Verificador de Filtración de Contraseña
Un verificador de filtraciones construido sobre la API k-anonymity de Have I Been Pwned — el mismo protocolo detrás de 1Password Watchtower, Bitwarden Reports, Firefox Monitor y la advertencia integrada de contraseñas comprometidas de Chrome. Su contraseña se hashea localmente y solo se envía a HIBP un prefijo de 5 caracteres de ese hash. El servidor devuelve ~500 hashes candidatos que comparten ese prefijo y su navegador hace la coincidencia — la contraseña en sí y el hash completo se quedan en su pestaña; nosotros recibimos solo telemetría anónima de rendimiento. HIBP indexa 850M+ contraseñas únicas comprometidas en filtraciones como LinkedIn, Adobe, Collection #1 y cientos más.
Cómo se usa
Haga clic en el campo y escriba o pegue. La verificación se ejecuta al enviar, no en cada pulsación.
Su navegador hashea la contraseña localmente y solo envía a HIBP los primeros 5 caracteres del hash, que devuelve ~500 candidatos para comparar.
"No encontrada" o "vista N veces". Si se encuentra, cambie la contraseña en todos los sitios donde esté reutilizada.
Use nuestro generador de contraseñas o de frases de paso para un reemplazo único y fuerte.
Busque su contraseña en la base de datos de filtraciones de Have I Been Pwned mediante el protocolo k-anonymity
Funciones
Preguntas frecuentes
¿Qué se envía exactamente a HIBP?
Solo un prefijo de 5 caracteres del hash de su contraseña — nada más. Ese prefijo colisiona con unas 500 contraseñas distintas, así que HIBP literalmente no puede saber cuál comprobó. Sin cookies, sin cuenta.
¿Qué es k-anonymity?
Un modelo de privacidad en el que su consulta se mezcla con otras k consultas indistinguibles. Enviar un prefijo de hash de 5 caracteres significa que su consulta es una entre ~500 — el servidor no puede identificar de forma única qué buscó.
¿Por qué usar una función hash que se sabe rota?
El ataque relevante contra SHA-1 es la búsqueda de colisiones (forjar dos archivos distintos con el mismo hash). El protocolo k-anonymity no depende de eso — solo necesita que la función distribuya las contraseñas uniformemente entre los buckets de prefijo, cosa que SHA-1 hace bien. Es la misma razón por la que HIBP, 1Password y Firefox Monitor lo siguen usando para esta búsqueda concreta.
¿De dónde vienen los datos de filtraciones?
El proyecto Have I Been Pwned de Troy Hunt (haveibeenpwned.com), el corpus de filtraciones estándar de facto. 850M+ contraseñas únicas comprometidas agregadas de 850+ filtraciones divulgadas y listas curadas.
Mi contraseña no está en la BD — ¿es fuerte?
No necesariamente. Solo significa que aún no ha aparecido en una filtración publicada. Una contraseña corta o predecible aún puede romperse por fuerza bruta en segundos. Pásela también por el verificador de fortaleza.
¿Qué debo hacer si se ha filtrado?
Deje de usarla de inmediato. Los bots de credential-stuffing prueban cada contraseña filtrada contra cada formulario de inicio de sesión que encuentran — la reutilización es lo que hace que se tomen cuentas. Genere un reemplazo único para cada sitio, cámbiese a un gestor de contraseñas (Bitwarden, 1Password, KeePass) y active 2FA siempre que pueda.
¿Por qué usar esto si mi gestor de contraseñas ya audita filtraciones?
Para comprobaciones puntuales — una contraseña que vio en un post de filtración, la pregunta de un colega de "¿esto es seguro?", o una contraseña que aún no ha metido en un gestor. Si ya usa 1Password Watchtower o Bitwarden Reports para toda su bóveda, no necesita esto para esas.
Podemos hacerlo — ¡y es gratis! Solo envíanos un mensaje rápido con tu idea. Si quieres comentarla en detalle, déjanos tu email y te responderemos. Puedes mantener el anonimato.
