Hola a todos. Hace unos días estuve con unos colegas y uno de ellos me mostró algo que me dejó bastante sorprendido. Me habló de un bot en Telegram que supuestamente puede encontrar las contraseñas que has usado anteriormente con solo proporcionarle tu dirección de correo electrónico.
Al principio pensé que era una broma, pero decidí probarlo. Le di mi email al bot y efectivamente me devolvió una lista con varias contraseñas que había utilizado en diferentes sitios web y plataformas. Según mi amigo, este bot recopila información de brechas de seguridad y filtraciones de datos de diversos sitios, incluyendo redes sociales, tiendas online y videojuegos.
¿Alguien sabe cómo funcionan exactamente estos bots? ¿Es legal que recopilen esta información? Me preocupa un poco la seguridad de mis datos.
esos bots buscan tu email en bases de datos hackeadas que ya están circulando online. cuando hackean una página, las contraseñas se filtran y quedan públicas. el bot solo revisa si tu email aparece en esas listas. no es ilegal porque usan data ya expuesta, pero cambia esas contraseñas ahora mismo.
Lo que describes es súper común hoy en día. Estos bots hacen scraping automático de múltiples fuentes con credenciales robadas. Es simple: toman tu email y lo buscan en bases de datos de brechas de seguridad anteriores. El problema real no es si el bot es legal, sino que al usarlo confirmas que tu email está activo y alguien lo monitorea. Eso te expone a ataques dirigidos después. Te recomiendo asumir que si usaste esas contraseñas antes, ya están comprometidas sin importar lo que diga el bot. Activa autenticación de dos factores donde puedas y usa un gestor de contraseñas para crear claves únicas por servicio. La info que te mostró probablemente es real, pero conseguirla así puede traerte más problemas de seguridad de los que soluciona.
He visto varios de estos servicios y básicamente son agregadores de información comprometida. El bot consulta múltiples bases de datos de filtraciones - HaveIBeenPwned, compilation lists y dumps de foros clandestinos. Muchas empresas han tenido brechas masivas y esa info termina compilada por email. Legalmente es complejo porque técnicamente no roban nada nuevo, solo redistribuyen data ya comprometida. Pero usar estos servicios es riesgoso - algunos bots maliciosos pueden estar recolectando los emails que les das para futuras campañas de phishing. Mejor verifica tu exposición directamente en sitios oficiales como HaveIBeenPwned en lugar de usar bots desconocidos.