Imagina que usas la misma llave para tu casa, tu coche, tu oficina y tu buzón. Si alguien copia esa llave una sola vez, tiene acceso a todo. Eso es exactamente lo que haces cuando reutilizas la misma contraseña (o variantes muy parecidas) en varios servicios.
El problema no es solo teórico: cada año se filtran miles de bases de datos de servicios online (algunas grandes, muchas pequeñas y menos conocidas). Esas contraseñas filtradas acaban en manos de atacantes que las prueban automáticamente contra tu email en cientos de otros servicios — es lo que se llama credential stuffing.
Te registraste en un foro de aficionados a hace 8 años con tu email y una contraseña que también usas en tu banco. Ese foro sufrió una filtración de datos en 2023 que nunca supiste. Hoy, un bot prueba automáticamente esa combinación email+contraseña contra webs de banca online de toda España. Si coincide, entra directamente — sin necesidad de engañarte con ningún phishing.
¿Cómo saber si ya te ha pasado?
- ① Comprueba tu email en Have I Been Pwned (herramienta enlazada aquí): te dice en qué filtraciones conocidas ha aparecido tu dirección.
- ② Si usas la misma contraseña en 3+ servicios, asume que ya está potencialmente comprometida y cámbiala.
- ③ Recibes avisos de "inicio de sesión desde un dispositivo nuevo" que no reconoces — señal de que alguien ya lo está probando.