Cuándo conviene cerrar una cuenta filtrada en lugar de protegerla

Pasamos el día conectados, creando perfiles y aceptando condiciones sin mirar demasiado la letra pequeña, y mientras tanto vamos dejando un reguero de cuentas, datos personales y contraseñas repartidos por medio internet. Muchas de esas cuentas caen en el olvido, otras terminan apareciendo en filtraciones masivas y, cuando nos queremos dar cuenta, hay correos, IPs o incluso datos bancarios circulando por ahí sin control. ¿Cuándo cerrar una cuenta filtrada? Lo explicamos aquí.

Cuando descubres que una cuenta está comprometida o sospechas que tus datos han acabado en una base de datos filtrada, surge la duda de siempre: ¿basta con cambiar la contraseña o ha llegado el momento de cerrar la cuenta filtrada para siempre? La respuesta no es tan simple, porque depende de qué datos se han expuesto, de cómo usas esa cuenta y de si el servicio permite borrar realmente tu información.

Por qué las cuentas olvidadas son un problema serio

Con los años acumulamos perfiles en redes sociales, foros, tiendas online, servicios de streaming y apps varias que ya ni recordamos, pero que siguen almacenando correos, direcciones, teléfonos y datos bancarios. El problema es que esas cuentas no desaparecen solas, y en muchas ocasiones tampoco se protegen tan bien como deberían.

Una cuenta de usuario no es solo un nombre y una clave: suele incluir datos de identificación personal, direcciones físicas, fecha de nacimiento, métodos de pago e incluso listas de contactos. Todo ese paquete es oro puro para un ciberdelincuente que quiera suplantarte o montar campañas de estafa dirigidas.

Aunque muchas empresas han mejorado sus sistemas de seguridad, estamos acostumbrados a ver cada cierto tiempo noticias de filtraciones con millones de cuentas de todo tipo de servicios. Por eso gestores de contraseñas y herramientas especializadas te avisan cuando detectan que tu email o alguna de tus claves ha aparecido en una brecha de datos.

El gran problema es que, incluso cuando dejas de usar un servicio, tus datos suelen quedarse almacenados durante años. Lo ideal sería que toda cuenta inactiva se desactivara o borrara tras un tiempo razonable, pero en la práctica ocurre pocas veces. Hay ejemplos como Google o Microsoft, que anulan cuentas inactivas durante dos años, o Proton, que actúa al cabo de tres meses, pero siguen siendo excepciones.

Cómo usan tus datos filtrados los ciberdelincuentes

Los atacantes no roban datos por deporte: buscan beneficios económicos, suplantar identidades y explotar tus relaciones personales. A partir de una filtración pueden encadenar varios ataques, incluso contra cuentas que nunca se vieron directamente comprometidas en la brecha inicial.

Con una simple combinación de correo y contraseña filtrada probarán suerte en multitud de servicios diferentes (banca online, redes sociales, tiendas, correo corporativo…), una técnica conocida como credential stuffing. Si reutilizas claves, les estarás abriendo la puerta en más de un sitio sin darte cuenta.

Además, con listas de contactos extraídas de tus cuentas antiguas, pueden lanzar campañas masivas de phishing y smishing muy convincentes, haciéndose pasar por ti o por una empresa de confianza. Tus amigos, clientes o familiares pueden recibir correos o SMS fraudulentos que parecen legítimos porque incluyen datos reales.

Cuando la filtración alcanza información más sensible, como DNI, dirección postal o datos financieros, el riesgo se dispara. Con esa información pueden contratar servicios, abrir líneas telefónicas, intentarlo con préstamos o realizar cargos indebidos en tus tarjetas, complicándote seriamente la vida y obligándote a pelearte con bancos y organismos oficiales.

En el caso de empresas, una brecha puede exponer código fuente, propiedad intelectual, listas de clientes o credenciales internas. Esto se traduce en espionaje, chantajes, sabotaje y, a menudo, en un daño reputacional difícil de reparar.

Qué hacer cuando descubres que se han filtrado tus datos

Enterarse de que tu correo, tus contraseñas o tu IP han aparecido en una filtración genera bastante angustia, pero lo importante es actuar rápido y con método, siguiendo guías sobre qué hacer paso a paso. No puedes borrar la base de datos filtrada, pero sí reducir al mínimo el impacto y dificultar futuros abusos.

Lo primero es identificar en qué servicio se ha producido la filtración y qué tipo de información se ha visto comprometida. Lo más prudente es asumir que todos los datos que facilitaste a esa empresa podrían estar comprometidos, aunque solo se hayan mencionado algunos en la noticia.

Si se han filtrado contraseñas, el paso inmediato es cambiarlas en el servicio afectado y en cualquier otra página donde hubieras reutilizado esa misma clave o una variante parecida. Hazlo cuanto antes, sin dejarlo para después, porque los atacantes suelen explotar las brechas muy rápido.

Aprovecha para revisar el apartado de seguridad de la cuenta y comprobar inicios de sesión recientes, dispositivos conectados y sesiones abiertas. Si el servicio lo permite, cierra todas las sesiones activas y vuelve a iniciar sesión solo desde tus propios dispositivos.

Si en la cuenta comprometida tenías datos de pago guardados (tarjetas, cuentas bancarias, PayPal u otros medios digitales), toca vigilar la actividad bancaria y los movimientos de tus tarjetas. Aunque muchos servicios utilizan pasarelas de pago externas y tokenizadas, nunca está de más revisar cargos extraños y, si ves algo raro, hablar con tu banco para bloquear tarjetas o cuentas.

Cuándo tiene sentido cerrar una cuenta filtrada

La gran pregunta es en qué momento deja de ser suficiente cambiar la contraseña y reforzar la seguridad, y pasa a ser razonable cerrar la cuenta afectada. No todas las situaciones son iguales, pero hay varios casos en los que el cierre es muy recomendable.

Si se trata de un servicio que ya no usas, pero en el pasado le diste datos personales, información de pago o una lista grande de contactos, lo más sensato es eliminar la cuenta por completo siempre que la plataforma lo permita. Mantenerla abierta solo amplía el tiempo en el que esos datos pueden quedar expuestos en nuevas brechas.

También conviene plantearse el cierre cuando un servicio ha sufrido múltiples incidentes de seguridad y no demuestra haber aprendido de ellos. Si cada pocos meses hay una filtración nueva o el soporte se muestra opaco sobre lo ocurrido, es señal de que tu confianza no está bien invertida.

En cuentas especialmente sensibles (correo principal, redes sociales que usas a nivel profesional, banca online, almacenamiento en la nube) quizá no puedas cerrar de golpe, pero sí deberías valorar migrar de proveedor si la gestión de la filtración ha sido deficiente. A veces compensa el esfuerzo de cambiar de servicio a cambio de ganar tranquilidad a medio plazo.

Por último, si una cuenta es objeto constante de intentos de acceso pese a tenerla protegida con buenas contraseñas y autenticación en dos pasos, una opción radical es dejar de usar esa dirección de correo como identificador principal y crear un alias o un correo nuevo para tus servicios más importantes.

Cómo localizar y limpiar cuentas antiguas e inactivas

Antes de decidir qué cerrar, hace falta saber qué tienes por ahí perdido. Para eso, tu mejor aliado es un gestor de contraseñas moderno, ya sea uno independiente o el integrado en tu navegador o sistema operativo, que suele guardar los accesos que has ido utilizando a lo largo de los años.

Muchos gestores incluyen funciones de auditoría que señalan contraseñas reutilizadas, débiles o expuestas en filtraciones. Esa lista es una mina de oro para localizar servicios que quizá ya no uses o que no recordabas que existían, y que ahora conviene revisar con calma.

Si no has usado un gestor de contraseñas desde siempre, otra táctica es buscar en tu correo electrónico principal mensajes con asuntos del tipo “bienvenido”, “verifica tu cuenta”, “confirma tu registro” o similares. Suelen ser el rastro más fiable de cuentas antiguas que creaste en su día y dejaste abandonadas.

Una vez identificadas, entra en cada una de esas cuentas y revisa si tienen opción de eliminar o desactivar permanentemente el perfil. Si la ofrecen, úsala. Si solo permiten desactivarlo temporalmente, valora si te compensa o si prefieres ir más allá utilizando derechos de protección de datos (si te aplican).

Para servicios más rebeldes puedes consultar directorios como JustDeleteMe, donde se recopilan instrucciones detalladas sobre cómo borrar cuentas según cada plataforma, o si directamente es imposible hacerlo desde la web sin abrir un ticket con soporte.

Revisar accesos vinculados con Google, Apple, Facebook y Microsoft

En los últimos años se ha popularizado el inicio de sesión con cuentas de grandes proveedores (el típico botón de “Continuar con Google, Apple, Facebook o Microsoft”). Es cómodo, pero también hace que se te acumulen decenas de apps y servicios conectados a ese mismo perfil.

• En Google: dentro de la configuración de tu cuenta encontrarás un apartado de “Aplicaciones y servicios de terceros con acceso a tu cuenta”. Ahí verás todas las apps web y móviles que has autorizado para usar tu perfil de Google, y puedes revocar el acceso a las que no uses desde hace años.
• En Apple ID: desde Ajustes en iPhone, iPad o Mac puedes ir a tu perfil y buscar la opción “Iniciar sesión con Apple”. Aparecerá una lista de servicios vinculados y podrás eliminar los que ya no te interesen, reduciendo así la cantidad de datos que se comparten con terceros.
• En Facebook: el camino pasa por Configuración y privacidad > Configuración > “Apps y sitios web”, dentro del bloque de actividad y permisos. Verás qué apps se conectan con tu cuenta de Facebook, ya sea para iniciar sesión o para compartir datos de perfil, y tendrás la opción de borrar aquellas integraciones que ya no tienen sentido.
• En Microsoft: desde tu cuenta en línea puedes revisar las aplicaciones y servicios que utilizan tu cuenta de Microsoft como método de acceso y, si hace mucho que no recurres a ellas, editar los permisos o desconectarlas del todo.

Qué hacer cuando un servicio no permite borrar tu cuenta

En el mundo ideal bastaría con pulsar un botón y que toda la información se borrase del sistema y de las copias de seguridad. En la práctica, muchos servicios ponen trabas, ocultan la opción o directamente no ofrecen un borrado real de la cuenta, solo una desactivación superficial.

Si no logras eliminar tu perfil, el siguiente mejor paso es entrar y vaciar toda la información sensible. Cambia el nombre, dirección, teléfono y cualquier dato identificable por información falsa o genérica, y elimina fotos, documentos y publicaciones que puedan conectarte con esa cuenta.

En el caso de listas de contactos, calendario o agendas internas, lo prudente es borrar esos contactos para que sus datos no se usen en futuras campañas de phishing. Puedes exportarlos primero a tu gestor de contactos actual para no perderlos y, después, eliminarlos del servicio viejo.

También conviene revisar cuidadosamente secciones como datos de pago, suscripciones activas y direcciones de envío. Borra métodos de pago guardados, cancela renovaciones automáticas y deja el mínimo rastro posible, especialmente si el sitio no te inspira demasiada confianza.

Además, modifica la contraseña por una clave generada aleatoriamente, muy larga y única, y activa la autenticación de múltiples factores si está disponible. Aunque no vuelvas a usar la cuenta, de este modo la dejas blindada frente a intentos de acceso futuros.

Derecho al borrado y RGPD: un extra para residentes en la UE

Si vives en un país del Espacio Económico Europeo, el RGPD te otorga derechos reforzados sobre tus datos, incluido el derecho de supresión o “derecho al olvido”. Esto significa que puedes exigir a un servicio que borre tu información personal en determinadas circunstancias.

Para ejercerlo, normalmente tendrás que consultar la política de privacidad del servicio, donde deberían explicar cómo solicitar la eliminación de datos y a qué correo o formulario dirigirte. En muchas ocasiones habrá que enviar una petición específica, y en algunos casos demostrar tu residencia en la UE.

Es importante no sobrescribir antes todos los datos de la cuenta con información ficticia si planeas ir por esta vía, porque puede que el proveedor necesite verificar tu identidad real para tramitar correctamente el borrado.

Si la empresa ignora tu solicitud o se niega a ejercer tu derecho sin una causa justificada, puedes acudir a tu Autoridad de Protección de Datos nacional (en España, la AEPD) y presentar una reclamación. En función del caso, incluso podrías tener derecho a una compensación.

Ten en cuenta, eso sí, que hay situaciones en las que la empresa está obligada por ley a conservar ciertos datos, por ejemplo en temas fiscales o contables. En esos casos, el borrado puede limitarse a la información estrictamente necesaria mientras se bloquea el resto.

Cómo saber si tu correo o tus cuentas han sido filtradas

No existe una base de datos universal donde puedas buscar toda tu información, pero sí hay herramientas que permiten comprobar si un correo electrónico o una contraseña concretos han aparecido en brechas conocidas.

Sitios como Have I Been Pwned, o los propios escáneres de brechas integrados en gestores de contraseñas, pueden alertarte cuando tu email figura en colecciones de datos filtrados. También algunas soluciones comerciales monitorizan la aparición de tus correos o tarjetas de crédito en la dark web.

Más allá de estas herramientas, es clave estar atento a señales de actividad inusual: correos avisando de inicios de sesión desde países raros, mensajes de restablecimiento de contraseña que no has pedido, publicaciones extrañas en tus redes o suscripciones que no recuerdas haber contratado.

En cuentas como las de Microsoft, Google o Apple puedes revisar los registros de actividad reciente para ver desde qué dispositivos y ubicaciones se ha accedido. Si detectas algo que no reconoces, márcalo como actividad sospechosa y sigue el proceso de protección que ofrecen.

Y, cuando un proveedor importante anuncia una filtración y tú eres cliente, aunque no te llegue un correo específico, actúa como si tuvieras probabilidades razonables de estar afectado y aplica las medidas de seguridad que hemos comentado.

Si integras una serie de rutinas en tu día a día digital (revisar periódicamente tus cuentas, usar buenas contraseñas, activar factores adicionales de seguridad y eliminar perfiles que ya no usas), cada filtración futura tendrá menos capacidad de afectarte y te resultará mucho más sencillo decidir cuándo basta con reforzar una cuenta y cuándo merece la pena cerrarla para siempre.