Si te han hackeado una cuenta, lo primero que necesitas es un plan claro. No pánico, no cerrar todo a lo loco, no cambiar contraseñas al azar mientras hiperventilas. Una cuenta hackeada requiere una respuesta metódica y rápida. Este artículo es exactamente eso: los pasos concretos que debes seguir cuando descubres que alguien ha entrado donde no debía. Da igual si es tu email, tu banco o tu Instagram — el protocolo base es el mismo. Y sí, recuperar cuenta es posible en la mayoría de casos, pero cada minuto que tardas en actuar reduce tus opciones. Así que respira hondo y vamos al grano.
Paso 1: Confirma que realmente te han hackeado
Antes de entrar en modo crisis, asegúrate de que el hackeo es real. A veces un correo sospechoso de "actividad inusual" es, precisamente, un intento de phishing disfrazado de alerta de seguridad. Los atacantes adoran la ironía.
Señales reales de que tu cuenta está comprometida:
- Recibes notificaciones de inicio de sesión desde ubicaciones o dispositivos que no reconoces
- Tu contraseña ha dejado de funcionar sin que tú la hayas cambiado
- Aparecen mensajes enviados, compras realizadas o configuraciones modificadas que tú no hiciste
- Tus contactos te dicen que les llegan mensajes extraños desde tu cuenta
- Recibes códigos de verificación que no has solicitado
Si alguna de estas cosas te está pasando, sigue leyendo. Si solo has recibido un email que dice "tu cuenta ha sido comprometida, haz clic aquí", verifica primero si ese enlace es legítimo antes de hacer nada. El atacante podría estar intentando que tú mismo le entregues las llaves.
Paso 2: Contención inmediata (los primeros 15 minutos)
Tienes una cuenta hackeada. Confirmado. Ahora actúa rápido pero con orden. No cambies todas tus contraseñas a la vez — eso es ineficiente y te va a confundir. Sigue esta secuencia:
Si todavía puedes acceder a la cuenta
- Cambia la contraseña inmediatamente. Usa una contraseña nueva, larga (mínimo 16 caracteres) y única. Un gestor de contraseñas como Bitwarden o 1Password es tu mejor aliado aquí.
- Cierra todas las sesiones activas. La mayoría de servicios (Google, Microsoft, Meta, X) tienen una opción de "cerrar sesión en todos los dispositivos". Úsala.
- Revisa los métodos de recuperación. Comprueba que el email y teléfono de recuperación siguen siendo los tuyos. Los atacantes lo primero que hacen es cambiar esto para que no puedas recuperar tu cuenta después.
- Activa la verificación en dos pasos (2FA) si no la tenías. Si ya la tenías y aun así entraron, cambia el método: pasa de SMS a una app como Google Authenticator o Authy.
Si ya no puedes acceder
- Usa el proceso de recuperación oficial del servicio. Google tiene accounts.google.com/signin/recovery, Microsoft usa account.live.com/acsr, Meta tiene facebook.com/hacked. No busques "recuperar cuenta" en Google y hagas clic en el primer resultado — podrías caer en otro phishing.
- Contacta al soporte con prueba de identidad. Ten a mano datos que demuestren que eres el titular: fecha de creación, últimas contraseñas usadas, dispositivos habituales, contactos frecuentes.
- Documenta todo. Capturas de pantalla de mensajes extraños, emails de notificación, fechas y horas. Esto será útil si necesitas presentar denuncia.
Mientras tanto, si la cuenta comprometida es tu email principal, cambia primero la contraseña de ese email desde otro dispositivo limpio. Tu correo es la llave maestra: quien lo controle puede resetear todas las demás cuentas vinculadas.
Paso 3: Evalúa el alcance del daño
Ya has contenido la brecha. Ahora toca averiguar qué hacer después del hackeo para que no se repita ni se extienda. Piensa en esto como una investigación forense en miniatura.
Comprueba si tus datos están filtrados. Ve a Have I Been Pwned e introduce tu email. Esta herramienta, creada por el investigador de seguridad Troy Hunt, te dirá en qué brechas de datos ha aparecido tu dirección. Si sale en filtraciones recientes, asume que tu contraseña (y posiblemente otros datos) están circulando.
Revisa estas áreas de impacto:
| Área | Qué revisar | Acción |
|---|---|---|
| Cuentas vinculadas | Servicios donde usas "Iniciar sesión con Google/Facebook" | Revoca accesos en la configuración de la cuenta principal |
| Datos bancarios | Tarjetas guardadas en la cuenta comprometida | Contacta con tu banco para bloquear o vigilar movimientos |
| Otras cuentas | Servicios donde usabas la misma contraseña | Cambia contraseña en todos ellos (sí, en todos) |
| Dispositivos | Posible malware que facilitó el acceso | Escaneo completo con Malwarebytes o similar |
| Contactos | Mensajes enviados a tu nombre | Avisa a tus contactos de que ignoren mensajes sospechosos |
Si reutilizabas la misma contraseña en varios sitios (no te juzgo, pero ya sabes que no deberías), este es el momento de asumir que todas esas cuentas están en riesgo. El credential stuffing — probar credenciales robadas en múltiples servicios de forma automatizada — es una de las técnicas más rentables para los atacantes. Según datos del INCIBE (Instituto Nacional de Ciberseguridad), la reutilización de contraseñas sigue siendo uno de los vectores más explotados en España.
Paso 4: Blindaje post-incidente
Has recuperado tu cuenta, has evaluado el daño. Ahora toca que esto no vuelva a pasar. La buena noticia: las medidas que necesitas son pocas pero muy efectivas.
Gestor de contraseñas. No negociable. Bitwarden (gratuito y de código abierto), 1Password o KeePass. Genera una contraseña única para cada servicio. Tu cerebro no está diseñado para recordar 87 contraseñas distintas, y nadie te pide que lo haga.
2FA en todo lo que puedas. Prioriza las cuentas críticas: email, banca, redes sociales, almacenamiento en la nube. Usa apps de autenticación (TOTP) o llaves físicas como YubiKey. El SMS es mejor que nada, pero es vulnerable a ataques de SIM swapping — una técnica donde el atacante convence a tu operadora de transferir tu número a su tarjeta SIM.
Revisa los permisos de apps de terceros. Esas aplicaciones a las que les diste acceso a tu cuenta "solo para probar" hace tres años siguen ahí. Google, Facebook, Twitter/X, GitHub... todos tienen una sección de "aplicaciones conectadas". Elimina todo lo que no uses activamente. Si tienes dispositivos de domótica conectados a tu cuenta principal, revisa también sus permisos: un atacante con acceso a tu email podría controlar tu casa inteligente.
Configura alertas de seguridad. La mayoría de servicios permiten recibir notificaciones cuando se detecta un inicio de sesión nuevo. Actívalas. Esos 5 segundos de aviso pueden marcar la diferencia entre un intento frustrado y una cuenta comprometida.
Paso 5: Denuncia y registro legal
Mucha gente se salta este paso. Error. Si me han hackeado una cuenta con datos personales, financieros o profesionales, denuncia. En España tienes varias vías:
- Policía Nacional / Guardia Civil: Puedes presentar denuncia online a través de la sede electrónica o presencialmente. Aporta todas las capturas y evidencias que recopilaste en el paso 2.
- INCIBE (017): Línea gratuita y confidencial de ayuda en ciberseguridad. Disponible por teléfono, WhatsApp y Telegram. No sustituye una denuncia formal, pero te orientan sobre los pasos a seguir.
- AEPD: Si el hackeo ha expuesto datos personales tuyos y sospechas que una empresa no los protegió adecuadamente, puedes presentar una reclamación ante la Agencia Española de Protección de Datos. El RGPD (Reglamento General de Protección de Datos, vigente desde 2018) te respalda.
Guarda una copia de la denuncia. Te será útil si necesitas demostrar ante tu banco que una transacción fue fraudulenta, o ante un servicio que tu cuenta fue usurpada.
Además, si el hackeo afecta a cuentas profesionales o de empresa, notifica a tu departamento de IT inmediatamente. Un ataque de spear phishing dirigido a ti podría ser la puerta de entrada a toda la infraestructura corporativa.
Preguntas frecuentes
¿Pueden hackearme la cuenta si tengo verificación en dos pasos?
Sí, aunque es mucho más difícil. Técnicas como el phishing en tiempo real (donde el atacante intercepta tu código 2FA mientras lo introduces) o el SIM swapping pueden saltarse el segundo factor. Las llaves de seguridad físicas (FIDO2/WebAuthn) son la opción más resistente a estos ataques.
¿Me han hackeado el email, pueden acceder a mi banco?
Depende. Si tu banco usa el email para enviar códigos de recuperación o confirmación de operaciones, sí, el riesgo es real. Contacta con tu entidad bancaria inmediatamente, explica la situación y pide que refuercen la verificación de tus operaciones. La mayoría de bancos en España permiten bloquear temporalmente la banca online por teléfono.
¿Cómo sé si mi dispositivo tiene malware que causó el hackeo?
Ejecuta un escaneo completo con Malwarebytes (versión gratuita suficiente para escaneo puntual) y comprueba los programas instalados en busca de algo que no reconozcas. En móviles, revisa los permisos de las apps: si una linterna pide acceso a tus contactos y SMS, algo va mal. Si sospechas de un minero oculto u otro malware persistente, considera un restablecimiento de fábrica como última opción.
¿Cambiar la contraseña es suficiente para recuperar una cuenta comprometida?
No siempre. Si el atacante ha instalado reglas de reenvío en tu email, añadido métodos de recuperación alternativos o creado tokens de acceso persistentes, cambiar la contraseña sola no lo expulsa. Por eso el paso de cerrar todas las sesiones y revisar la configuración completa de la cuenta es igual de crítico.
El siguiente paso
Abre ahora mismo Have I Been Pwned, introduce tu email principal y comprueba en cuántas brechas aparece. Si el resultado te pone nervioso — que probablemente lo hará —, instala un gestor de contraseñas y empieza a cambiar las credenciales de tus cinco cuentas más críticas: email, banco, red social principal, almacenamiento en la nube y la cuenta del trabajo. Cinco cuentas, quince minutos. Eso es todo lo que necesitas para pasar de "objetivo fácil" a "no merece la pena intentarlo".
