Millones de españoles mantienen sus cuentas digitales abiertas en dispositivos que ya no utilizan o que han perdido el rastro. Solo en 2025, más del 60% de los usuarios nunca revisó qué equipos tienen acceso activo a sus perfiles de correo, redes sociales o servicios en la nube. Este artículo revela cómo detectar si alguien más está usando tu cuenta y qué hacer antes de que sea tarde.
La mayoría de plataformas mantiene sesiones activas durante meses sin solicitar nuevas autenticaciones. Un portátil vendido sin cerrar sesión, un móvil prestado o una tablet compartida pueden convertirse en puntos de acceso no autorizados. Sin embargo, el sistema no envía notificaciones claras cada vez que un dispositivo entra en la cuenta desde ubicaciones distintas o con patrones sospechosos.
Qué significa tener un dispositivo vinculado a tu cuenta
Un dispositivo vinculado es cualquier equipo que ha iniciado sesión en tu cuenta y mantiene un token de acceso activo. Esto incluye smartphones, ordenadores, navegadores y aplicaciones de terceros que obtuvieron permisos mediante OAuth 2.0. Cada uno de estos accesos puede sobrevivir al cierre de sesión en un navegador si no se revoca explícitamente.
Estos tokens permiten que el dispositivo acceda a correos, contactos, fotos, documentos almacenados y otros datos sensibles sin solicitar contraseña nuevamente. Plataformas como Google, Microsoft o Apple almacenan estos permisos de forma indefinida hasta que el usuario los cancela manualmente. Por ello, un equipo olvidado sigue teniendo acceso completo aunque ya no lo uses a diario.
La peligrosidad aumenta cuando se trata de dispositivos compartidos o revendidos sin haber cerrado sesión previamente. Un ordenador de segunda mano, una consola vendida o una tablet regalada pueden conservar el acceso a tu cuenta si no tomaste medidas antes de desprenderte del aparato.
Por qué no recibes alertas claras sobre accesos activos
✓ Las plataformas envían notificaciones solo cuando detectan un inicio de sesión nuevo desde ubicación desconocida, no cuando un dispositivo ya autorizado sigue operando
✓ Los tokens de acceso permanecen válidos durante semanas o meses sin requerir reautenticación, lo que impide detectar uso continuado
✓ Muchas aplicaciones de terceros solicitan permisos amplios que sobreviven incluso después de desinstalarlas del dispositivo
✓ Los sistemas de seguridad priorizan la experiencia de usuario sobre alertas frecuentes, evitando notificaciones cada vez que un dispositivo autorizado accede a la cuenta
✓ La mayoría de usuarios nunca revisa la sección de dispositivos vinculados porque desconoce su existencia o considera que el sistema avisará automáticamente ante problemas
Cómo revisar dispositivos vinculados en menos de dos minutos
Accede a la configuración de seguridad de tu cuenta principal desde cualquier navegador o aplicación móvil. En Google, dirígete a myaccount.google.com/device-activity para visualizar todos los equipos con sesión activa. La pantalla muestra tipo de dispositivo, sistema operativo, ubicación aproximada y fecha del último acceso.
Examina cada entrada buscando equipos que ya no reconozcas o que correspondan a ubicaciones donde no has estado recientemente. Si detectas un portátil antiguo, un móvil perdido o un dispositivo desconocido, selecciona la opción «Cerrar sesión» inmediatamente. Este proceso invalida los tokens asociados y expulsa al equipo de tu cuenta sin afectar a otros dispositivos legítimos.
Repite esta revisión cada dos o tres meses para mantener control sobre quién tiene acceso. Además, activa la autenticación en dos pasos para que cualquier intento de inicio de sesión desde un dispositivo nuevo requiera confirmación adicional mediante código SMS o aplicación de autenticación. Cambia tu contraseña si sospechas que alguien más la conoce, porque esto fuerza el cierre de sesión en todos los dispositivos simultáneamente.
Qué hacer si descubres un acceso no autorizado
Revoca inmediatamente la sesión del dispositivo sospechoso desde la consola de seguridad. A continuación, establece una contraseña nueva y robusta generada mediante un gestor de contraseñas para evitar reutilizar claves comprometidas. Verifica que la autenticación multifactor esté activada en todas las plataformas críticas, especialmente correo, banca online y redes sociales.
Revisa también los permisos otorgados a aplicaciones de terceros que pueden haber obtenido acceso mediante OAuth. Accede a myaccount.google.com/permissions y elimina cualquier aplicación que no reconozcas o que ya no utilices. Estos permisos sobreviven al cambio de contraseña si no se revocan manualmente, permitiendo que aplicaciones maliciosas sigan extrayendo datos.
Monitoriza durante las siguientes semanas cualquier actividad extraña en tus cuentas bancarias, correos enviados sin tu conocimiento o cambios en configuraciones de privacidad. Si detectas movimientos sospechosos, contacta con el soporte técnico de la plataforma afectada y considera activar alertas de seguridad avanzadas que notifican cada inicio de sesión desde cualquier lugar o ubicación nueva.
