En qué consiste el Credential Stuffing y cómo protegerse

FORLOPDjunio 12, 2025/inProtecciónDatos

El credential stuffing, traducido literalmente como «relleno de credenciales», es una técnica maliciosa que consiste en reutilizar combinaciones de nombres de usuario y contraseñas robadas en filtraciones anteriores para intentar acceder a cuentas en otros servicios digitales. Esta práctica se aprovecha de un hábito común entre los usuarios: utilizar la misma contraseña para múltiples plataformas, como redes sociales, servicios de streaming, tiendas online, entre otros.

La esencia de este método reside en la automatización. Los atacantes emplean programas que prueban de forma masiva y rápida miles o incluso millones de combinaciones de credenciales en diversos sitios web. Si un usuario ha usado la misma contraseña en varios servicios, existe una alta probabilidad de que alguna cuenta quede expuesta.

Este tipo de ataque forma parte de los llamados ataques de “fuerza bruta”. A diferencia de los tradicionales, en los que se intentan contraseñas al azar, en el credential stuffing los delincuentes ya tienen una combinación real obtenida ilegalmente, por lo que su enfoque es más dirigido y eficaz. Simplemente prueban esas credenciales en otros servicios digitales con la esperanza de que sean válidas.

¿Cómo se lleva a cabo un ataque de credential stuffing?

Este tipo de ataque suele desarrollarse en dos fases principales:

Obtención de credenciales comprometidas: Los ciberdelincuentes acceden a bases de datos filtradas en brechas de seguridad de plataformas comprometidas. Estas credenciales robadas suelen circular en el mercado negro o foros de internet especializados, donde se compran y venden como mercancía digital. Por ejemplo, pueden obtener datos de acceso de una tienda online afectada por una vulnerabilidad.

Uso masivo de credenciales en otros servicios: Una vez recopilados los datos, los atacantes los utilizan para intentar acceder a cuentas en plataformas distintas a la original, como bancos digitales, plataformas de contenido, redes sociales o comercios electrónicos. Si el usuario afectado ha reutilizado la misma contraseña, el atacante podrá entrar fácilmente.

Medidas para prevenir este tipo de ataques

El credential stuffing es una amenaza creciente, pero puede ser mitigada con buenas prácticas de seguridad. El Instituto Nacional de Ciberseguridad (INCIBE) recomienda lo siguiente:

Activar la autenticación en dos pasos (2FA): Esta medida añade una capa adicional de seguridad, incluso si la contraseña ha sido comprometida. Existen diversas opciones, como códigos por SMS, aplicaciones autenticadoras, reconocimiento facial o huella dactilar.

No reutilizar contraseñas: Una de las formas más efectivas de protección es usar contraseñas únicas para cada servicio. Para facilitar esta tarea, se recomienda el uso de gestores de contraseñas, que permiten almacenar combinaciones seguras y cifradas.

Uso responsable de cuentas corporativas: Las cuentas vinculadas al trabajo deben utilizarse exclusivamente para actividades laborales. Registrarse en servicios ajenos con correos empresariales aumenta el riesgo de exposición de información sensible.

Revisión periódica de credenciales: Es recomendable comprobar de forma regular si tus datos han estado involucrados en filtraciones, utilizando servicios como Have I Been Pwned.

Fuente: newtral

También puedes revisar nuestra categoría de ciberseguridad del blog con tal mejorar la seguridad de tu empresa.

En Forlopd ayudamos a empresas de diferentes sectores a mejorar la seguridad y adaptar sus procesos para cumplir con el Reglamento General de Protección de Datos. Si necesitas saber su tu negocio está tratando adecuadamente los datos sensibles, puedes solicitar una auditoría gratuita a través de este enlace.