El credential stuffing es un tipo de ciberataque en el que los delincuentes utilizan contraseñas filtradas para intentar acceder a cuentas y servicios diferentes al que sufrió la filtración original. Este tipo de ataques se basa en el hábito de reutilizar la misma contraseña en múltiples cuentas, lo que significa que si una contraseña se filtra, los atacantes pueden probarla en otros sitios donde el usuario tenga una cuenta.
Según Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica, «Repetir contraseñas es como usar la misma llave para abrir la casa, el automóvil, la oficina y la caja fuerte. Prestar atención y gestionar las contraseñas correctamente es tan importante como cerrar la puerta de casa con llave. Hábitos simples pueden marcar la diferencia: evitar la reutilización de contraseñas, activar el doble factor de autenticación y usar un gestor seguro son prácticas que necesitamos incorporar para estar protegidos ante este tipo de amenazas y muchas otras».
Casos Reales de Credential Stuffing
Para entender mejor el impacto de estos ataques, ESET repasa dos casos concretos:
Caso PayPal: Entre el 6 y el 8 de diciembre de 2022, PayPal sufrió un ataque de credential stuffing que comprometió cerca de 35.000 cuentas, exponiendo información sensible como nombres, direcciones, fechas de nacimiento y números de identificación tributaria.
Caso Snowflake: Más de 165 organizaciones fueron afectadas cuando atacantes accedieron a cuentas de clientes de Snowflake utilizando credenciales robadas mediante malware tipo infostealer. Aunque no se vulneró directamente la infraestructura de Snowflake, los atacantes aprovecharon la falta de autenticación multifactor y el uso de contraseñas antiguas.
Cómo Evitar Ser Víctima del Credential Stuffing
Para protegerse contra estos ataques, ESET recomienda:
- No reutilizar contraseñas en diferentes cuentas, plataformas y servicios. Utiliza contraseñas robustas, seguras y únicas en cada una de tus cuentas. Un gestor de contraseñas puede ayudarte con esto.
- Activar el doble factor de autenticación en todas las cuentas y servicios que sea posible. Este segundo factor es clave si una contraseña cae en manos equivocadas.
- Verificar si tus contraseñas o credenciales de acceso han sido filtradas en alguna brecha de datos, para cambiarlas de inmediato. Puedes usar herramientas como Have I Been Pwned para comprobarlo.
Adoptar estas prácticas sencillas pero efectivas puede marcar la diferencia entre ser o no ser víctima de un ataque de credential stuffing. Recuerda que la seguridad de tus cuentas está en tus manos.
