Qué hacer tras una filtración de datos: guía paso a paso

Si acaba de recibir un aviso de filtración de datos por correo postal, correo electrónico o mensaje de texto, este es el orden que realmente lo protege: confirme que el aviso es real, determine exactamente qué información quedó expuesta, congele su crédito en los tres burós de forma gratuita y active la vigilancia gratuita que ofrece el aviso. Todo lo demás, vigilar sus cuentas, cambiar contraseñas, verificar si existe un acuerdo, viene después de esos primeros pasos. Esta guía explica cada paso en el orden que más importa.
1. Verifique que el aviso sea real antes de hacer clic en algo
Los avisos falsos de filtración de datos son, por sí mismos, un ataque bien documentado. Los estafadores copian el anuncio real de una empresa, agregan un enlace o número de teléfono que ellos controlan, y cuentan con el pánico de «sus datos fueron expuestos» para que usted entregue exactamente la información que la filtración real todavía no expuso: su número de Seguro Social, las credenciales de su banco o el número de su tarjeta, «para verificar su identidad».
Antes de hacer cualquier otra cosa, confirme que el aviso realmente proviene de la empresa que dice ser. No haga clic en el enlace del correo electrónico o mensaje de texto y no llame al número de teléfono impreso en el aviso. En su lugar, abra una nueva pestaña del navegador y escriba usted mismo la dirección del sitio web de la empresa, o llame a un número que ya tenga, de un estado de cuenta, del reverso de su tarjeta o de un recibo anterior. Un aviso de filtración legítimo coincidirá con lo que la empresa publica en su propio sitio oficial.
Ninguna entidad legítima lo llama, le envía un mensaje de texto o un correo electrónico sin previo aviso para pedirle su número de Seguro Social completo, la contraseña de su banco o el código de seguridad de su tarjeta para «confirmar» que usted fue afectado por una filtración. La guía de la FTC sobre estafas de phishing explica las señales exactas: urgencia, un enlace que no coincide exactamente con el dominio real, y una solicitud de información que una empresa real nunca necesitaría de usted para enviar un aviso que ya le envió por correo.
2. Determine exactamente qué información quedó expuesta
Lea el aviso nuevamente y busque los tipos específicos de datos mencionados. Un aviso de filtración debe indicar qué categorías de información estuvieron involucradas, y la respuesta correcta es distinta para cada una. Tratar una filtración de contraseña de la misma manera que una filtración del número de Seguro Social significa que usted reacciona de más y pierde tiempo, o reacciona de menos y deja una exposición real sin atender.
Número de Seguro Social, licencia de conducir u otro número de identificación gubernamental expuesto. Esta es la exposición de mayor gravedad porque puede usarse para abrir crédito nuevo a su nombre durante años. Congele su crédito en los tres burós (paso 3, a continuación) y esté atento a las señales de alerta de robo de identidad que se explican en el paso 7.
Contraseña o credenciales de acceso expuestas. Cambie esa contraseña de inmediato, tanto en el sitio afectado como en cualquier otra cuenta donde la haya reutilizado o haya usado una variación cercana. Esto importa incluso si la cuenta afectada parece poco importante, porque los atacantes prueban las credenciales robadas de forma automática contra bancos, correo electrónico y cuentas de compras.
Número de tarjeta o de cuenta bancaria expuesto. Llame al número que aparece en el reverso de la tarjeta física, no a un número del aviso, y solicite que le reemitan la tarjeta. El fraude con tarjetas es el más fácil de revertir de todos estos casos; las protecciones federales y las reglas de las redes de tarjetas hacen muy poco probable que a usted se le responsabilice por cargos que reporte, pero aun así conviene que le emitan un nuevo número de tarjeta lo antes posible.
Solo dirección de correo electrónico, número de teléfono o dirección postal expuestos. Esto es de menor gravedad por sí solo, pero alimenta la siguiente ronda de phishing, ya que los estafadores ahora conocen un correo electrónico real vinculado a una filtración real y pueden enviar un ataque de seguimiento más convincente. Trate con sospecha adicional, durante meses después, cualquier mensaje inesperado que haga referencia a la filtración.
3. Congele su crédito en los tres burós. Es gratis por ley federal.
Si su número de Seguro Social estaba entre los datos expuestos, esta es la acción de mayor valor de toda esta lista. Un congelamiento de crédito impide que los prestamistas consulten su archivo de crédito para abrir una cuenta nueva, lo que significa que un ladrón de identidad que tenga su número de Seguro Social aun así no podrá abrir una tarjeta de crédito o un préstamo a su nombre.

Desde una ley federal que entró en vigor en 2018, congelar y descongelar el crédito es gratuito en cada uno de los tres burós nacionales, Equifax, Experian y TransUnion, según la guía de la FTC sobre congelamientos de crédito y alertas de fraude. Debe congelar los tres por separado, ya que un congelamiento en un buró no cubre a los otros, y un congelamiento no afecta su puntaje de crédito ni le impide usar sus cuentas existentes. Para conocer los pasos exactos en cada buró, consulte nuestra guía paso a paso para congelar su crédito.
Un congelamiento de crédito es más fuerte que una alerta de fraude, la cual solo pide a los prestamistas que verifiquen su identidad antes de abrir una cuenta, en lugar de bloquear la consulta por completo. La Oficina para la Protección Financiera del Consumidor recomienda un congelamiento específicamente cuando se ha expuesto un número de Seguro Social, exactamente la situación que describe un aviso de filtración de datos.
4. Inscríbase en la vigilancia gratuita que ofrece el aviso de filtración
La mayoría de las empresas que sufren una filtración con información sensible ofrecen a las personas afectadas un período de vigilancia de crédito o protección contra robo de identidad gratuita, con frecuencia de 12 a 24 meses. Ya está pagada como parte de la respuesta de la empresa a la filtración. Prácticamente no hay ninguna desventaja en inscribirse, incluso si también planea congelar su crédito.
Busque en el aviso un código de inscripción y una fecha límite. Estas ofertas suelen tener un plazo limitado, así que si deja el aviso «para después», ponga un recordatorio en su calendario. Anote la fecha en que termina la vigilancia gratuita, porque esa fecha, no el día en que recibió el aviso, es cuando debe reevaluar si desea protección continua.
5. Cambie sus contraseñas y active la autenticación de dos factores
Si se expuso una contraseña, o no está seguro de si fue así, cámbiela, y cámbiela también en cualquier otra cuenta donde haya usado la misma contraseña o una similar. Este es el paso que la gente omite con más frecuencia, y es la razón por la que una filtración se convierte en varias: los atacantes compran listas de pares de usuario y contraseña robados y los prueban de forma automática contra bancos, proveedores de correo electrónico y comercios, una técnica llamada relleno de credenciales (credential stuffing) que solo funciona porque muchas personas reutilizan sus contraseñas.
Active la autenticación de dos factores donde esté disponible, comenzando por su cuenta de correo electrónico, ya que el correo suele ser la cuenta que un ladrón usa para restablecer todo lo demás. La FTC explica cómo funciona la autenticación de dos factores: incluso si un atacante tiene su contraseña de una filtración, un segundo factor, un código de una aplicación o una llave de seguridad, le impide iniciar sesión solo con la contraseña.
6. Vigile sus cuentas y sus reportes de crédito
Revise los estados de cuenta de su banco y sus tarjetas en busca de cargos que no reconozca, incluso los pequeños, ya que los estafadores a veces prueban una tarjeta robada con un cargo mínimo antes de uno mayor. Configure alertas de transacciones a través de la aplicación de su banco si aún no lo ha hecho.

Obtenga sus reportes de crédito a través de AnnualCreditReport.com, el sitio a través del cual los tres burós están obligados por ley federal a proporcionar reportes gratuitos. Los tres burós ahora le permiten revisar su reporte de cada uno de ellos una vez por semana sin costo, según la FTC, así que no hay razón para pagarle a un tercero por un reporte de crédito o una consulta de puntaje de crédito. Busque cuentas que usted no abrió, consultas que no reconoce y una dirección en la que nunca vivió.
7. Si algo ya sucedió, use IdentityTheft.gov
Si ya ve una cuenta nueva que usted no abrió, un aviso de cobranza por una deuda que no es suya, o una declaración de impuestos rechazada porque alguien ya presentó una con su número de Seguro Social, visite IdentityTheft.gov, el sitio gratuito de recuperación de la FTC.
IdentityTheft.gov le pregunta qué sucedió y crea un plan de recuperación personalizado, paso a paso, además de prellenar las cartas, declaraciones juradas y formularios de disputa que necesita enviar a los burós de crédito, a las empresas involucradas, a los cobradores de deudas y, si corresponde, al IRS. Es gratuito y lo administra la FTC, no una empresa privada. Si prefiere reportar la estafa o la filtración en sí sin abrir un caso de recuperación, ReportFraud.ftc.gov es el punto de recepción general de reportes de fraude de la FTC.
8. Verifique si existe un acuerdo
Algunas filtraciones de datos eventualmente generan un acuerdo de demanda colectiva, en el que la empresa aporta dinero a un fondo contra el cual las personas afectadas pueden presentar una reclamación. Muchas no lo hacen, o el litigio todavía está en curso sin un formulario de reclamación disponible, lo cual es común y no significa que no esté pasando nada.
Busque en el rastreador de acuerdos por filtración de datos de RecordingLaw la empresa que le envió el aviso, para ver si existe un acuerdo, en qué etapa se encuentra y, si hay un período de reclamación abierto, el enlace para presentar su reclamación directamente en el sitio oficial del acuerdo. Presentar la reclamación siempre es gratis y siempre se hace en el sitio del administrador oficial, nunca a través de un tercero que lo contacte primero. Si existe un acuerdo, considere que cualquier pago realista será modesto y prorrateado, la mayoría de los reclamantes reciben mucho menos que la cifra máxima que se anuncia como titular, y nunca trate una posible reclamación futura como un sustituto de congelar su crédito hoy.
9. Conozca los derechos de notificación de filtraciones de su estado
Cada estado de EE. UU., además del Distrito de Columbia, tiene su propia ley de notificación de filtraciones de datos que obliga a una empresa a informarle cuando su información personal queda expuesta, aunque los detalles de qué cuenta como información personal, con qué rapidez debe notificarle la empresa y qué sanciones aplican varían según el estado.

California es actualmente el único estado que otorga a los consumidores un derecho directo e individual para demandar por ciertas filtraciones de datos, bajo la Ley de Privacidad del Consumidor de California (CCPA), cuando la falta de una empresa en mantener procedimientos de seguridad razonables provoca el robo de categorías específicas de información personal sin cifrar. En todos los demás estados, el camino realista de una persona después de una filtración pasa por una demanda colectiva y no por una demanda individual. Consulte nuestra guía de leyes de privacidad de datos por estado para conocer la notificación y los derechos específicos de donde usted vive.
Cuándo podría valer la pena considerar la vigilancia paga
Los pasos gratuitos anteriores, un congelamiento de crédito y la vigilancia que ya incluye el aviso de filtración, son suficiente protección para la mayoría de las personas después de la mayoría de las filtraciones. Vale la pena considerar un servicio de protección de identidad pago principalmente en dos situaciones: cuando su período de vigilancia gratuita de la filtración ya terminó y usted quiere que continúe, o cuando desea una cobertura más amplia que la que ofrece el aviso de filtración, como vigilancia de la dark web para las credenciales de sus cuentas existentes o vigilancia en más de un buró de crédito a la vez.
Vigilancia de identidad más amplia después del período gratuito
Aura vigila su propio crédito, su número de Seguro Social y sus cuentas en busca de fraude nuevo, y agrega alertas de la dark web. Considérelo después de que su crédito esté congelado y haya terminado cualquier vigilancia gratuita de la filtración, o si desea una cobertura más amplia que la de un solo buró.
Vea la cobertura de AuraDivulgación de afiliados: si se registra a través de este enlace, podemos ganar una comisión, sin costo adicional para usted. Más información
Preguntas frecuentes
¿Cuál es lo primero que debo hacer después de recibir un aviso de filtración de datos?
Confirme que el aviso sea genuino antes de actuar según él. Vaya al sitio web oficial de la empresa escribiendo usted mismo la dirección, o llame a un número que ya tenga en una factura o tarjeta, en lugar de hacer clic en un enlace o marcar un número impreso en el aviso.
¿Es seguro hacer clic en el enlace de un correo electrónico o mensaje de texto sobre una filtración de datos?
Trátelo como inseguro por defecto. Los avisos falsos de filtración que imitan a una empresa real son un ataque documentado, y la FTC advierte que las empresas legítimas no le piden confirmar su número de Seguro Social, las credenciales de su banco o el número de su tarjeta a través de un enlace en un mensaje no solicitado.
¿Necesito congelar mi crédito si mi número de Seguro Social quedó expuesto?
Un congelamiento de crédito es la protección gratuita más fuerte disponible cuando se expone un número de Seguro Social, porque impide que los prestamistas abran crédito nuevo a su nombre aunque alguien tenga su número. Es gratuito en los tres burós por ley federal y no vence por sí solo.
¿Congelar mi crédito afecta mi puntaje de crédito?
No. Un congelamiento de crédito no afecta su puntaje de crédito, y no le impide ver sus propios reportes ni usar sus tarjetas de crédito existentes. Solo impide que nuevos prestamistas consulten su archivo para abrir cuentas nuevas.
¿Debo pagar por vigilancia de crédito justo después de una filtración de datos?
No como primer paso. Inscríbase primero en cualquier vigilancia gratuita que ya ofrezca el aviso de filtración y congele su crédito, ya que esos dos pasos gratuitos cubren la mayor parte de lo que vende la vigilancia paga, y considere un servicio pago solo para una cobertura más amplia o después de que expire el período gratuito.
¿Qué es IdentityTheft.gov y tiene algún costo?
IdentityTheft.gov es un sitio gubernamental federal gratuito, administrado por la FTC, que crea un plan personalizado de recuperación por robo de identidad y prellena las cartas, declaraciones juradas y formularios de disputa que necesita enviar a los burós de crédito, a las empresas y a los cobradores de deudas.
¿Cómo sé si existe un acuerdo de demanda colectiva por la filtración que me afectó?
Revise el rastreador de acuerdos por filtración de datos de RecordingLaw para la empresa que le notificó. No todas las filtraciones producen un acuerdo, y si existe uno, es posible que aún esté en litigio sin un formulario de reclamación disponible todavía, así que este es un paso que se debe dar después de haber protegido su crédito y sus cuentas, no en lugar de hacerlo.
¿Puedo demandar directamente a una empresa después de una filtración de datos?
En la mayoría de los estados, el camino realista de una víctima individual de una filtración es unirse a una demanda colectiva o esperar su resultado, en lugar de presentar una demanda individual, aunque los hechos de una filtración específica pueden variar. California es actualmente el único estado que otorga a los consumidores un derecho privado directo para demandar por su cuenta por ciertas filtraciones de datos, bajo la Ley de Privacidad del Consumidor de California (CCPA).
¿Por cuánto tiempo debo mantener un congelamiento de crédito?
No existe la obligación de levantar nunca un congelamiento de crédito. Muchas personas los dejan vigentes de forma indefinida y solo los levantan temporalmente, en un buró específico, cuando realmente están solicitando crédito nuevo.
Fuentes y referencias
- Congelamientos de crédito y alertas de fraude(consumer.ftc.gov).gov
- IdentityTheft.gov: pasos de recuperación tras una filtración de datos(identitytheft.gov).gov
- Cómo reconocer y evitar estafas de phishing(consumer.ftc.gov).gov
- Use la autenticación de dos factores para proteger sus cuentas(consumer.ftc.gov).gov
- Reportes de crédito gratuitos(consumer.ftc.gov).gov
- AnnualCreditReport.com, el sitio oficial para reportes de crédito gratuitos(annualcreditreport.com)
- ReportFraud.ftc.gov(reportfraud.ftc.gov).gov
- ¿Qué es un congelamiento de crédito o de seguridad en mi reporte de crédito?(consumerfinance.gov).gov