Acciones inmediatas (primeras 24 horas)

1. Confirma la filtración por canales oficiales
   • Busca comunicados en la web/redes oficiales de la empresa afectada.
   • Comprueba tu email por avisos formales. Evita hacer clic: entra desde la web oficial.
   • Verifica tu correo en Have I Been Pwned y activa la opción “Notify me”.
2. Prioriza cuentas críticas (correo principal, banca, operador móvil, Apple/Google/Microsoft).
   • Cambia contraseñas por otras únicas y robustas (mín. 14-16 caracteres) y usa un gestor de contraseñas.
   • Activa 2FA/MFA con app de autenticación o llave FIDO2 (evita SMS si puedes).
   • Cierra sesiones y revoca tokens en todos los dispositivos.
3. Finanzas: bloquea el riesgo
   • Bloquea/sustituye tarjetas y desactiva temporalmente pagos online/contactless.
   • Avisa a tu banco, activa alertas por importe y revisa movimientos.
   • Revisa Bizum/transferencias inmediatas y cambia PINs si aplica.
4. Asegura tu línea móvil
   • Pide a tu operadora un PIN de SIM y medidas anti-portabilidad/SIM swapping si están disponibles.
   • Activa alertas de actividad en tu cuenta de cliente.
5. Revisa accesos de terceros
   • En Google, Apple, Microsoft y redes sociales, elimina apps conectadas que no reconozcas.
   • Regenera claves de API o tokens si usas servicios en la nube.
6. Documenta y guarda evidencias
   • Capturas de pantalla, emails, códigos de incidencia, cargos no reconocidos.
   • Te servirán para reclamaciones, denuncia o AEPD.
7. Si hay fraude consumado: presenta denuncia y notifica de inmediato al banco/empresa afectada.

Qué hacer según el tipo de dato expuesto

Si se filtraron contraseñas

• Cambia la contraseña en ese servicio y en cualquier otro donde la reutilizaste.
• Activa 2FA y guarda códigos de recuperación en lugar seguro.
• Revisa “Actividad de inicio de sesión” y cierra sesiones desconocidas.

Si se filtró tu email

• Habilita 2FA en el correo y cambia la contraseña.
• Activa alertas de seguridad (Google, Outlook, Yahoo).
• Crea filtros anti-phishing; desconfía de reseteos no solicitados.

Si se filtró tu teléfono

• Configura PIN de SIM y pregunta por bloqueo de portabilidad o verificación reforzada.
• Desconfía de llamadas que pidan códigos o datos bancarios.

Si se filtró DNI/NIE/pasaporte

• Conserva el aviso de la brecha y solicita medidas mitigadoras al responsable (p. ej., vigilancia antifraude).
• Vigila ficheros de solvencia (ASNEF-Equifax, Experian/BADEXCUG) y solicita alertas antifraude.
• Si hay suplantación, denuncia y notifica a entidades financieras.

Si se filtraron datos bancarios/tarjeta

• Bloqueo/sustitución inmediata de tarjetas y credenciales de banca electrónica.
• Activa límites por operación, compras online y alertas en tiempo real.
• Reclama cargos no reconocidos con número de incidencia y denuncia si procede.

Si se filtró dirección física

• Refuerza privacidad: evita publicaciones con ubicaciones; considera apartados postales para compras sensibles.
• Vigila intentos de entrega sospechosos o cartas de créditos/altas no solicitadas.

Si se filtraron certificados digitales/firmas

• Revoca certificados comprometidos (FNMT) y vuelve a emitirlos.
• Revisa poderes/apoderamientos en sedes electrónicas (AEAT, Seguridad Social) y revoca los no reconocidos.

Monitoriza y protege tu identidad

• Alertas bancarias: notificaciones push/SMS por cada cargo o transferencia.
• Ficheros de solvencia: consulta ASNEF (Equifax) y Experian/BADEXCUG; solicita rectificación si detectas altas indebidas.
• Agencia Tributaria y Seguridad Social: activa avisos de acceso y revisa “Accesos a mi cuenta”. Cambia credenciales de Cl@ve y revoca dispositivos.
• Vigilancia de nuevas brechas: suscríbete a alertas de HIBP y crea Google Alerts con tu nombre + DNI (sin publicar números completos).
• Redes sociales: usa verificación en dos pasos y reporta perfiles que te suplanten.

Aspectos legales y RGPD (España/UE)

• Derecho a ser informado: el responsable debe comunicarte la filtración cuando entrañe alto riesgo, describir los datos afectados y medidas tomadas.
• Transparencia: puedes solicitar al DPO copia de los datos comprometidos, origen y base jurídica, así como medidas de mitigación ofrecidas.
• Plazo de notificación: el responsable debe notificar a la AEPD, si procede, en 72 horas desde que tenga constancia.
• Reclamación: si la respuesta es insuficiente o hay negligencia, reclama ante la AEPD adjuntando evidencias.
• Conserva pruebas: emails, capturas, tickets y cualquier comunicación con la empresa y tu banco.

Prevención a largo plazo

• Gestor de contraseñas y políticas de claves únicas y largas.
• Passkeys y llaves de seguridad (FIDO2) para cuentas críticas.
• Segmenta identidades: alias de email para compras, cuentas separadas para banca y redes.
• Actualizaciones de sistema, navegador y apps; elimina software que no uses.
• Privacidad: revisa permisos de apps y configuración de perfiles públicos.
• Copias de seguridad offline o en la nube con cifrado.

Señales de robo de identidad a vigilar

• Correos de “restablecer contraseña” que no solicitaste.
• Logins desde ubicaciones/dispositivos desconocidos.
• Cargos, microcargos de prueba o préstamos/altas que no solicitaste.
• Intentos de portabilidad de tu línea móvil o pérdida repentina de cobertura (posible SIM swapping).
• Cartas de entidades financieras o deudas no reconocidas.
• Perfiles que usan tus fotos/nombre suplantándote.

Errores comunes que empeoran el problema

• Esperar “a ver qué pasa” en lugar de cambiar contraseñas y activar 2FA de inmediato.
• Reutilizar la misma contraseña en varios servicios.
• Hacer clic en enlaces de emails de “soporte” no verificados.
• Ignorar alertas o avisos del banco/operadora.
• No documentar evidencias, dificultando reclamaciones y denuncias.

Recursos útiles en España

• INCIBE 017 (gratuito): incibe.es
• Agencia Española de Protección de Datos: aepd.es
• Denuncias: Policía Nacional (policia.es) / Guardia Civil (guardiacivil.es)
• Have I Been Pwned: haveibeenpwned.com
• ASNEF (Equifax): asnef.com | Experian/BADEXCUG: experian.es
• Revocación de certificados FNMT: sede.fnmt.gob.es

Plantillas rápidas

Solicitud al DPO (Responsable de Protección de Datos)

Asunto: Solicitud de información y medidas tras brecha de datos (RGPD)

Estimado/a DPO,
He recibido notificación/sospecho de una brecha que afecta a mi información personal.
Solicito, conforme a los arts. 13, 14 y 34 RGPD:
- Detalle de los datos personales comprometidos
- Fecha y alcance del incidente, origen y categorías de destinatarios
- Medidas técnicas y organizativas adoptadas
- Medidas de mitigación ofrecidas (p. ej. monitorización, soporte antifraude)
- Datos de contacto para futuras comunicaciones

Adjunto documentación acreditativa. Quedo a la espera de su respuesta.
Atentamente,
[Nombre completo] [DNI/NIE] [Email y teléfono de contacto]

Notificación al banco por cargos no reconocidos

Asunto: Cargos no reconocidos y posible exposición de datos

Buenos días,
Detecto cargos no autorizados en mi cuenta/tarjeta ****[últimos 4].
Solicito bloqueo/sustitución de tarjeta, devolución de importes y apertura de incidencia.
Adjunto movimientos, fecha y denuncia (si procede). Ruego activar alertas y límites temporales.

Atentamente,
[Nombre] [DNI] [Teléfono]

Preguntas frecuentes

¿Cómo sé si mis datos realmente se filtraron?

Comprueba comunicaciones oficiales, verifica tu correo en Have I Been Pwned y revisa actividad sospechosa. No accedas desde enlaces de correos no verificados.

Si filtraron mi DNI/NIE, ¿puedo cambiarlo?

No se cambia salvo pérdida/robo o suplantación acreditada. Denuncia, vigila ficheros de solvencia y activa alertas antifraude.

¿Debo cancelar mi tarjeta si solo se filtró el número?

Sí, solicita sustitución y activa alertas de transacciones.

¿Qué hago si mis credenciales del trabajo están afectadas?

Notifica a TI/seguridad de tu empresa, sigue su protocolo, cambia contraseña y 2FA, y no uses equipos personales comprometidos.