¿Qué es el "k-anonimato"?

Es una técnica de privacidad que oculta tu consulta entre otras k consultas: un atacante no puede saber cuál de los k+1 resultados te interesaba. HIBP devuelve unos 800 hashes por prefijo (más relleno contra ataques de tiempo), así que ni siquiera un observador de la red puede saber qué contraseña concreta comprobaste.

La contraseña NO está filtrada, ¿significa que es segura?

No necesariamente. "No encontrada en filtraciones" solo quiere decir que no está en HIBP. La contraseña puede seguir siendo débil (corta, predecible). Comprueba también la entropía: nuestro generador la muestra en bits. Segura = 12 caracteres aleatorios o más, no filtrada y usada en un único sitio.

¿No está SHA-1 roto?

Para usos criptográficos, sí, SHA-1 está debilitado. Pero en este caso sirve como una huella rápida para indexar filtraciones, no como primitiva de seguridad. Las filtraciones suelen llegar en texto plano o con hashes MD5/SHA-1; HIBP las normaliza a SHA-1 para la búsqueda. Construir colisiones de SHA-1 no ayuda a un atacante porque nunca ve tu hash completo, solo el prefijo de 5 caracteres.

¿Hay límites de uso?

El endpoint /range/ de HIBP es gratuito e ilimitado (sí, de verdad). Cloudflare cachea las respuestas a nivel global, así que cada consulta es rápida. Puedes comprobar miles de contraseñas.

YourDevToolsPro

Comprobador de contraseñas filtradas

Comprueba si tu contraseña se ha filtrado, sin enviarla a ninguna parte.

LiveFunciona en tu navegador

Comprobación de contraseña filtrada

Comprueba si tu contraseña ha aparecido en alguna filtración pública. Usamos la base de HaveIBeenPwned (850M+ contraseñas). La contraseña completa nunca sale del navegador: solo enviamos los primeros 5 caracteres de su SHA-1.

La contraseña completa nunca sale del navegador: solo enviamos los primeros 5 caracteres hex de su SHA-1 (k-anonymity).

Datos de filtraciones por HaveIBeenPwned: un servicio independiente de Troy Hunt que recopila filtraciones públicas desde 2013.

Comprueba si tu contraseña ha sido filtrada en alguna brecha de datos pública. Consultamos HaveIBeenPwned, un agregado de más de 800 filtraciones con más de 850 millones de contraseñas únicas. Tu contraseña completa nunca sale del navegador: la pasamos por SHA-1 localmente, enviamos solo los 5 primeros caracteres hex a la API (k-anonimato) y comparamos el resto en tu pestaña.

Cómo comprobar una contraseña

Escribe la contraseña en el campo. Está oculta por defecto: pulsa el icono del ojo para mostrarla.
Pulsa "Comprobar" o la tecla Intro.
Espera 1-2 segundos. El resultado aparece en verde (segura) o en rojo (encontrada en filtraciones, con el número de apariciones).
Si está comprometida, cámbiala de inmediato en todas las cuentas donde la uses. Genera una nueva que nunca haya sido filtrada con nuestro generador de contraseñas y luego pásala por el medidor de fortaleza para confirmar que resiste a los ataques habituales.

Casos de uso

Verificar si una contraseña que llevas años usando aparece en una filtración pública. Auditar las contraseñas de tu empresa antes de endurecer la política. Comprobar una contraseña generada en otra herramienta. Saber si una contraseña antigua de tu gestor sigue siendo segura o lleva tiempo comprometida.

Preguntas frecuentes

Sí. El hash SHA-1 se calcula en local mediante la Web Crypto API (crypto.subtle.digest). Enviamos solo los 5 primeros caracteres hex del digest a la API de HaveIBeenPwned. La API devuelve unos 800 hashes que empiezan por ese prefijo y la comparación con tu hash se hace en local. Abre DevTools > Network y solo verás una petición a /range/A1B2C, donde A1B2C es el prefijo público.

Quizá también te interese

Herramientas relacionadas

Generador de contraseñas

Crea contraseñas fuertes y aleatorias de forma criptográfica, sin que salgan del navegador.

Hashes de contraseñas: MD5, SHA, bcrypt

16 algoritmos: MD4, MD5, SHA, SHA-3, RIPEMD, MySQL, NTLM, HMAC, bcrypt, con sal opcional.