Protocolo

Mis credenciales aparecen en una filtración

Una alerta no solicitada significa que alguien ya tiene tu contraseña. Cambia contraseñas, revisa sesiones, audita movimientos.

Cuándo aplica

Have I Been Pwned o IdP corporativo te avisa de que tu email aparece en una brecha. O recibes alertas de MFA que no has solicitado.

A quién avisas

Si la cuenta afectada es corporativa, avisa al equipo de seguridad. Tienen visibilidad de la actividad y pueden forzar logout global.

Pasos

Cambia inmediatamente la contraseña afectada
Antes de 10 minutos.
En el servicio reportado y en cualquier otro donde uses la misma o variantes próximas. Aprovecha para subirla al gestor de contraseñas y dejar una aleatoria.
Activa MFA si no lo tenías
App authenticator (Microsoft / Google Authenticator, Aegis). Para cuentas críticas, llave física FIDO2 (YubiKey). El SMS es vulnerable a SIM swapping.
Revisa actividad reciente
Inicios de sesión, dispositivos conectados, IPs y geografías. M365 → Mi cuenta → Mi actividad reciente. Google → Seguridad → Tus dispositivos. Si hay algo que no reconoces, revoca.
Revoca tokens y sesiones
Forzar logout global desde el panel del servicio. Esto invalida las cookies que el atacante pueda haber robado.
Comprueba reglas de reenvío y enviados
El atacante suele crear reglas para que ciertos correos (banco, finanzas) se reenvíen automáticamente y luego se borren. Buscar reglas no creadas por ti.
Avisa a seguridad si es cuenta corporativa
Tienen visibilidad de logs y pueden detectar si el atacante ya entró desde dónde y qué hizo. También pueden forzar reset masivo si la filtración afecta a múltiples cuentas del dominio.

Lo que NO debes hacer

No ignores una alerta de MFA no solicitada. Es una señal de que alguien ya tiene tu contraseña.
No uses la 'nueva' contraseña con un patrón previsible respecto a la antigua (`Pass2025` → `Pass2026`).
No te limites a cambiar en el servicio reportado: cambia donde quiera que reutilizases.
No esperes a 'ver si pasa algo'. La ventana de aprovechamiento son minutos.