Credential stuffing:
El peligro de repetir contraseñas que nadie te contó
¿Cómo funciona el ataque de credential stuffing?
El inicio de un ataque de credential stuffing es la obtención por parte del cibercrimen de credenciales filtradas (existen sobrados casos de brechas de datos, de empresas y organizaciones importantes y reconocidas, que involucran millones de datos).
Con esa información sensible disponible, y mediante la utilización de bots o scripts automatizados, realizan pruebas en diversos sitios, cuentas o servicios (léase Netflix, Gmail, bancos, redes sociales, entre tantas otras). Hablamos de que prueban miles de logins por minuto.
En caso de que encuentren una coincidencia, sería como el ingreso de un usuario legítimo, lo que dificulta su detección, ya que no hay una actividad sospechosa como serían los intentos fallidos reiterados.
¿Por qué es tan efectivo?
Por la costumbre extendida de reutilizar contraseñas para distintas cuentas. Para dimensionar lo común que es este mal hábito, NordPass compartió recientemente una encuesta en la que afirma que el 62% de los estadounidenses confiesa reutilizar una contraseña “a menudo” o “siempre”. Todo un síntoma.
Filtraciones de datos: la clave para un ataque de credential stuffing
Las grandes filtraciones de datos son la principal vía por la que los cibercriminales obtienen estas credenciales. Y suceden con más frecuencia de la esperada.
En junio de 2025, por ejemplo, una serie de bases de datos que sumaban 16 mil millones de registros estuvo alojada en repositorios mal configurados que quedaron expuestos y públicos. Aunque la exposición fue temporal, fue suficiente para que los investigadores, o cualquier persona, accedieran a los datos, que incluían combinaciones de usuario y contraseña para servicios online como cuentas de Google, Facebook, Meta, Apple, entre otros.
Pero no fue la única del año: en mayo, el investigador de seguridad Jeremiah Fowler reveló la exposición pública de 184 millones de credenciales de acceso de cuentas de usuarios de todo el mundo. Allí se incluían información de diversos proveedores de servidores de correo electrónico, productos de Apple, Google, Facebook, Instagram, Snapchat, Roblox, por nombrar solo algunos. No solo eso: entre los registros había credenciales de bancos y otras entidades financieras, plataformas de atención de salud y portales de gobiernos de varios países.
Cómo evitar un ataque de credential stuffing
Hay varias acciones concretas que podemos tomar para reducir sensiblemente el riesgo de ser víctimas de un ataque de credential stuffing.
1) Fundamental: No reutilizar una misma contraseña en diferentes cuentas, plataformas y servicios. Este punto es clave.
2) Tener contraseñas robustas, seguras y únicas en cada una de tus cuentas. Para ello, es muy útil un gestor de contraseñas, herramienta diseñada para almacenar credenciales de acceso y protegerlas mediante cifrado, y que cuenta con una funcionalidad dedicada a generar contraseñas complejas y robustas.
3) Activar el doble factor de autenticación en todas las cuentas y servicios que sea posible. El segundo factor es clave si tu contraseña cae en las manos equivocadas, ya que el ciberatacante no podrá acceder sin él a tus cuentas.
4) Verificar si tus contraseñas o credenciales de acceso ya fueron filtradas en alguna brecha de datos, para cambiarlas de inmediato. Por ejemplo, en el sitio haveibeenpwned.com.
Conclusión
Prestar atención y gestionar nuestras contraseñas correctamente es tan importante como cerrar la puerta de casa con llave. Hábitos simples pueden marcar la diferencia: evitar la reutilización de contraseñas, activar el doble factor de autenticación y usar un gestor seguro son prácticas que necesitamos incorporar para estar protegidos ante este tipo de amenazas y muchas otras.
Podés leer el artículo completo en el siguiente enlace:
Credential stuffing: el riesgo de repetir contraseñas y cómo protegerte