Skip to content
Email Tools

guide · Gmail Security & 2FA

Cuenta Gmail comprometida: 10 pasos para protegerla rápido

¿Cuenta Gmail comprometida? Actúa en los primeros 30 minutos: recuperar acceso, cambiar contraseña, activar verificación en dos pasos, revisar filtros y aplicaciones de terceros.

Alexis Dollé Por Alexis Dollé · ·
Cuenta Gmail comprometida: 10 pasos para protegerla rápido

En 2024, Google anunció que las claves de acceso (passkeys) se habían utilizado más de mil millones de veces en más de 400 millones de cuentas — un despliegue masivo impulsado en parte por el volumen persistente de robos de cuentas que las contraseñas tradicionales no pueden detener. Si tu Gmail muestra señales de compromiso ahora mismo — correos enviados que no redactaste, una contraseña cambiada que no reconoces, una alerta de inicio de sesión desde una ciudad que nunca has visitado — los próximos 30 minutos son la ventana más importante que tienes. Actúa rápido y podrás bloquear al atacante antes de que instale una persistencia que sobreviva a un cambio de contraseña. Esta guía cubre cada paso: los primeros 30 minutos, las siguientes 24 horas y la postura reforzada para que no vuelva a ocurrir.

Cómo saber si tu Gmail está realmente comprometido

Una cuenta Gmail comprometida muestra al menos una de estas señales: correos en la carpeta de enviados que no redactaste, dispositivos desconocidos en tu panel de seguridad, una contraseña o contacto de recuperación cambiado sin tu acción, contactos que reportan spam desde tu dirección, cargos no autorizados en Google Pay, o filtros y reglas de reenvío de Gmail que no creaste. Una sola anomalía justifica una investigación; dos o más confirman el compromiso.

No todas las alertas son un compromiso real. Una alerta de inicio de sesión desde una ciudad desconocida podría ser tu nodo de salida VPN; una notificación de “inicio de sesión sospechoso bloqueado” significa que Google lo interceptó antes de que el atacante entrara. La distinción importa porque la respuesta es diferente.

Señales definitivas de un compromiso:

  • Correos aparecen en tu carpeta de enviados que no redactaste
  • Tu contraseña de Google, teléfono de recuperación o correo de recuperación fue cambiado sin tu acción
  • La alerta de seguridad de Google dice “Nuevo inicio de sesión en [dispositivo] en [ubicación]” y no lo reconoces, Y el inicio de sesión no fue bloqueado
  • Aparecen filtros de Gmail que no creaste — especialmente los que marcan correos de seguridad como leídos, los archivan o los reenvían a una dirección desconocida
  • Tus contactos reciben spam, enlaces de phishing o solicitudes de dinero que parecen provenir de tu dirección Gmail
  • Tu cuenta de Google Pay muestra transacciones que no autorizaste
  • Tu lista de delegados de Gmail incluye una dirección de correo que no reconoces

Señales que parecen alarmantes pero pueden no ser un compromiso:

  • “Inicio de sesión sospechoso bloqueado” — Google lo detuvo; investiga de todas formas
  • Un inicio de sesión desde una ciudad desconocida que corresponde a una VPN o viaje
  • Una advertencia de “acceso de aplicaciones menos seguras” — es un problema de configuración, no necesariamente un atacante activo

Si ves alguna señal definitiva, trátala como confirmada y procede inmediatamente a la siguiente sección.

Los primeros 30 minutos: recuperar el control

La prioridad en los primeros 30 minutos: iniciar sesión en accounts.google.com, revisar el panel de actividad de seguridad, cerrar sesión en todas las demás sesiones y luego cambiar tu contraseña. Haz estas cuatro cosas antes que nada — en ese orden. Cada otro paso en esta guía asume que has recuperado el control exclusivo de la sesión.

Paso 1: Inicia sesión en accounts.google.com

Abre un navegador de confianza en un dispositivo de confianza (no un ordenador público o compartido). Ve directamente a accounts.google.com — no hagas clic en un enlace de ningún correo, ya que un correo de phishing puede haberte enviado a una página de inicio de sesión falsa idéntica a la de Google. Escribe la URL.

Si puedes iniciar sesión: pasa inmediatamente al paso 2.

Si no puedes iniciar sesión: salta a la sección de recuperación de cuenta.

Paso 2: Revisa la actividad de seguridad

Una vez iniciada la sesión, ve a myaccount.google.com/security. Observa:

  • Eventos de seguridad recientes — cambios de contraseña, modificaciones de información de recuperación o nuevas autorizaciones de aplicaciones que no reconoces
  • Tus dispositivos — cada dispositivo actualmente conectado a tu cuenta aparece aquí. Identifica los que no posees o no reconoces.

Paso 3: Cierra sesión en todas las demás sesiones

En Gmail, haz clic en el ícono de engranaje > Ver toda la configuración > desplázate hasta el final de la pestaña General > haz clic en “Cerrar sesión en todas las demás sesiones web de Gmail”. Esto termina cada sesión activa de Gmail excepto la que estás usando ahora.

Paso 4: No toques nada más todavía

Resiste el impulso de cambiar tu contraseña, activar 2FA o eliminar correos sospechosos antes de haber cerrado sesión en todas las demás sesiones. Si cambias la contraseña mientras el atacante tiene una sesión activa, algún acceso basado en tokens puede persistir. Cierra sesión primero, luego cambia.

Si estás completamente bloqueado: recuperación de cuenta

Si un atacante cambió tu contraseña antes de que pudieras actuar, ve a g.co/recover. El proceso de recuperación de cuenta de Google verifica tu identidad mediante contraseñas anteriores que recuerdas, un número de teléfono de recuperación (si aún tienes esa SIM), un correo de respaldo o un dispositivo de confianza que aún tenga la sesión iniciada. Comienza el intento de recuperación tan pronto como notes el bloqueo.

El proceso de recuperación está diseñado para funcionar incluso cuando un atacante ha cambiado tu correo y teléfono de recuperación. Google usa varias señales:

  • Un número de teléfono de recuperación añadido antes del ataque — si aún tienes esa SIM, Google envía un código ahí.
  • Un dispositivo de confianza previo — si tienes un teléfono o tableta que estaba conectado a esta cuenta Google antes del compromiso y aún no ha cerrado sesión, Google puede usarlo para verificarte.
  • Contraseñas anteriores que recuerdas — Google pregunta por contraseñas que usaste en el pasado. Prueba cualquier contraseña que hayas usado en el último año.
  • La fecha de creación de tu cuenta y patrones de uso recientes de Gmail.

Si la recuperación tiene éxito: se te pedirá que establezcas una nueva contraseña inmediatamente. Hazlo y luego regresa a esta guía en la sección de filtros.

Si la recuperación falla en el primer intento: inténtalo desde otro dispositivo. Si no puedes recuperar la cuenta en absoluto y contiene datos críticos de negocio, presenta una solicitud de soporte a través del portal de soporte de Google Workspace (si tienes un plan de pago).

Cambiar tu contraseña — de la manera correcta

Después de cerrar sesión en todas las sesiones, cambia tu contraseña de Gmail en myaccount.google.com/security. Usa una contraseña de al menos 16 caracteres, única para esta cuenta y sin información personal. Un gestor de contraseñas es la única forma práctica de mantener una contraseña fuerte y única por cuenta — sin uno, la mayoría de las personas reutilizan contraseñas, que es la causa principal de la mayoría de los robos de cuentas.

Ve a myaccount.google.com/security > Contraseña > introduce tu nueva contraseña.

Qué hace fuerte una contraseña en este momento:

  • Al menos 16 caracteres — la longitud supera a la complejidad
  • Sin palabras de tu vida: ni nombre, ni mascota, ni cumpleaños, ni ciudad, ni empleador
  • Nunca reutilizada en ningún otro sitio — el atacante que comprometió tu Gmail probará inmediatamente esa contraseña en tu banco, Amazon, PayPal y cuentas sociales
  • Generada por un gestor de contraseñas (Bitwarden, 1Password, Dashlane) en lugar de inventada por ti

El INCIBE recomienda usar contraseñas únicas y robustas para cada cuenta y activar la autenticación de doble factor, especialmente en cuentas de correo electrónico que sirven como punto de recuperación de otros servicios.

Prueba Mailbird gratis

Activar la verificación en dos pasos y añadir una clave de acceso

La verificación en dos pasos (2SV) es el cambio individual más efectivo para prevenir un nuevo compromiso. Incluso si un atacante obtiene tu contraseña de nuevo, no puede iniciar sesión sin el segundo factor. Las opciones más fuertes de Google son las claves de acceso (resistentes al phishing, vinculadas a la biometría de tu dispositivo) y las llaves de seguridad de hardware. Los códigos SMS son la forma más débil de 2SV y pueden ser interceptados mediante ataques de intercambio de SIM.

Ve a myaccount.google.com/signinoptions/two-step-verification para configurarlo.

Nivel 1 — Claves de acceso (recomendado): Google ha soportado claves de acceso desde 2023 y en 2024 procesó más de mil millones de autenticaciones con passkeys. Una clave de acceso es una credencial criptográfica almacenada en tu dispositivo, vinculada a tu biometría (Face ID, huella dactilar, Windows Hello), que nunca se transmite a ningún servidor — lo que significa que no puede ser objeto de phishing, interceptada ni filtrada en una brecha de datos.

Nivel 2 — Llave de seguridad física (YubiKey, Google Titan): Una llave USB o NFC física que conectas o pulsas para confirmar el inicio de sesión. El atacante necesitaría tanto tu contraseña como la llave física.

Nivel 3 — Google Authenticator o una app TOTP (Authy, 1Password TOTP): Un código de 6 dígitos que cambia cada 30 segundos. Susceptible de phishing en tiempo real por un atacante hábil, pero mucho mejor que los SMS.

Nivel 4 — Códigos SMS: Vulnerables a ataques de intercambio de SIM. Úsalos solo si ninguna otra opción está disponible y migra tan pronto como sea posible.

Para una guía de configuración completa, consulta nuestro artículo dedicado: configuración de la verificación en dos pasos de Gmail.

Eliminar el acceso de aplicaciones de terceros sospechosas

Las aplicaciones de terceros autorizadas para acceder a tu cuenta de Google conservan ese acceso incluso después de cambiar la contraseña — un token OAuth, una vez concedido, no expira cuando cambias tu contraseña. Este es uno de los principales mecanismos de persistencia que usan los atacantes. Después de un compromiso, revisa cada aplicación autorizada y revoca todo lo que no reconozcas o ya no uses.

Ve a myaccount.google.com/connections para ver cada aplicación y servicio con acceso a tu cuenta de Google.

Para cada entrada, pregúntate:

  1. ¿Reconozco esta aplicación o servicio? Si no, revoca inmediatamente.
  2. ¿Cuándo la autoricé? Una marca de tiempo de autorización de una fecha en la que no estabas usando activamente la cuenta es una señal de alerta.
  3. ¿Qué permisos otorgué? Busca aplicaciones con “Leer y administrar tu correo” o “Enviar correo en tu nombre” — tienen acceso completo a la bandeja de entrada. Revoca cualquiera que no hayas autorizado explícitamente.

Como indica la propia documentación de Google: “Si compartes la contraseña de tu cuenta de Google con una aplicación o servicio de terceros, tendrán acceso completo a tu cuenta, lo que puede poner en riesgo la seguridad de tu cuenta.” Los servicios legítimos nunca piden directamente tu contraseña de Gmail — usan OAuth.

Revisar filtros, reenvío, delegación y respuesta automática

Los atacantes instalan rutinariamente filtros de Gmail y reglas de reenvío como primera acción después de obtener acceso — esta persistencia sobrevive a un cambio de contraseña y les permite continuar leyendo tu bandeja de entrada silenciosamente durante meses. Revisa estas cuatro configuraciones en Gmail antes de considerar la cuenta limpia: filtros, direcciones de reenvío, cuentas delegadas y texto de respuesta automática de vacaciones.

Esta configuración está en Gmail > ícono de engranaje > Ver toda la configuración.

Pestaña Filtros y direcciones bloqueadas: Busca filtros que no hayas creado. Patrones comunes de atacantes:

  • Un filtro que coincide con from:(google.com OR accounts.google.com) con la acción “Eliminar” o “Omitir bandeja de entrada” — esto oculta las propias alertas de seguridad de Google
  • Un filtro que reenvía todo el correo a una dirección externa
  • Un filtro que marca todo el correo entrante como leído

Elimina todos los filtros que no reconozcas.

Pestaña Reenvío y POP/IMAP: Mira la sección “Reenvío”. Cualquier dirección de correo externa que aparezca significa que cada correo que recibes se copia a esa dirección en tiempo real. Elimina cualquier dirección de reenvío que no hayas añadido.

Pestaña Cuentas e importación — “Conceder acceso a tu cuenta”: Esta es la delegación de Gmail. Cualquier dirección de correo listada aquí puede leer, enviar y eliminar correos como si fuera tú. Es el mecanismo de persistencia más peligroso porque el acceso delegado no requiere tu contraseña y es invisible en la mayoría de los clientes de correo. Elimina cada dirección delegada que no hayas añadido explícitamente.

Pestaña General — Respuesta de vacaciones: Un atacante puede haber instalado una respuesta automática que le dice a todos los que te escriben dónde estás, o que recopila confirmaciones de respuesta para validar que tu dirección está activa. Revisa y desactiva si está activa.

Verificar tu correo y teléfono de recuperación

La información de recuperación — un correo de respaldo y un número de teléfono de recuperación — es la clave para recuperar la cuenta si vuelves a quedar bloqueado. Después de un compromiso, verifica que ambos apunten a direcciones y números que realmente controlas. Un atacante que añadió su propio teléfono de recuperación tiene una puerta trasera permanente incluso después de que hayas cambiado tu contraseña.

Ve a myaccount.google.com/security y desplázate hasta la sección “Cómo inicias sesión en Google”, luego “Cómo podemos verificar que eres tú”.

Verifica:

  • Correo de recuperación: ¿Muestra una dirección que posees y consultas activamente? Si aparece una dirección desconocida, elimínala inmediatamente y añade la tuya.
  • Teléfono de recuperación: ¿Es el número listado tu SIM activa actual? Si aparece un número desconocido, elimínalo.
  • Dispositivos de confianza: ¿Todos los dispositivos listados son los tuyos?

Después de confirmar que esta información es correcta: añade un segundo correo de recuperación si aún no tienes uno.

Evaluar los daños: enviados, spam y servicios conectados

Una vez que la cuenta está asegurada, evalúa el alcance de los daños. Revisa los enviados para cualquier correo que el atacante haya enviado desde tu dirección, revisa el spam para correos sospechosos que el atacante haya eliminado, consulta la Actividad de Google para acciones realizadas durante el acceso, y lo más importante — identifica cada servicio donde Gmail es tu dirección de restablecimiento de contraseña, porque todos esos están ahora en riesgo.

Carpeta de enviados de Gmail: Ordena por fecha y mira el período del compromiso sospechado. ¿El atacante envió correos haciéndose pasar por ti — pidiendo a tus contactos dinero, tarjetas de regalo o contraseñas?

Spam y papelera de Gmail: Los atacantes a veces se envían correos de restablecimiento de contraseña para otros servicios y luego los eliminan. Ordena el spam y la papelera por fecha y busca correos de confirmación de restablecimiento.

Actividad de Google: Ve a myactivity.google.com y revisa búsquedas, vistas de YouTube, búsquedas de Maps y actividad de Google Shopping durante la ventana de compromiso.

Servicios conectados — el paso más importante: Haz una lista de cada servicio donde alguna vez hayas usado “Iniciar sesión con Google”, establecido tu dirección Gmail como correo de inicio de sesión, o establecido tu dirección Gmail como dirección de restablecimiento de contraseña. Para cada uno de esos servicios, un atacante con acceso a tu Gmail podría haber solicitado un restablecimiento de contraseña, interceptado el correo y cambiado la contraseña de esa cuenta. Empieza con las cuentas de mayor riesgo: banca, inversiones, PayPal, Apple ID, SSO del trabajo.

Para más información sobre la gestión de múltiples cuentas de forma segura, consulta nuestra guía sobre cómo revisar todas tus cuentas de correo en un solo lugar.

Notificar a tus contactos

Si el atacante envió correos desde tu cuenta — a tus contactos, colegas, familia — esas personas pueden haber hecho clic en enlaces maliciosos, respondido con información sensible o enviado dinero. Una notificación breve y honesta es lo correcto, y protege a las personas que confían en ti.

Qué decirles:

  • Tu cuenta Gmail fue comprometida entre [fecha] y [fecha]
  • Cualquier correo de tu dirección durante ese período que pidiera dinero, tarjetas de regalo, contraseñas o que les pidiera hacer clic en un enlace debe tratarse como fraudulento
  • No deben hacer clic en ningún enlace de esos correos y deben cambiar su propia contraseña si introdujeron credenciales
  • Si enviaron dinero o tarjetas de regalo, deben contactar a su banco o al emisor de la tarjeta de regalo inmediatamente

Si esto ocurrió en un contexto laboral, notifica a tu equipo de IT o de seguridad.

Seguridad continua: qué hacer en los próximos 30 días

Asegurar la cuenta en los primeros 30 minutos detiene el sangrado inmediato. Los próximos 30 días consisten en eliminar cada camino de regreso y construir los hábitos que previenen una repetición. Las tres acciones de mayor impacto son: usar un gestor de contraseñas para cada cuenta, mantener claves de acceso o una llave de seguridad física como método 2FA, y ejecutar una verificación de seguridad de Google mensual.

Semana 1:

  • Completa la Verificación de Seguridad de Google — la lista de verificación guiada de Google que revisa dispositivos, aplicaciones conectadas e información de recuperación en una sola sesión
  • Cambia las contraseñas de cada servicio donde Gmail era la dirección de restablecimiento, comenzando con cuentas financieras
  • Configura un gestor de contraseñas si no tienes uno — Bitwarden (gratuito, código abierto) es un sólido punto de partida
  • Activa 2FA en cada servicio que lo soporte, comenzando con tu banco, luego redes sociales, luego todo lo demás

Semanas 2 a 4:

  • Ejecuta de nuevo la Verificación de Seguridad de Google para confirmar que no ha habido nuevo compromiso
  • Revisa cualquier correo recibido durante la ventana de compromiso para ver si el atacante desencadenó otras acciones que omitiste en la primera revisión
  • Considera un cliente de correo de escritorio que se autentique via OAuth moderno — de esta forma, incluso si una aplicación de terceros se ve comprometida, no expone directamente tu contraseña de Google. Mailbird en Windows gestiona Gmail nativamente via OAuth.
Prueba Mailbird gratis

De forma continua (mensual):

  • Ejecuta la Verificación de Seguridad de Google el primer lunes de cada mes — toma dos minutos
  • Revisa las aplicaciones conectadas cada 90 días y elimina todo lo que ya no uses
  • Consulta haveibeenpwned.com para nuevas brechas que involucren tu dirección de correo

Lo que esta guía no cubre

Esta guía cubre cuentas Gmail individuales — personales y Google Workspace. No cubre:

  • Compromiso a nivel de administrador de Google Workspace (una brecha de cuenta de admin requiere contactar al soporte de Google Workspace y una auditoría completa del tenant)
  • Recuperación tras un intercambio de SIM (si el atacante portó tu número de teléfono, el proceso de resolución de fraude del operador es separado)
  • Acciones legales o denuncia a las autoridades (en España, reporta al INCIBE a través de su línea de ayuda en ciberseguridad — 017 — o al Centro Nacional de Ciberseguridad)
  • Recuperación de datos de Gmail (los correos eliminados son recuperables durante 30 días desde la papelera)
  • Simulación de phishing vs. compromiso real (si hiciste clic en algo sospechoso en un dispositivo de trabajo, consulta con IT antes de asumir que tu Gmail personal está involucrado)
Alexis Dollé, fundador de Email Tools
Alexis Dollé
Fundador & Editor

Alexis Dollé, experto en correo electrónico durante más de 10 años. Fundador de Email Tools. Pruebo cada cliente de correo y flujo de seguridad yo mismo, y escribo sobre ellos tal como lo explicaría a un amigo — sin jerga de marketing, sin clasificaciones patrocinadas, cada afirmación respaldada por fuentes.

LinkedIn

Preguntas frecuentes

¿Cómo saber si mi cuenta Gmail ha sido comprometida?

Las señales claras incluyen: correos en los enviados que no redactaste, dispositivos desconocidos en myaccount.google.com/security, contraseña o información de recuperación cambiada sin tu acción, contactos que reciben spam desde tu dirección, cargos no autorizados en Google Pay, y filtros o reglas de reenvío en Gmail que no creaste.

¿Qué es lo primero que debo hacer si mi Gmail ha sido hackeado?

Si aún puedes iniciar sesión, ve inmediatamente a myaccount.google.com/security. Cierra sesión en todas las demás sesiones, luego cambia tu contraseña. Si estás bloqueado, ve a g.co/recover.

¿Puedo recuperar mi cuenta si el atacante cambió mi contraseña e información de recuperación?

Sí. Ve a g.co/recover. Google verifica tu identidad usando contraseñas anteriores que recuerdas, tu teléfono de recuperación (si aún tienes esa SIM), códigos enviados a un dispositivo de respaldo, o preguntas de seguridad. Actúa tan pronto como detectes el bloqueo.

¿Cómo mantienen los atacantes el acceso incluso después de cambiar la contraseña?

Instalan mecanismos de persistencia: reglas de reenvío, delegación de correo, filtros que eliminan alertas de seguridad, y tokens OAuth de aplicaciones de terceros que permanecen válidos incluso después de cambiar la contraseña. Los cuatro deben revisarse y eliminarse, no solo la contraseña.

¿Debería activar passkeys en lugar de SMS para la verificación en dos pasos?

Sí. Las claves de acceso son resistentes al phishing porque nunca abandonan tu dispositivo. Los SMS pueden ser interceptados mediante ataques de intercambio de SIM. Una llave de seguridad física o passkey es la opción más sólida. Los SMS son mejor que nada, pero el nivel de protección más débil.

¿Qué otras cuentas están en riesgo si mi Gmail es comprometido?

Todos los servicios donde usas “Iniciar sesión con Google” o donde Gmail es tu dirección de restablecimiento: banco, PayPal, Amazon, Apple ID, redes sociales. El atacante intercepta los correos de restablecimiento antes que tú. Cambia contraseñas en todas las cuentas vinculadas, comenzando por los servicios financieros.

Fuentes & referencias
  1. Google Support — Proteger una cuenta de Google hackeada o comprometida. Consultado el 2026-05-18.
  2. Google Support — Administrar el acceso de aplicaciones de terceros a tu cuenta de Google. Consultado el 2026-05-18.
  3. Google — Recuperación de cuenta: g.co/recover.
  4. INCIBE — Ciberataques: qué son y cómo prevenirlos. Instituto Nacional de Ciberseguridad de España.
  5. Email Tools — Configuración de la verificación en dos pasos de Gmail.
  6. Email Tools — Cómo cambiar tu contraseña de Gmail de forma segura.