Credential Stuffing: el riesgo de repetir contraseñas y cómo protegerse

El credential stuffing (o relleno de credenciales) es un tipo de ciberataque en el que los actores maliciosos utilizan usuarios y contraseñas que hayan sido filtradas para iniciar sesión en cuentas y servicios distintos al que sufrió la filtración.

El éxito de estos ataques se vale del hábito de reutilizar la misma contraseña para diferentes cuentas o servicios. Entonces, si una contraseña se filtra, los atacantes solo deben probarla en otros sitios donde el usuario tenga cuenta, ya que si hay coincidencia, acceden sin necesidad de vulnerar el sistema.

ESET, compañía líder en detección proactiva de amenazas, analiza cómo es un ataque de credential stuffing, por qué son tan efectivos, cuáles pueden ser sus consecuencias y cómo evitarlos.

“Repetir contraseñas es como usar la misma llave para abrir la casa, automóvil, oficina y la caja fuerte. Prestar atención y gestionar las contraseñas correctamente es tan importante como cerrar la puerta de casa con llave. Hábitos simples pueden marcar la diferencia: evitar la reutilización de contraseñas, activar el doble factor de autenticación y usar un gestor seguro son prácticas que necesitamos incorporar para estar protegidos ante este tipo de amenazas y muchas otras”, comenta Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

Cómo inicia un ataque de credential stuffing
El inicio de un ataque de credential stuffing es la obtención por parte del cibercriminal de credenciales filtradas. Estas filtraciones son provocadas por casos de brechas de información en empresas y organizaciones importantes y reconocidas, que involucran la exposición de millones de datos.

Con esa información sensible disponible, y mediante la utilización de bots o scripts automatizados, se realizan pruebas de esas contraseñas en diversos sitios, cuentas o servicios (como Netflix, Gmail, bancos, redes sociales, entre otros). Se llegan a probar miles de inicios de sesión por minuto.

En caso de que se encuentre una coincidencia, se realiza el ingreso a las cuentas. Este acceso sería idéntico al del usuario legítimo, lo que dificulta su detección, ya que no hay una actividad sospechosa como pueden ser los intentos fallidos reiterados.

Casos reales de credential stuffing

PayPal: Entre el 6 y el 8 de diciembre de 2022, PayPal sufrió un ataque de credential stuffing que comprometió cerca de 35.000 cuentas, exponiendo información sensible como nombres, direcciones, fechas de nacimiento y números de identificación tributaria.
Snowflake: Más de 165 organizaciones fueron afectadas cuando atacantes accedieron a cuentas de clientes utilizando credenciales robadas mediante malware tipo infostealer. Aunque no se vulneró directamente la infraestructura de Snowflake, los atacantes aprovecharon la falta de autenticación multifactor y el uso de contraseñas antiguas.

“Las grandes filtraciones de datos son la principal vía por la que los cibercriminales obtienen estas credenciales, y suceden con más frecuencia de la esperada”, agrega el especialista de ESET.

Filtraciones recientes

En junio de 2025, una serie de bases de datos que sumaban 16 mil millones de registros estuvo alojada en repositorios mal configurados que quedaron expuestos y públicos. Aunque la exposición fue temporal, fue suficiente para que los investigadores —o cualquier persona— accedieran a los datos, que incluían combinaciones de usuario y contraseña para servicios como Google, Facebook, Meta, Apple, entre otros.

Pero no fue la única del año: en mayo, el investigador de seguridad Jeremiah Fowler reveló la exposición pública de 184 millones de credenciales de acceso de usuarios de todo el mundo. Allí se incluía información de:

Proveedores de correo electrónico
Productos Apple y Google
Facebook, Instagram, Snapchat, Roblox
Bancos y otras entidades financieras
Plataformas de salud
Portales de gobiernos de varios países

Cómo prevenir un ataque de credential stuffing (según ESET)

No reutilizar una misma contraseña en diferentes cuentas, plataformas y servicios.
Tener contraseñas robustas, seguras y únicas en cada cuenta. Para ello, es útil un gestor de contraseñas, herramienta diseñada para almacenar credenciales de acceso y protegerlas mediante cifrado, además de generar contraseñas complejas y seguras.
Activar el doble factor de autenticación en todas las cuentas y servicios posibles. El segundo factor es clave si una contraseña cae en manos equivocadas, ya que el atacante no podrá acceder sin él.
Verificar si las contraseñas han sido filtradas en alguna brecha de datos (por ejemplo, en haveibeenpwned.com) y cambiarlas de inmediato si es necesario.

¡Comparte en tus redes!

Credential Stuffing: el riesgo de repetir contraseñas y cómo protegerse

Gestores de contraseñas bajo ataque

LibreOffice advierte que documentos creados en Microsoft Office podrían quedar ilegibles en el futuro

WhatsApp lanza nueva función para buscar y organizar fotos, videos y documentos

La digitadura digital el nuevo rostro del control total

La IA malinterpreta las noticias el 45 % del tiempo, según la Unión Europea de Radiodifusión

Rusia limita llamadas por Telegram y WhatsApp y logra reducir estafas en un 40 %

PLD evaluará este sábado implementación de su Línea Organizativa y Electoral

Putin reafirma apoyo a Maduro frente a la creciente presión internacional

Las vacunas no causan autismo, reafirma la OMS tras un nuevo exhaustivo análisis

Reino Unido en alerta por récord de casos de gripe H3N2: escuelas cerradas y hospitales saturados

Video: Joven cristiano denuncia a agentes de la DICRIM por presunto “implante” de un kilo y amenazas de muerte

Donaty enfrenta proceso por arma ocupada en fiesta; revelan que el arma figura registrada a otro propietario

Video: EE.UU. Incauta Gigantesco Petrolero Cerca de Venezuela y Desata Nueva Escalada de Tensión

Video: Escuadrón militar detenido tras responder a ataque de turba haitiana en puesto fronterizo

Credential Stuffing: el riesgo de repetir contraseñas y cómo protegerse

Sigue leyendo Sobre Tema