Credential stuffing: cuando repetir contraseñas abre la puerta al cibercrimen

El credential stuffing —o “relleno de credenciales”— es un tipo de ciberataque en el que delincuentes digitales utilizan combinaciones de usuario y contraseña previamente filtradas para intentar acceder a otras cuentas del mismo usuario en diferentes plataformas.

Este método se basa en un hábito común: reutilizar la misma contraseña en múltiples servicios. Si una contraseña se filtra en una brecha de datos, los atacantes la prueban automáticamente en redes sociales, correos electrónicos, bancos y otros sitios. Si coincide, acceden sin necesidad de vulnerar el sistema.

¿Por qué es tan efectivo?

• Se apoya en el uso repetido de contraseñas por parte de los usuarios.
• Utiliza bots que prueban miles de combinaciones por minuto.
• El acceso logrado es legítimo, lo que dificulta su detección.
• No genera alertas por intentos fallidos, como otros ataques.

Casos recientes que lo demuestran

• PayPal (2022): Más de 35.000 cuentas comprometidas en tres días, exponiendo datos personales y fiscales.
• Snowflake (2025): Ataque masivo a clientes mediante credenciales robadas por malware, afectando a más de 165 organizaciones.

Brechas de datos masivas

• Junio 2025: Se expusieron 16 mil millones de registros en repositorios mal configurados.
• Mayo 2025: Se filtraron 184 millones de credenciales, incluyendo datos de cuentas bancarias, redes sociales y plataformas gubernamentales.

¿Cómo protegerse?

1. No reutilices contraseñas. Cada cuenta debe tener una clave única.
2. Usa contraseñas robustas. Combina letras, números y símbolos.
3. Activa el doble factor de autenticación (2FA). Añade una capa extra de seguridad.
4. Utiliza un gestor de contraseñas. Herramientas como Bitwarden o 1Password ayudan a generar y almacenar claves seguras.
5. Verifica si tus credenciales han sido filtradas. Sitios como Have I Been Pwned permiten comprobarlo.

“Repetir contraseñas es como usar la misma llave para tu casa, oficina y caja fuerte”, advierte Camilo Gutiérrez Amaya, jefe del laboratorio de ESET Latinoamérica. La gestión responsable de nuestras credenciales es clave para evitar ser víctimas de este tipo de ataques silenciosos pero devastadores.