¿Qué es el relleno de credenciales?
Lectura de 2 min aprox.
El credential stuffing es una técnica de ataque en la que los atacantes introducen automáticamente en otro servicio combinaciones de ID (direcciones de correo electrónico) y contraseñas filtradas en filtraciones de datos anteriores, intentando inicios de sesión no autorizados. Aprovecha la realidad de que muchos usuarios reutilizan la misma contraseña en varios servicios, lo que convierte la reutilización de contraseñas en el principal factor de riesgo. Según el Verizon DBIR de 2024, alrededor del 86% de los ataques a aplicaciones web utilizan credenciales robadas, y esta tendencia se intensifica cada año.
Cómo funciona el ataque
Los atacantes primero obtienen bases de datos filtradas que se compran y venden en la dark web y otros lugares. Una de estas bases de datos contiene desde millones hasta miles de millones de combinaciones de ID y contraseña. Luego, utilizando botnets y herramientas de automatización, introducen masivamente estas credenciales en los formularios de inicio de sesión del servicio objetivo. Las cuentas de los usuarios que reutilizan sus contraseñas son vulneradas fácilmente con este ataque.
La realidad de los datos filtrados se explica en detalle en libros sobre filtraciones de datos y ciberdelincuencia (Amazon).
Casos de uso reales
«Al revisar los registros del WAF, detectamos unos 2 millones de ataques de credential stuffing durante un periodo de seis horas a partir de las 22:00 de anoche. Las IP de origen estaban distribuidas en más de 50 países, lo que sugiere el uso de una botnet.»
Flujo del ataque
Medidas de defensa
La medida más eficaz es usar una contraseña diferente para cada servicio. Al generar una contraseña aleatoria para cada servicio con passtsuku.com y gestionarlas en un gestor de contraseñas, aunque se produzca una filtración en un servicio, puedes bloquear por completo su impacto en los demás. También es importante comprobar periódicamente en servicios como Have I Been Pwned si tu dirección de correo electrónico figura entre los datos filtrados.guías prácticas de gestión de contraseñas (Amazon) también son referencias útiles.
¿Te resultó útil este artículo?