todas tus contraseñas
Cambia las contraseñas en cada servicio comprometido — y en cada servicio donde reutilizaste la misma contraseña.
Hacer esto manualmente en docenas de servicios no es realista. Usa un gestor de contraseñas para generar y almacenar contraseñas únicas y fuertes para cada cuenta. NordPass gestiona la generación de contraseñas y el monitoreo de filtraciones en un solo lugar.
2. Activa la autenticación multifactor (MFA)
Incluso si tu contraseña fue filtrada, MFA previene el inicio de sesión no autorizado. Prioriza estas cuentas:
- Cuentas de correo electrónico (el punto de reinicio de todo lo demás)
- Servicios bancarios y financieros
- Redes sociales (prevenir suplantación de identidad)
- Almacenamiento en la nube
3. Reduce tu huella digital
- Elimina cuentas que no uses
- Quita información personal innecesaria de perfiles de redes sociales
- Verifica y elimina datos EXIF de tus fotos
- Solicita la eliminación de datos a los intermediarios de datos (legalmente exigible bajo RGPD)
- Usa una VPN para prevenir el rastreo por dirección IP
Gestor de contraseñas de los creadores de NordVPN
- Gestiona contraseñas, passkeys y tarjetas de crédito en un solo lugar
- Arquitectura de conocimiento cero
- Escáner de filtraciones de datos integrado
OSINT y la ley — dónde termina lo legal y empieza lo ilegal
Las técnicas OSINT implican recopilar información públicamente disponible, lo cual es generalmente legal. Sin embargo, qué recopilas, de quién son los datos y cómo los usas determina el riesgo legal.
Legal
| Acción | Base legal |
|---|---|
| Verificar tu propio email en busca de filtraciones | Tus propios datos, servicio público |
| Buscar tu propio nombre en Google | Ver información pública |
| Google Dorking en tu propio sitio web | Tu propio dominio |
| Buscar tu IP en Shodan | Tu propia infraestructura |
Potencialmente ilegal
| Acción | Riesgo |
|---|---|
| Acceder a la cuenta de otra persona | Ley de Fraude Informático (EE.UU.), Ley de Acceso No Autorizado (Japón) |
| Descargar contraseñas de otros de bases de datos de filtraciones | Adquisición no autorizada de credenciales |
| Publicar información personal de alguien sin su consentimiento | Violación de privacidad, potencial difamación |
| Escanear los sistemas de una empresa sin autorización | Leyes de acceso no autorizado |
Marcos legales clave
Japón: La Ley de Acceso No Autorizado a Computadoras prohíbe acceder a sistemas protegidos por controles de acceso sin permiso. Ver información públicamente disponible no está cubierto, pero acceder a sistemas protegidos por login sin autorización es un delito penal (hasta 3 años de prisión).
UE (RGPD): Los titulares de datos pueden solicitar la divulgación, corrección, eliminación y portabilidad de sus datos personales. Solicitar la eliminación de datos a intermediarios es completamente legal, con un plazo de respuesta de un mes.
EE.UU. (CCPA): Los residentes de California pueden solicitar la divulgación, eliminación y exclusión de la venta de su información personal recopilada por empresas.
Conclusión
OSINT es una forma poderosa de verte a ti mismo a través de los ojos de un atacante. No necesitas habilidades especiales — los cinco pasos de este artículo te permiten auditar tu huella digital usando las mismas técnicas que usan los profesionales.
Con el Dark Web Report de Google ya discontinuado, proteger tu información está en tus propias manos. Comienza verificando tu email en Have I Been Pwned. Si se encuentran filtraciones, cambiar tus contraseñas y activar MFA debería ser tu máxima prioridad.
Artículos relacionados: