El uso repetido de la misma contraseña en diversas cuentas online puede parecer un atajo inofensivo, pero plantea un riesgo considerable en la vida digital de los usuarios. Esta práctica crea oportunidades perfectas para el «credential stuffing», una técnica utilizada por ciberdelincuentes que consiste en probar combinaciones de nombres de usuario y contraseñas que han sido expuestas en brechas de seguridad anteriores. Si una persona reutiliza sus credenciales, un solo par puede abrir la puerta a múltiples servicios en línea, que de otro modo serían independientes.
El «credential stuffing» es comparable a encontrar una llave maestra que abre tanto la puerta de tu casa como la de la oficina y la caja fuerte, todo a la vez. Obtener esta «llave» puede no ser difícil, ya que la información puede ser extraída de filtraciones de datos previas o mercados del cibercrimen. Además, los atacantes pueden utilizar malware para robar información de dispositivos y navegadores comprometidos.
La facilidad con la que los atacantes pueden llevar a cabo estas ofensivas se ve alimentada por la tendencia de los usuarios a reutilizar contraseñas, incluso en cuentas de alto valor, como las bancarias, de correo electrónico o en redes sociales. Un estudio reciente reveló que un 62% de los estadounidenses reconoce reutilizar contraseñas «a menudo» o «siempre». Una vez encontrados los datos en un lugar, los delincuentes pueden probarlos en múltiples plataformas, utilizando programas automatizados que insertan estas credenciales en formularios de inicio de sesión.
El «credential stuffing» ha sido favorecido por el aumento de malware que roba credenciales directamente y por el uso de scripts de inteligencia artificial que simulan el comportamiento humano para evadir sistemas de defensa básicos, lo que permite a los atacantes probar credenciales a gran escala de forma más efectiva y silenciosa.
Los incidentes recientes han puesto de manifiesto la magnitud del problema. En 2022, PayPal reportó que cerca de 35,000 cuentas de clientes fueron comprometidas a través de esta técnica, mientras que un ataque en 2024 afectó a 165 organizaciones que usaban Snowflake, donde los atacantes accedieron a cuentas mediante credenciales robadas, llevando a algunas empresas a recibir demandas de rescate.
¿Entonces, cómo pueden los usuarios protegerse? La forma más efectiva es nunca reutilizar contraseñas en diferentes servicios. Utilizar un gestor de contraseñas puede facilitar la generación y almacenamiento de contraseñas únicas y fuertes. También es recomendable habilitar la autenticación de dos factores, que proporciona una capa adicional de seguridad. Además, servicios como «haveibeenpwned.com» permiten verificar si las credenciales han sido expuestas en filtraciones, ofreciendo una oportunidad para cambiar las contraseñas de inmediato.
Las organizaciones, por su parte, deben implementar medidas como restringir intentos de inicio de sesión, monitorear actividades inusuales y adoptar sistemas de detección de bots. La autenticación sin contraseña, mediante llaves digitales, también se está volviendo más común y podría hacer que el «credential stuffing» sea obsoleto, aunque su adopción aún es desigual.
El «credential stuffing» es un ataque sorprendentemente simple y escalable que aprovecha las malas prácticas de los usuarios y las brechas en la seguridad. A menos que se adopten prácticas rigurosas de gestión de contraseñas, el riesgo de sufrir un acceso no autorizado seguirá siendo una amenaza persistente y efectiva para los ciberdelincuentes.
Fuente: WeLiveSecurity by eSet.
