Este hábito alimenta una de las técnicas más rentables para los ciberdelincuentes: el credential stuffing, un método que permite aprovechar credenciales expuestas previamente para intentar acceder de forma automatizada a múltiples servicios online.
Este tipo de ataque utiliza credenciales filtradas en brechas anteriores para acceder a múltiples servicios online.
Los ciberdelincuentes automatizan miles de intentos con bots y scripts asistidos por IA.
ESET recomienda contraseñas únicas y activar la autenticación en dos pasos para frenar estos accesos no autorizados
En un entorno donde las filtraciones de datos son cada vez más frecuentes, reutilizar la misma contraseña en varias cuentas puede convertirse en el eslabón más débil de la seguridad digital. Este hábito alimenta una de las técnicas más rentables para los ciberdelincuentes: el credential stuffing, un método que permite aprovechar credenciales expuestas previamente para intentar acceder de forma automatizada a múltiples servicios online.
Desde ESET, compañía líder en ciberseguridad, explican que, a diferencia de los ataques de fuerza bruta, el credential stuffing no consiste en adivinar contraseñas, sino en reutilizar combinaciones reales obtenidas en filtraciones anteriores, mercados clandestinos o a través de malware infostealer que roba datos directamente desde navegadores y dispositivos comprometidos. Si un usuario emplea la misma clave en varios servicios, un único par de credenciales puede dar acceso a cuentas de banca online, correo electrónico, redes sociales o plataformas de comercio electrónico, aunque estos servicios no tengan relación entre sí.
“Este tipo de ataque funciona porque explota un hábito muy extendido: reutilizar las contraseñas. Cuando una sola clave abre varias puertas, una filtración antigua puede convertirse en un problema actual y afectar a toda la vida digital de la víctima”, señala Josep Albors, director de Investigación y Concienciación de ESET España.
El credential stuffing resulta especialmente peligroso porque los atacantes trabajan con credenciales válidas. Al tratarse de combinaciones reales, los intentos de acceso pasan más desapercibidos que en un ataque tradicional de fuerza bruta. Además, los ciberdelincuentes utilizan bots y herramientas automatizadas capaces de probar miles de combinaciones en formularios de inicio de sesión o APIs, rotando direcciones IP y simulando el comportamiento de usuarios legítimos para evitar ser detectados. La incorporación de scripts asistidos por inteligencia artificial ha permitido aumentar la escala y el sigilo de estos ataques, haciéndolos más difíciles de bloquear con medidas básicas.
El impacto puede ser significativo incluso cuando la empresa afectada no ha sufrido una brecha directa. Si los usuarios reutilizan contraseñas filtradas en el pasado, los atacantes pueden acceder a sus cuentas sin necesidad de vulnerar los sistemas actuales del servicio.
Cómo protegerte frente al credential stuffing
Desde ESET recomiendan adoptar medidas sencillas pero decisivas:
“En un entorno en el que las filtraciones de datos son recurrentes y las credenciales robadas circulan durante años, el credential stuffing demuestra que la comodidad puede salir cara. Eliminar la reutilización de contraseñas y activar el segundo factor de autenticación son medidas sencillas que reducen enormemente el impacto de este tipo de ataques. La gestión adecuada de credenciales ya no es opcional: es una práctica básica de seguridad digital”, concluye Albors.