- Se ha detectado una base con 183 millones de credenciales vinculadas a múltiples proveedores, entre ellos Gmail.
- Google niega una brecha específica de Gmail y atribuye los datos a bases de info-stealers agregadas.
- Comprueba tu exposición en Have I Been Pwned y cambia tu contraseña; activa 2FA y passkeys.
- Atención a posibles estafas y movimientos sospechosos; recomendaciones para usuarios en España y la UE.
Una enorme recopilación de datos con 183 millones de credenciales ha encendido las alarmas en Internet y ha puesto el foco en Gmail, como ocurrió en la filtración de 2.500 millones de cuentas de Gmail. Aunque el asunto se ha popularizado como una “filtración de contraseñas de Gmail”, los registros afectan también a otros proveedores y no apuntan a un único ataque reciente contra el servicio de Google.
El hallazgo lo dio a conocer el especialista australiano Troy Hunt a través de Have I Been Pwned (HIBP), su plataforma de verificación de filtraciones. La magnitud del conjunto —hablamos de una base de datos de varios terabytes— aumenta el riesgo de intentos de acceso, suplantaciones y fraude digital, por lo que conviene actuar con rapidez.
Qué ha pasado y por qué afecta a Gmail
Según HIBP, se localizaron direcciones de correo y contraseñas asociadas publicadas en la red, con referencias a cuentas de Gmail, pero también de Yahoo y Outlook, entre otras. Este tipo de colecciones suelen proceder de múltiples incidentes previos y de malware que roba credenciales, lo que explica el volumen: se habla de alrededor de 183 millones de pares email/clave agrupados.
La preocupación de los usuarios de Gmail es comprensible: cuando un correo se ve comprometido, los atacantes pueden intentar acceder a “todo lo demás” que depende de esa cuenta, desde servicios donde inicias sesión con Google hasta recuperaciones de contraseña en terceros sitios.
Expertos en consumo y tecnología —en la línea de lo que explican desde organizaciones como Which?— recomiendan no esperar confirmaciones adicionales para actuar si sospechas que tu información está en la lista. Cambiar la clave y reforzar la seguridad son medidas que pueden marcar la diferencia.
Además de revisar tus cuentas, merece la pena extremar la cautela con correos, SMS o mensajes en redes sociales que usen esta situación como gancho; los estafadores suelen aprovechar picos de atención para pescar credenciales mediante phishing, como la estafa invisible en Gmail.
Qué dice Google y qué significa realmente
Google ha señalado que no existe un nuevo ataque dirigido específicamente a Gmail. Lo que se ha difundido, explica la compañía, es el resultado de bases de datos de “info-stealers” que compilan actividad de robo de credenciales repartida por la web, sin que ello implique una vulnerabilidad fresca en su plataforma.
Desde Mountain View insisten en que sus sistemas aplican múltiples capas de defensa, incluido el restablecimiento forzado de contraseñas cuando detectan grandes lotes de credenciales expuestas. También animan a activar la verificación en dos pasos y adoptar claves de acceso (passkeys) como alternativa más robusta y sencilla que las contraseñas tradicionales.
Cómo saber si estás afectado
Si sospechas que tu email puede estar en la recopilación, puedes usar Have I Been Pwned para comprobar si tu dirección o tus contraseñas aparecen en filtraciones conocidas. HIBP rastrea datos de cientos de incidentes y arroja resultados rápidos sobre tu posible exposición.
- Consulta tu dirección de correo en haveibeenpwned.com.
- Si aparece, cambia la contraseña de Gmail inmediatamente (y en el resto de servicios donde la reutilizases).
- Activa la verificación en dos pasos en tu cuenta de Google.
- Valora migrar a passkeys para un acceso más seguro y cómodo.
Aun si no apareces en listados públicos, establecer claves únicas y largas, y habilitar 2FA, reduce de forma notable el riesgo de accesos no autorizados. No dejes para mañana estos cambios si usas la misma clave en varios sitios.
Medidas recomendadas en España y la Unión Europea
En el contexto español y europeo, conviene seguir las buenas prácticas que impulsan organismos como INCIBE o las autoridades de protección de datos: evita reciclar contraseñas, utiliza un gestor de contraseñas fiable y activa 2FA siempre que se pueda, y aprende a evitar spam en Gmail.
Vigila movimientos en banca online y servicios de pago; si detectas algo raro, informa de inmediato a tu entidad. Desconfía de llamadas o mensajes inesperados que pidan datos personales y verifica siempre los dominios antes de introducir tus credenciales.
Revisa periódicamente la Comprobación de seguridad de tu cuenta de Google para detectar accesos, dispositivos y aplicaciones con permiso. Revoca lo que no necesites y mantén actualizados tus métodos de recuperación.
Ante una posible exposición, recuerda tus derechos bajo el RGPD: las empresas deben informar de brechas relevantes y ofrecer vías de mitigación. Si sufres un perjuicio, puedes valorar contactar con la AEPD o con las autoridades competentes en tu país de la UE.
La fotografía completa es esta: existe una gran colección de credenciales, no un ataque fresco exclusivo de Gmail; aun así, la prudencia dicta revisar si te afecta, cambiar claves, activar 2FA o passkeys y estar atento a intentos de phishing y movimientos sospechosos para cortar de raíz cualquier abuso.
