Comprobación de exposición de contraseña

Una contraseña está expuesta cuando ha sido comprometida en alguna filtración de datos (data breach) y ahora forma parte de bases de datos públicas que utilizan los ciberdelincuentes.

¿Cómo ocurre esto?

  • Ataques a empresas: Hackers acceden a bases de datos de sitios web, redes sociales, tiendas online, etc.
  • Filtraciones masivas: Empresas como Yahoo, LinkedIn, Adobe, y muchas otras han sufrido brechas de seguridad
  • Bases de datos vendidas: Estas contraseñas se venden en la dark web o se publican públicamente

¿Por qué es peligroso?

  • Ataques de diccionario: Los hackers prueban estas contraseñas conocidas en múltiples sitios
  • Reutilización de contraseñas: Si usas la misma contraseña en varios sitios, todos quedan comprometidos
  • Ingeniería social: Pueden usar tu información para ataques más sofisticados

Estado de la contraseña:
¿Cómo funciona esta verificación de forma segura?

Tu contraseña nunca se envía completa por Internet. El proceso es completamente seguro:

  1. Encriptación local: Tu contraseña se convierte en un código SHA-1 (hash) en tu dispositivo
  2. Consulta parcial: Solo se envían los primeros 5 caracteres del hash a la API de HaveIBeenPwned
  3. Verificación local: La API devuelve miles de hashes que coinciden con esos 5 caracteres, y tu dispositivo verifica localmente si tu hash completo está en la lista
Este método, llamado "k-Anonymity", garantiza que tu contraseña real nunca abandone tu dispositivo y que ni siquiera nosotros podemos conocerla.