Password Checkup de Google: cómo funciona y qué límites tiene

Ante un panorama cada vez más complicado y lleno de riesgos, proteger las contraseñas de nuestras cuentas online ya no es algo opcional ni solo “para expertos en informática”. Google es consciente de ello y, para echar una mano, creó Passwortprüfung, una función que permite comprobar si nuestras claves han aparecido en alguna filtración conocida y si son lo bastante seguras. V

En este artículo vamos a ver qué es exactamente, cómo funciona, qué comprueba y qué puedes hacer si descubre que alguna de tus contraseñas está en riesgo. El objetivo: evitar que tus credenciales terminen circulando por la dark web, un auténtico mercadillo clandestino donde se compran y venden nombres de usuario y claves a gran escala.

Qué es Google Password Checkup y para qué sirve

Password Checkup es una herramienta de seguridad de Google diseñada para avisarte cuando una de tus contraseñas ha sido comprometida en una brecha de datos o no cumple unos mínimos de seguridad. Nació originalmente como una extensión gratuita de Chrome y, con el tiempo, se ha ido integrando en el Google Passwort-Manager y en la Revisión de seguridad von Ihrem Konto.

La idea es sencilla: cada vez que inicias sesión o revisas tus claves almacenadas, el sistema las contrasta con una base de datos gigantesca de credenciales filtradas que Google mantiene actualizada. Si detecta que tu combinación de usuario y contraseña coincide con una que ya se ha hecho pública, te lanza una alerta para que la cambies cuanto antes y, si la has reutilizado, también la modifiques en el resto de servicios.

No se queda solo en avisarte de fugas. Password Checkup también evalúa si tus claves son demasiado débiles, fáciles de adivinar o repetidas en diferentes páginas. Así, no solo te protege de filtraciones pasadas, sino que te ayuda a no ponérselo tan fácil a posibles atacantes en el futuro.

Google desarrolló esta herramienta en colaboración con investigadores de criptografía de la Universidad de Stanford, con el objetivo de ofrecer una comprobación masiva de contraseñas sin exponer lo que escribes ni revelar tus credenciales reales, algo clave para que el sistema tenga sentido y genere confianza.

Cómo funciona internamente Password Checkup

Uno de los puntos más interesantes de Password Checkup es que trabaja con una base de datos de miles de millones de credenciales filtradas sin que eso signifique que Google pueda ver tus contraseñas en texto plano. La compañía asegura que maneja una colección de más de 4.000 millones de credenciales comprometidas, obtenidas de brechas de seguridad conocidas y ataques que se han hecho públicos.

Para evitar riesgos, Google almacena estas credenciales en una versión cifrada y «hasheada». Dicho de forma sencilla, en lugar de guardar tu contraseña tal cual la escribes, la transforma mediante funciones criptográficas en cadenas irreversibles. Cuando intentas iniciar sesión o cuando se hace una revisión, lo que viaja a los servidores de Google tampoco es tu contraseña real, sino otra cadena cifrada generada a partir de ella.

Este diseño permite que el sistema pueda comparar tus credenciales con las filtradas sin verlas en claro. Si el hash cifrado que produce tu contraseña coincide con algún registro de la base de datos de credenciales expuestas, Password Checkup entiende que esa combinación está comprometida y activa una alerta.

Además, Google indica que el sistema está concebido para dar avisos solo cuando la coincidencia es realmente significativa. Es decir, no te va a acosar con alertas solo porque uses una clave muy común tipo “123456” o “contraseña”, aunque esa clave esté presente millones de veces en la base de datos, sino cuando detecta que esa contraseña concreta, unida a tu usuario o correo, ha aparecido como parte de una filtración específica.

La compañía asegura también que, más allá de estas comprobaciones, únicamente recoge datos agregados y anónimos sobre cuántas credenciales inseguras se detectan, sin enlazarlos con tu identidad ni registrar qué cuentas concretas has revisado o qué sitios web visitas.

Dónde encontrar el analizador de contraseñas de Google

Actualmente, Google ofrece Password Checkup de dos maneras: como extensión de Chrome (la forma en que nació) y como parte del gestor de contraseñas y la Revisión de seguridad de tu cuenta de Google. Así puede llegar tanto a quienes usan extensiones como a quienes prefieren gestionarlo todo desde los ajustes de la cuenta.

Si utilizas Chrome con tu sesión de Google iniciada, puedes acceder al Passwortmanager desde la configuración del navegador o directamente desde tu cuenta de Google en la web. Allí verás un listado de todos los sitios y aplicaciones cuyos datos de acceso están guardados: páginas web, servicios que usas en Android, apps en las que inicias sesión con el autocompletado en Chrome, usw.

Dentro de ese panel se muestra una opción de Revisión de contraseñas o “Comprobación de contraseñas”. Si aparece algún mensaje avisando de que “algunas contraseñas han sido vulneradas” o de que urge revisar tu información de acceso, es señal de que el sistema ya ha detectado posibles problemas y te está invitando a investigarlos.

Para iniciar el análisis manual, tienes que pulsar en el botón del tipo «Ir a Revisión de contraseñas». Google te mostrará una pantalla explicando qué se va a comprobar: si tus credenciales han aparecido en filtraciones, si las repites en varios servicios y si son lo bastante robustas. Después, al hacer clic en «Comprobar contraseñas», se te pedirá introducir la clave de tu cuenta de Google para autorizar la revisión.

Una vez confirmada la identidad, el sistema se encarga de analizar todas las contraseñas guardadas en tu cuenta y clasificar los posibles problemas en tres grandes categorías para que puedas actuar de forma ordenada.

Qué tipos de problemas detecta Password Checkup

Tras ejecutar la revisión, Google Password Checkup te presenta un resumen con el estado de tus claves. Generalmente verás tres grupos diferentes: contraseñas vulneradas, contraseñas reutilizadas y contraseñas poco seguras. Cada bloque incluye un listado de servicios o webs afectados para que pases por ellos uno a uno:

• Contraseñas vulneradas se muestran aquellas credenciales que, según la base de datos de Google, han sido expuestas en alguna brecha de seguridad. Es decir, en algún momento han salido a la luz junto con millones de otras cuentas. En estos casos, la recomendación no admite mucha discusión: hay que cambiar la contraseña de inmediato en ese servicio.
• Contraseñas reutilizadas o no únicas agrupa todas las cuentas en las que usas exactamente la misma clave (y normalmente el mismo correo electrónico). Aunque no hayan aparecido en ninguna filtración, esta práctica es muy arriesgada, porque un solo fallo en una web relativamente poco importante puede abrir la puerta al resto de tus perfiles más sensibles.
• Contraseñas poco seguras o débiles señala aquellas claves que no cumplen unos requisitos mínimos de complejidad. Suelen ser demasiado cortas o demasiado predecibles. El consejo de Password Checkup es sustituirlas por otras más robustas que mezclen mayúsculas, minúsculas, cifras y caracteres especiales.

Lo ideal es tomarse el tiempo necesario para ir resolviendo cada grupo: empezar por las vulneradas, seguir con las repetidas y terminar con las débiles. Puede ser entretenido si tienes muchas cuentas, pero es una inversión en seguridad que te ahorra sustos posteriores.

Integración en la cuenta de Google y en Chrome

Cuando Google presentó Password Checkup por primera vez, lo hizo en forma de extensión gratuita para Chrome, aprovechando el Día de Internet Segura de 2019. Esa primera versión podía instalarse desde la Chrome Web Store y funcionaba de manera bastante directa: cada vez que iniciabas sesión en una web, la extensión comprobaba en segundo plano si los credenciales introducidos aparecían en alguna filtración conocida.

Aunque originalmente estaba más centrada en avisar solo de credenciales filtradas, el servicio se ha ido integrando en el ecosistema de seguridad de Google, ganando funciones relacionadas con la detección de contraseñas repetidas o débiles y ofreciendo una visión más global del estado de tus claves.

Con el tiempo, Google decidió que tenía más sentido que Password Checkup no fuera solo una extensión aislada, sino que formara parte de la experiencia de seguridad general de las cuentas de usuario. Por eso, primero la integró en el panel de Sicherheitsüberprüfung de Google y después la incorporó también al propio navegador Chrome.

Desde ese panel de seguridad, accesible para cualquier cuenta de Google, se revisan distintos aspectos: dispositivos conectados, actividad reciente, formas de verificación en dos pasos y, cómo no, el estado de las contraseñas. Password Checkup pasa a ser una sección más dentro de esta revisión, de modo que puedes chequearlo todo de una sola vez.

Más adelante, Google anunció que la comprobación de contraseñas se integraría aún más en Chrome, de manera que el navegador pudiera advertirte incluso si no estabas logueado con tu cuenta de Google. La idea es que la protección alcance al mayor número posible de usuarios, aunque no todos utilicen el gestor de contraseñas sincronizado.

Todo este esfuerzo se enmarca en una estrategia más amplia de Google, que incluye un gestor de contraseñas integrado en Chrome, sugerencias automáticas de claves robustas al registrarte en nuevas páginas y la promoción constante del uso de la Zwei-Schritt-Verifizierung (2FA) para reforzar todavía más la seguridad de las cuentas.

Qué hacer si una contraseña ha sido hackeada

Si Password Checkup te avisa de que alguna de tus contraseñas ha sido vulnerada, lo primero es mantener la calma y lo segundo, actuar sin dejarlo para otro día. Esa cuenta debe considerarse comprometida, aunque no hayas notado nada raro todavía en tu actividad.

El paso inmediato es entrar en el servicio afectado e iniciar el proceso de cambio de contraseña. Crea una clave nueva totalmente distinta, nada de variar apenas un carácter o añadir un número al final de la anterior. Deja que el gestor de contraseñas de Google o cualquier otro sistema seguro genere una combinación aleatoria y robusta por ti.

Después, conviene revisar si esa misma combinación de usuario y contraseña estaba reutilizada en otros sitios. Si es así, tendrás que ir a cada uno de ellos y cambiar también la clave. Es un poco tedioso, pero es la forma de cortar de raíz cualquier intento de acceso con esos datos filtrados.

En paralelo, es recomendable habilitar la Zwei-Faktor-Authentifizierung en todos los servicios importantes que la ofrezcan: correo, redes sociales, banca, almacenamiento en la nube, etc. De esta manera, aunque alguien consiga la contraseña, necesitará además un código temporal (por SMS, app de autenticación o llave física) para iniciar sesión.

Si sospechas que ya han entrado en tu cuenta (mensajes enviados que no reconoces, cambios de configuración extraños, accesos desde ubicaciones raras), revisa la jüngste Aktivitäten, cierra sesiones abiertas en otros dispositivos y, si es necesario, ponte en contacto con el soporte del servicio para informar de un posible robo de cuenta.

Werkzeuge wie Have I Been Pwned? también pueden ayudarte a confirmar si tu dirección de correo aparece en filtraciones conocidas, complementando la información que te da Password Checkup. Cuantas más señales tengas, mejor podrás dimensionar el problema y actuar en consecuencia.

Buenas prácticas adicionales para reforzar tu seguridad

Además de apoyarte en Password Checkup, hay una serie de buenas prácticas de ciberseguridad que conviene adoptar en el día a día, tanto a nivel personal como en empresas y organizaciones. Ninguna medida por sí sola es infalible, pero el conjunto eleva mucho el nivel de protección frente a ataques masivos y estafas.

• Utilizar certificados de correo seguro que cifren las comunicaciones y las firmas digitales. Se reduce la posibilidad de que se intercepten mensajes sensibles o de que un atacante suplante tu identidad con un correo aparentemente legítimo.
• Educar a todos los miembros de la familia sobre phishing y engaños habituales. Nos referimos a correos o mensajes que intentan que entregues tu contraseña en páginas falsas, descargas maliciosas que roban credenciales, llamadas que se hacen pasar por soporte técnico, etc. Una contraseña robusta sirve de poco si al final la entregas voluntariamente en la web equivocada.
• Mantener el sistema operativo, el navegador y las aplicaciones immer auf dem neuesten Stand. Usar soluciones de seguridad fiables (antivirus, sistemas antimalware), revisar que tu router esté configurado de forma segura y evitar iniciar sesión en cuentas sensibles desde redes Wi‑Fi públicas sin protección adicional como una VPN.
• Establecer el hábito de revisar periódicamente tus cuentas. Pasar de vez en cuando por la Revisión de seguridad de Google, comprobar las sesiones abiertas, revisar los dispositivos conectados y hacer una pasada a tus contraseñas almacenadas para ver si hay algo que no encaja o si llevas demasiado tiempo sin actualizar determinadas claves críticas.

Con todo esto, Password Checkup se convierte en una pieza más dentro de un enfoque de seguridad más amplio: te avisa cuando se produce una filtración que te afecta, te ayuda a detectar malas prácticas con tus contraseñas y te anima a mantener un mínimo de disciplina digital para que tus datos personales, tu dinero y tu identidad estén mucho mejor protegidos frente a los ciberataques cada vez más frecuentes.