Ciberseguridad · 6 minutos de lectura

Credential stuffing: qué es y cómo funciona este ataque

Credential Stuffing qué es
Imagen: Sean Gladwell (Getty Images).

Durante los últimos años, el volumen de ciberataques ha mantenido una tendencia creciente y hasta acelerada en algunos periodos. Los atacantes solo tienen que ganar una vez, el defensor ha de protegerse todas y cada una. De un tiempo a esta parte, el credential stuffing se ha manifestado como una de las vulneraciones más graves, debido a que un robo de datos da lugar a un segundo ataque, replicándose una y otra vez. ¿Cómo se puede parar los pies a los ciberdelincuentes?

  1. ¿Qué es el credential stuffing?
  2. ¿Cómo funciona un ataque de credential stuffing?
  3. Peligros de ser víctima de credential stuffing
  4. ¿Cómo saber si somos víctimas de este ataque?
  5. ¿Cómo protegerse del credential stuffing?

¿Qué es el credential stuffing?

El credential stuffing, castellanizado como relleno de credenciales o reutilización de credenciales robadas, es una forma de ciberataque masivo que busca penetrar en sistemas que compartan contraseñas previamente robadas de un usuario. Este ataque no usa fuerza bruta, es decir, no trata de averiguar cuál es la contraseña, sino que usa contraseñas que saben que se usaron en el pasado por parte del mismo usuario o de la misma usuaria.

¿Cómo funciona un ataque de credential stuffing?

Las bases del credential stuffing es la saturación de sistemas a la que a menudo nos vemos empujados. ¿Sabes en cuántos lugares de internet te has registrado? Puedes hacer la prueba en esta web para ver dónde has registrado tu email. Aplicaciones, redes sociales, foros, juegos, herramientas de diferentes clases. Quien escribe estas líneas ha desperdigado su usuario por 235 empresas, y eso son solo los registros usando el email principal como usuario.

Cuando los ciberdelincuentes atacan sistemas, en ocasiones son capaces de robar credenciales (usuario más contraseña), y si la persona se ha registrado en algún otro sistema usando los mismos datos, en la práctica es como estar expuesto. El credential stuffing funciona porque reutilizamos usuarios y contraseñas a lo largo y ancho de internet, y los criminales lo saben.

Peligros de ser víctima de credential stuffing

Los peligros innatos a este tipo de ataque respecto a otros es el probable robo de información personal con el que mantener la rueda en marcha. Que te roben la clave del email no solo es importante desde la perspectiva de que te puedes quedar sin él, sino desde una más aterradora: sus datos serán cosechados por empresas criminales profesionalizadas y usados con fines aún más oscuros como fingir ser tú para seguir engañando a la gente.

La gran mayoría de los ataques empresariales nacen de una brecha creada por un humano. Piensa qué pasaría si un atacante tuviese acceso a tu email. Podría enviar malware a compañeros, robar información corporativa o incluso robar otras cuentas de la misma entidad, todo ello desde la comodidad de un acceso robado.

¿Cómo saber si somos víctimas de este ataque?

Algunos sistemas hacen fácil saber si se es víctima de una penetración no autorizada, enviando un mensaje a tus dispositivos cuando localiza un nuevo inicio de sesión. Pero la mayoría son más silenciosos y la única forma de saber si se es víctima es que el ladrón cambie las contraseñas. Claro que, ¿por qué iba a hacerlo, descubrirse y verse aislado de una mina renovable de datos ante el desconocimiento de la víctima?

En entornos como el email, ayuda ver de vez en cuando los enlaces salientes, en busca de alguno no escrito por ti. En redes sociales, puedes ir a ver qué publicaciones has realizado en los últimos días o comprobar los mensajes privados. En apps, conviene revisar de tanto en tanto con quién se comparte información. Uno de los modus operandi de los ciberdelincuentes es entrar, abrir una puerta a otro lugar, y luego acudir de forma periódica a granjear información.

¿Cómo protegerse del credential stuffing?

Para que se de un ataque por reutilización de credenciales robadas, esto es evidente, primero los delincuentes han tenido que robar esas credenciales. De modo que los consejos para evitar este ataque suelen ser los mismos que para otros:

Crear contraseñas únicas

Una contraseña única es una contraseña que solo usamos en un servicio, de modo que ninguno de los servicios que usamos comparten contraseña con ningún otro. Y no, «Palabra23» y «Palabra24» no son sustancialmente contraseñas diferentes, ya que los delincuentes suelen hacer permutaciones de números consecutivos o anteriores. Páginas web como Clave Segura pueden ayudar a generar muchas contraseñas.

Contraseñas largas y repletas de caracteres

La mejor manera de blindar una contraseña ante un ataque de fuerza bruta es usar tantos caracteres como nos permita la aplicación, y a ser posible combinar mayúsculas, minúsculas, números y símbolos. La contraseña dK#{O;R£o]>8V19&W es relativamente segura. No particularmente fácil de escribir, pero sí segura.

Usar la autenticación de dos factores

La autenticación de dos factores (2FA) consiste en un método para autentificarse en sistemas de manera que se requiere al menos dos elementos de cuatro disponibles: algo que tienes, como un teléfono móvil; algo que sabes, como un PIN o contraseña; algo que eres, como huellas dactilares; o dónde estás en el preciso momento en que inicias sesión. Esta forma de entrar a los sistemas es de las más seguras que existe, aunque añade algo de fricción al uso (lo que no está de más en redes sociales, que miramos de forma compulsiva).

Tu opinión cuenta
¿Te ha resultado útil este contenido?
Lo más visto
Credential stuffing: qué es y cómo funciona este ataque
Fraude de dispositivo no reconocible
Los desafíos de seguridad en la era de la inteligencia artificial 
Regulación y cumplimiento en la seguridad de la IA: lo que debes saber
Seguridad internet: ¿qué es y por qué es vital en la empresa?

También te interesará…

6 min
12 junio 2023
El phishing, o correo electrónico fraudulento, es una de las formas de estafa digital más antiguas y con mayor capacidad para reinventarse. Consiste en el envío de emails que simulan...
  6 min
6 min
15 febrero 2023
El llamado phishing, que podría traducirse como ‘pesca’, es una de las formas de estafa digital más antiguas y extendidas. Consiste en el envío de mails que simulan provenir de...
  6 min
7 febrero 2022
Los ciberataques se han convertido en algo habitual, que afectan tanto a grandes empresas como a organismos públicos y pymes. Pero sin llegar tan lejos, en muchos casos se producen...
  min
Lo más visto
Credential stuffing: qué es y cómo funciona este ataque
Fraude de dispositivo no reconocible
Los desafíos de seguridad en la era de la inteligencia artificial 
Regulación y cumplimiento en la seguridad de la IA: lo que debes saber
Seguridad internet: ¿qué es y por qué es vital en la empresa?
LinkedIn Twitter Facebook Whatsapp Email