¿Le han hackeado una cuenta? Cuando ocurre, no cuenta tanto el qué como el cuándo. Las primeras horas deciden el tamaño del daño y si se puede limitar a esa única cuenta o se extiende. Quien, en ese momento, hace con calma los pasos en el orden correcto evita la mayoría de los daños posteriores. Quien reacciona tarde o empieza por la cuenta equivocada pierde a menudo no una, sino una cadena entera.

Esta guía le lleva por el orden correcto: cómo saber con seguridad si le han hackeado, qué hacer primero y por qué lo decisivo es el orden, no la velocidad de cada acción.

Cómo notar que le han hackeado una cuenta

A veces es evidente, a veces solo una corazonada. Conviene tomarse en serio las dos.

Señales claras: su contraseña deja de funcionar de repente. Recibe correos de confirmación de compras, pedidos o inicios de sesión que usted no ha hecho. Conocidos le cuentan que han recibido mensajes raros de su parte. En su buzón aparecen respuestas a correos que usted nunca escribió.

Señales más débiles, pero igual de serias: un aviso de inicio de sesión inexplicable («Nuevo acceso desde otro país»). Una app de confianza le pide de pronto volver a identificarse. En Amazon aparecen direcciones de envío que usted no ha puesto. En su perfil de redes sociales hay publicaciones que no son suyas.

Si aparece aunque sea una de estas señales, no merece la pena darle vueltas. Trate la cuenta como si estuviera hackeada. Una falsa alarma cuesta diez minutos; un hackeo detectado tarde puede costar semanas.

Por qué el orden importa tanto

Las cuentas en línea están unidas como un llavero. El eslabón más importante suele ser su dirección de correo, porque casi todos los demás servicios la usan para «he olvidado mi contraseña». Quien accede a su buzón puede ir pulsando «¿olvidó su contraseña?» en Amazon, en redes sociales, en la banca en línea, recoger el enlace de confirmación de su buzón y apropiarse de cada cuenta.

Así que, si sospecha que le han hackeado la cuenta de Amazon, la pregunta clave no es «¿cómo aseguro Amazon?», sino «¿no estará primero tocado mi correo?». Si lo está, empiece por ahí. Si no, puede asegurar Amazon diez veces: mientras el atacante siga en su buzón, recuperará el acceso una y otra vez.

El orden correcto en cinco pasos

Paso 1: asegure primero su cuenta de correo

Aunque otra cuenta diera la señal, empiece aquí. Entre en su correo por la web o la app oficial, nunca por un enlace de un mensaje.

Qué hacer:

  • Cambie la contraseña. Una nueva, larga y única. Mejor generada por un gestor de contraseñas.
  • Cierre todas las sesiones activas. Gmail, Outlook y los grandes proveedores tienen una opción para expulsar el resto de dispositivos conectados (en Gmail, en Seguridad → Cerrar sesión en todos los dispositivos o similar). Así echa al atacante.
  • Active la verificación en dos pasos si no la tenía. En el siguiente intento no le bastará la contraseña: necesitará también su móvil.
  • Busque reenvíos y filtros ajenos. Los atacantes hábiles suelen crear un reenvío que copia todos sus correos a otra dirección, incluso después de cambiar la contraseña. En Gmail, en Configuración → Reenvío y correo POP/IMAP; en Outlook, parecido. Borre de inmediato cualquier entrada que no haya creado usted.

Solo cuando el correo esté limpio, continúe.

Paso 2: mire qué otras cuentas están afectadas

Abra el buzón y repase los últimos días. A menudo las pistas se juntan aquí: correos de confirmación de inicios de sesión, cambios de contraseña o compras de otros servicios. Anote todas las cuentas con actividad en los últimos días.

Tienen prioridad, en este orden:

  • Cuentas con datos de pago: Amazon, PayPal, Apple ID, cuenta de Google, servicios con tarjeta guardada.
  • Cuentas con las que inicia sesión en otros sitios: quien usa «entrar con Google» o «entrar con Facebook» da a esas cuentas un poder especial.
  • Cuentas con datos personales: redes sociales, almacenamiento de fotos, servicios en la nube.

Paso 3: asegure esas cuentas con la misma lógica

Para cada cuenta afectada o sospechosa: cambie la contraseña, cierre todas las sesiones, active la verificación en dos pasos. En las cuentas con datos de pago, además:

  • Revise las direcciones de envío y facturación. Algunos atacantes cambian la dirección, piden algo a la nueva y luego la vuelven a cambiar. Borre también direcciones antiguas que ya no use.
  • Revise los métodos de pago guardados. ¿Han añadido una tarjeta o cuenta ajena? Quítela de inmediato.
  • Revise los pedidos en curso. En Amazon, eBay o Apple a menudo se pueden cancelar pedidos aún no enviados: recupera el dinero sin reclamación.

Paso 4: si usaba la misma contraseña en todas partes, cámbiela en todas

Aquí mucha gente abandona, porque la tarea parece enorme. Lo es, pero se encoge cada día: puede ir cambiando las contraseñas cada vez que entre en un servicio.

Apunte una lista de las cuentas donde usaba la contraseña antigua. En dos semanas la habrá vaciado. La primera vez, instale un gestor de contraseñas y no tendrá que repetir nunca este ejercicio. Más en Contraseñas seguras sin estrés.

Paso 5: documente y denuncie los daños

Si hay pedidos, cargos o suplantación de identidad, conviene hacer dos cosas:

  • Denuncia ante la policía. Aunque la recuperación a menudo sea poco probable, la denuncia es el requisito para que el caso se investigue, y algunos proveedores solo reembolsan con denuncia. En España, ante la Policía Nacional o la Guardia Civil; para orientación gratuita puede llamar a INCIBE (línea 017).
  • Avise al proveedor. Amazon, PayPal y otros grandes tienen secciones de ayuda específicas para robos de cuenta, donde se cancelan pedidos, se bloquean tarjetas y se reclaman cargos indebidos. Entre por la web oficial, no por resultados de buscador, donde pueden aparecer números de atención falsos.

Lo que no debe hacer

Tres reflejos son muy habituales tras un hackeo, y los tres empeoran el problema.

Contactar con el atacante. A veces dejan mensajes o piden un rescate. Seguirles el juego casi nunca devuelve la cuenta y sí cuesta dinero. No responda, no pague.

Caer en supuestas «ayudas de recuperación». Tras un hackeo conocido aparecen servicios dudosos que prometen recuperar la cuenta a cambio de dinero. Suelen ser estafadores de segunda ronda.

Callar por vergüenza. Que le hackeen no es un fracaso. Le pasa hasta a profesionales. Esperar por vergüenza hace perder horas valiosas, y nadie en la policía ni en el proveedor le va a reprochar ser víctima.

Cómo evitar que vuelva a pasar

Lo más importante tras un hackeo no suele ser cómo entró el atacante, sino cómo impedir que ocurra una segunda vez. Tres medidas cierran casi todas las vías.

Contraseñas únicas. Una distinta para cada cuenta. Lo demás convierte un solo hackeo en una avalancha. Un gestor le ahorra recordarlas.

Verificación en dos pasos en las cuentas importantes. Correo, banca en línea, cuentas con datos de pago. Aunque roben una contraseña, sin el segundo factor no avanzan.

Atención al phishing. La mayoría de las cuentas no se toman rompiendo contraseñas, sino porque alguien picó en un correo o un SMS idéntico al real y escribió él mismo su contraseña. Más en Reconocer el phishing y Reconocer los SMS fraudulentos.

Una lista de emergencia breve

Si lee esto en pleno apuro, aquí va el resumen, en este orden:

  1. Asegure el correo – cambie la contraseña, cierre todas las sesiones, active la verificación en dos pasos, borre reenvíos ajenos.
  2. Revise el buzón – ¿qué cuentas han tenido actividad estos días?
  3. Asegure las cuentas sospechosas – con el mismo esquema, dando prioridad a las de datos de pago.
  4. Si usaba la misma contraseña: cámbiela una a una, mejor ya con un gestor.
  5. Denuncie los daños – ante el proveedor y, si hay pérdida de dinero o suplantación, ante la policía.

Quien hace estos cinco pasos limita el daño en la mayoría de los casos y cierra de paso la puerta a un segundo hackeo.

Preguntas frecuentes

¿Cómo sé si alguien sigue en mi buzón aunque haya cambiado la contraseña? Mire las sesiones activas en los ajustes de seguridad de su proveedor de correo: verá qué dispositivos están conectados y podrá expulsar los desconocidos. Revise además los reenvíos: uno configurado copia todos sus correos a otra dirección incluso tras cambiar la contraseña. Las dos cosas, antes de respirar tranquilo.

¿Pasa algo si no recuerdo la contraseña antigua? No. Si la ha olvidado, ahora hasta es bueno: ningún riesgo de reutilizarla. Use «¿olvidó su contraseña?» con su dirección de correo, ponga una nueva y única y guárdela en el gestor.

¿Con qué rapidez debo actuar? En las primeras horas el daño suele ser limitable. En cuentas con datos de pago cuenta cada minuto, porque los pedidos se envían enseguida. En cuentas solo de identidad (correo, redes) bastan unas horas. Si nota que algo va mal, resuélvalo el mismo día.

¿Conviene restablecer de fábrica el móvil o el ordenador tras un hackeo? Solo si sospecha que también se instaló software dañino en el aparato (por ejemplo, instaló una app de origen desconocido o el aparato va raro desde entonces). En un hackeo de cuenta por phishing, normalmente basta con asegurar las cuentas. En la duda: instale actualizaciones, reinicie del todo y observe.

¿Puedo reclamar al proveedor por el hackeo? En la mayoría de los casos, no. Los proveedores responden de fallos de seguridad claramente propios, pero en el phishing o en contraseñas filtradas la responsabilidad suele ser del usuario. Para daños económicos a través de cuentas bancarias hay reglas especiales: ahí el interlocutor es su banco, no el servicio en línea.

Artículos relacionados: Contraseñas seguras sin estrés · Reconocer el phishing · Reconocer los SMS fraudulentos