Tu cuenta de Google no es solo un correo. Es Gmail, Drive, Fotos (con todas las imágenes que has hecho desde 2015), YouTube, el historial de ubicaciones de tu Android, las contraseñas guardadas en Chrome, los datos de pago de Google Pay y el acceso a servicios donde te registraste con «Iniciar sesión con Google». Perder el control de esa cuenta es como perder las llaves de toda tu vida digital a la vez. Google bloquea más de 100 millones de intentos de phishing al día según su informe de transparencia de 2025.
Lo bueno: Google ofrece las herramientas de seguridad más completas de cualquier proveedor de correo. Lo malo: la mayoría de usuarios no las tiene activadas. Tras configurar la seguridad de nuestra propia cuenta —y ayudar a familiares y amigos a hacer lo mismo—, podemos confirmar que esta guía te lleva 15 minutos y protege años de datos. Si quieres un enfoque global, tenemos una guía sobre cómo saber si te han hackeado y qué hacer.
Paso 1: Revisión de seguridad de Google (5 minutos)
Entra en myaccount.google.com/security-checkup. Google analiza las vulnerabilidades de tu cuenta con un checklist visual: dispositivos conectados que no reconoces, apps de terceros con acceso, contraseñas comprometidas y configuración de 2FA. Google ha mejorado esta herramienta con indicadores de color (verde/amarillo/rojo) para cada área.
En nuestra experiencia, la primera vez que un usuario la ejecuta encuentra al menos 2-3 problemas: una sesión antigua abierta, una app de terceros olvidada o una contraseña comprometida.
Paso 2: Activar la verificación en dos pasos (2FA)
Si alguien obtiene tu contraseña, la 2FA impide que acceda: necesita un segundo factor que solo tú tienes. Por orden de seguridad: llave física (YubiKey 25 €, Google Titan 30 €) > app de autenticación (Google Authenticator, Authy) > notificación push > SMS (susceptible a SIM swapping, pero mejor que nada). Configura al menos dos métodos. Usar un gestor de contraseñas complementa la 2FA con claves únicas por servicio.
Paso 3: Configurar passkeys
Las passkeys sustituyen la contraseña por autenticación biométrica (huella, Face ID, Windows Hello) vinculada criptográficamente a tu dispositivo. No hay contraseña que robar. Google lanzó passkeys en 2023 y en 2026 son el método recomendado por Google, Apple y Microsoft. En menos de 2 minutos tendrás un acceso más seguro que cualquier contraseña + 2FA.
Paso 4: Revisar accesos de terceros
Cada «Iniciar sesión con Google» da acceso a datos de tu cuenta. Con el tiempo acumulas decenas de servicios. Revoca los que no reconozcas en myaccount.google.com/permissions. Cada app es una puerta potencial si sufre una brecha.
Paso 5: Contactos de recuperación
Google permite designar contactos de confianza para recuperar tu cuenta si pierdes el acceso. Configura también correo y teléfono de recuperación actualizados.
Paso 6: Navegación Segura Mejorada
Esta función examina enlaces y adjuntos en Gmail y Chrome en tiempo real, con una base de datos actualizada cada 30 minutos. Según Google, reduce un 35 % los ataques de phishing exitosos. El coste: compartes más datos de navegación. Conviene también saber cómo detectar phishing.
Mi valoración
Llevo configurando seguridad de cuentas Google desde que existía la 2FA básica. Las passkeys son el cambio más significativo: eliminar la contraseña como vector de ataque es un salto cualitativo. Mi configuración: passkeys como método principal, llave YubiKey como respaldo, Navegación Segura Mejorada activada y revisión de accesos cada tres meses. Los 15 minutos que lleva configurar todo son la mejor inversión en seguridad digital.
Preguntas frecuentes
¿Qué hago si me han hackeado la cuenta?
Actúa rápido: entra en accounts.google.com/signin/recovery. Si no puedes acceder, usa el formulario con correo alternativo, teléfono o contactos de recuperación. Una vez dentro: cambia la contraseña, cierra todas las sesiones en myaccount.google.com/device-activity, revoca accesos de terceros y activa 2FA.
¿Merece la pena un gestor de contraseñas además de passkeys?
Sí. En 2026 miles de servicios no soportan passkeys. Bitwarden (gratuito), 1Password o el gestor de Chrome generan contraseñas únicas. Passkeys + gestor + 2FA es la tríada más robusta posible.