Lo que dice la AEPD
Solo 11 de las 2.765 brechas notificadas en 2025 se trasladaron a investigación adicional, por tratarse de casos de severidad alta con indicios de falta de diligencia de la organización. Las que afectan a más personas suelen deberse a ransomware o a intrusiones con exfiltración masiva de datos.
Tres casos que marcaron los últimos años
El vocabulario a conocer
Have I Been Pwned
Servicio gratuito creado por el investigador de seguridad Troy Hunt: introduce tu correo para saber si aparece en una filtración de datos conocida.
Credential stuffing
Un atacante prueba masivamente, en otros sitios, credenciales robadas en una filtración anterior — apostando a que reutilizas la misma contraseña en varios servicios.
Password spraying
Lo contrario del ataque de fuerza bruta clásico: el atacante prueba una contraseña muy común en muchas cuentas distintas, para pasar desapercibido ante los sistemas de detección.
Fatiga MFA
Un atacante que ya posee tu contraseña dispara una ráfaga de solicitudes de verificación por notificación, esperando que termines aceptando por cansancio o error.
El SIM swap, otra técnica ligada directamente a la explotación de datos filtrados, está detallado en el glosario.
Preguntas frecuentes
¿Cómo sé si mis datos han sido filtrados?
Have I Been Pwned (haveibeenpwned.com) es un servicio gratuito, creado por el investigador de seguridad Troy Hunt, que permite comprobar si tu dirección de correo aparece en filtraciones de datos conocidas.
¿España está especialmente afectada por las filtraciones de datos?
La AEPD recibió 2.765 notificaciones de brechas de datos personales en 2025, un volumen que ha generado más de 200 millones de comunicaciones a personas afectadas por riesgo alto — el doble del impacto registrado el año anterior, cuando se estimaban en torno a 100 millones de personas afectadas.
¿Por qué una filtración de datos lleva a llamadas o SMS fraudulentos?
Porque una filtración suele contener nombre, teléfono y a veces datos bancarios o del empleador — suficiente para construir una llamada o SMS creíble y personalizado, mucho más eficaz que un mensaje genérico enviado al azar. El caso Iberdrola lo ilustra: tras la filtración, los clientes afectados empezaron a recibir llamadas comerciales sospechosamente personalizadas con sus propios datos.