ESET, compañía líder en detección proactiva de amenazas, advierte sobre el peligro de reutilizar contraseñas en múltiples cuentas y servicios, una práctica que puede dejar a los usuarios expuestos a ataques de credential stuffing (o relleno de credenciales). La empresa explica en qué consiste esta amenaza, por qué es tan efectiva y cómo protegerse.
Qué es el credential stuffing y por qué funciona
El credential stuffing es un tipo de ciberataque en el que los delincuentes utilizan combinaciones de usuario y contraseña filtradas para intentar acceder a otras cuentas del mismo usuario en diferentes plataformas. El éxito de este método radica en un hábito común: usar la misma contraseña para varios servicios.
Si una clave se filtra en una brecha de datos, los atacantes solo necesitan probarla en otros sitios —bancos, redes sociales, servicios de streaming, entre otros— para lograr el acceso sin vulnerar directamente el sistema.
"Repetir contraseñas es como usar la misma llave para abrir la casa, el automóvil, la oficina y la caja fuerte. Hábitos simples como evitar su reutilización, activar el doble factor de autenticación y usar un gestor seguro pueden marcar la diferencia", afirma Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.
Cómo se ejecuta un ataque
Obtención de credenciales filtradas: estas provienen de brechas en empresas y organizaciones que exponen millones de datos.
Pruebas automatizadas: mediante bots o scripts, los atacantes prueban miles de combinaciones de usuario y contraseña por minuto en múltiples servicios.
Acceso no detectado: si las credenciales coinciden, el ingreso se realiza como si fuera el usuario legítimo, dificultando la detección al no registrarse múltiples intentos fallidos.
Casos recientes
PayPal (diciembre 2022): un ataque comprometió cerca de 35.000 cuentas, exponiendo datos sensibles como nombres, direcciones y números de identificación fiscal.
Snowflake: más de 165 organizaciones fueron afectadas cuando atacantes ingresaron con credenciales robadas mediante malware infostealer, aprovechando la falta de autenticación multifactor y el uso de contraseñas antiguas.
En 2025, las filtraciones continuaron:
Junio: bases de datos con 16.000 millones de registros quedaron expuestas temporalmente por repositorios mal configurados, incluyendo combinaciones de usuario y contraseña para Google, Meta, Apple y otros servicios.
Mayo: se reveló la exposición pública de 184 millones de credenciales pertenecientes a cuentas de correo, redes sociales, bancos, servicios de salud y portales gubernamentales de varios países.
Cómo protegerse del credential stuffing
ESET recomienda adoptar las siguientes medidas:
- No reutilizar contraseñas en diferentes cuentas y servicios.
- Crear claves robustas, únicas y complejas para cada cuenta, preferentemente generadas y almacenadas en un gestor de contraseñas seguro.
- Activar el doble factor de autenticación (2FA) en todas las plataformas posibles.
- Verificar si las credenciales han sido comprometidas utilizando herramientas como Have I Been Pwned y cambiarlas de inmediato si es necesario.
Más información sobre seguridad informática está disponible en el portal de noticias de ESET:
🔗 Ataque de credential stuffing: riesgos de reutilizar contraseñas
Publicar un comentario