Credential stuffing: cómo pequeñas filtraciones de datos se convierten en ataques masivos

Credential stuffing: cómo pequeñas filtraciones de datos se convierten en ataques masivos

¿Alguna vez se ha preguntado cuántas de sus contraseñas "circulan" por la red? Sí, todos hemos oído hablar de filtraciones: se ha filtrado la base de datos de algún foro, se han revelado contraseñas de servicios populares. Pero en las noticias sobre filtraciones rara vez explican qué pasa después. Y después empieza la verdadera aventura, y no para los aficionados, sino para delincuentes profesionales que hacen un negocio importante con nuestras contraseñas antiguas. Aquí entra el credential stuffing: un ataque en el que sus combinaciones antiguas pero aún válidas de usuario/contraseña se usan en su contra.

Hoy vamos a ver cómo una filtración común se transforma en un arma masiva para comprometer miles o millones de cuentas, por qué esto se ha convertido en un dolor de cabeza para prácticamente todos los servicios en línea, y qué puede hacer una persona normal para no convertirse en parte de las tristes estadísticas.

¿Qué es el credential stuffing y por qué es un problema?

El credential stuffing ocurre cuando los atacantes utilizan combinaciones de usuario y contraseña ya robadas para intentar iniciar sesión masivamente en distintos sitios. "Stuffing" en inglés significa "rellenar". Aquí el término viene al caso: los delincuentes literalmente introducen en los formularios de autenticación todo lo que han recopilado en los últimos años de diversas filtraciones. Y, lo peor, funciona.

¿Por qué? Porque la gente es perezosa —y, siendo sinceros, no solo los usuarios, sino también empresas que no tienen recursos para una seguridad costosa. Los usuarios usan la misma contraseña durante años en decenas de sitios. Por eso, si su contraseña del foro "Amantes de la mermelada" apareció en Pastebin, espere problemas tanto en su correo como en su marketplace favorito.

  • La escala del problema: decenas de millones de ataques diariamente.
  • Facilidad para ejecutarlo: software, bases y hasta guías están disponibles en la Darknet.
  • Automatización: los botnets modernos prueban millones de contraseñas por hora con facilidad.

Cómo funcionan los ataques de credential stuffing: esquema en detalle

Es hora de pasar de la teoría a la práctica: veamos cómo se organiza un ataque típico de credential stuffing. Spoiler: no hay nada sobrenatural, y precisamente eso asusta más.

  1. Recolección de la base: los atacantes encuentran o compran bases recientes con usuarios y contraseñas. Normalmente son dumps de filtraciones anteriores.
  2. Preparación de la infraestructura: para el ataque se necesitan proxies para eludir bloqueos y software especializado —por ejemplo, Snipr o Selenium.
  3. Comprobación masiva: miles de bots intentan iniciar sesión en paralelo en los servicios seleccionados, introduciendo los datos de la base.
  4. Análisis de resultados: los accesos exitosos se guardan en una base "válida" separada, que puede usarse para fraudes, robo de dinero o venta.

Los ataques están automatizados al máximo: el atacante simplemente lanza el proceso y espera la cosecha.

¿Por qué el credential stuffing es tan eficaz?

A simple vista parece todo muy simple. Pero en la práctica este enfoque resulta terriblemente eficaz por varias razones:

  • Hábitos de los usuarios: la mayoría no cambia las contraseñas durante años y las reutiliza.
  • Automatización masiva: potentes botnets y software especializado permiten atacar miles de sitios simultáneamente.
  • Falta de protección adicional: muchos servicios no requieren un segundo factor al iniciar sesión y, a veces, ni siquiera limitan los intentos de acceso.
  • Disponibilidad de filtraciones: las bases con contraseñas se venden o se distribuyen en la Darknet y, a veces, incluso en foros públicos.

Sumemos a esto el hecho de que, para muchas empresas, complicar el acceso resulta costoso desde el punto de vista del negocio, y obtenemos condiciones ideales para el atacante.

Ejemplos reales: cuando el credential stuffing rompe hasta a los gigantes

El credential stuffing ha sido la causa de escándalos sonados —y no solo en servicios pequeños. Aquí algunos casos destacados:

  • Nintendo (2020): alrededor de 160 000 cuentas fueron comprometidas mediante credential stuffing. A muchos usuarios les cargaron dinero en sus tarjetas.
  • Disney+ (2019): pocos días después del lanzamiento, decenas de miles de cuentas quedaron comprometidas: datos de filtraciones antiguas permitieron a los atacantes acceder al servicio de inmediato.
  • British Airways, Ticketmaster y otros: después de grandes filtraciones, las credenciales de los clientes se probaron en todas las grandes plataformas —algunas no resistieron.

¿Qué une estos casos? El problema no fue la brecha en el servicio atacado, sino que los usuarios ya habían expuesto sus contraseñas en otros sitios.

¿Qué bases se usan para los ataques y de dónde provienen?

Las bases para credential stuffing son el resultado de filtraciones grandes y pequeñas acumuladas durante años. Hay muchos ejemplos: el servicio Have I Been Pwned indexa miles de millones de pares —principalmente correo electrónico + contraseña. Cualquier filtración nueva alimenta esa caja negra.

En la Darknet con frecuencia se venden "combo lists": conjuntos preparados para ataques de stuffing. A veces se filtran gratis por fama o autopromoción. Lo más desagradable: si su contraseña alguna vez quedó expuesta, lo más probable es que se use para ataques indefinidamente.

  • ¿Dump de un foro? Si aparece de acceso público, ya lo están probando en Steam, VK, Google y otros.
  • ¿Una pequeña tienda online con mala protección? Su base ya se vende y se sube al parser.

Grandes filtraciones como LinkedIn (2012), MySpace, Dropbox y Yahoo! proporcionaron material a los atacantes durante años.

Tecnologías de ataque: herramientas y esquemas

Las técnicas de credential stuffing también evolucionan. Hoy los atacantes usan todo un arsenal:

  • Bots y botnets: permiten distribuir los ataques entre miles de IP, eludir bloqueos y evitar ser bloqueados por "actividad sospechosa".
  • Soluciones para eludir CAPTCHA: servicios especializados (por ejemplo, 2captcha) donde personas o modelos ayudan al bot a superar la protección.
  • Herramientas para stuffing: Snipr, Sentry MBA, BlackBullet —software para configurar y lanzar ataques masivos. A menudo con código abierto o guías detalladas.
  • Servicios de proxy: para anonimizar y realizar solicitudes masivas se usan proxies robados y servicios pagos legales (por ejemplo, Luminati).

El nivel de organización es casi como el de una pequeña empresa: scripts de monitorización, chats de soporte, incluso "programas de fidelidad" para compradores habituales de bases.

¿Qué deben hacer las empresas? Protección contra credential stuffing

Los servicios y las empresas son los primeros que sufren el credential stuffing. Deben resolver dos tareas a la vez: proteger a los usuarios sin impedirles usar el producto.

Medidas que ayudan a defenderse:

  • Límites en el número de intentos de acceso — por ejemplo, bloqueo temporal después de 5–10 intentos fallidos.
  • Autenticación multifactor (MFA) — SMS, notificaciones push, generadores de códigos.
  • Detección de bots — seguimiento de inicios de sesión masivos, IP sospechosas y acciones automatizadas.
  • CAPTCHAs y otras verificaciones — aunque molesten a los usuarios, realmente ralentizan a los bots.
  • Monitoreo de filtraciones — muchas empresas comparan nuevas bases con sus datos de usuarios y notifican inmediatamente sobre riesgos.
  • Servicios anti-bot: Cloudflare, PerimeterX, Akamai.

Por supuesto, no se puede eliminar por completo el credential stuffing, pero sí se puede complicar mucho la vida de los atacantes.

Cómo protegerse: consejos para usuarios habituales

Si ha llegado hasta aquí, es momento de pasar de la teoría a la práctica. Aquí van algunos consejos para minimizar el riesgo de ser víctima del credential stuffing:

  • Use un gestor de contraseñas — le ayudará a crear y guardar contraseñas únicas y complejas para cada sitio.
  • No reutilice contraseñas en diferentes servicios — sí, es incómodo, pero es mejor dedicar una tarde a configurarlo que luego recuperar el correo o el banco.
  • Active la autenticación en dos pasos donde sea posible. Incluso SMS es mejor que nada.
  • Revise periódicamente si su correo aparece en filtraciones mediante servicios como Have I Been Pwned.
  • Cambie contraseñas al menos una vez al año en servicios importantes —especialmente tras noticias sobre grandes filtraciones.
  • No introduzca sus contraseñas en sitios sospechosos y no haga clic en enlaces dudosos en correos o mensajería.

Y lo más importante: no piense que "esto no me afecta". El credential stuffing funciona porque la gente piensa así. En realidad, cualquiera es vulnerable.

Mitos y conceptos erróneos sobre el credential stuffing

Como suele ocurrir, alrededor de cualquier amenaza masiva hay muchos mitos. Aquí algunos:

  • “A mí no me afecta, tengo una cuenta aburrida.” — ¡Error! Incluso su buzón "aburrido" puede ser un peldaño para comprometer correo corporativo o usarse para enviar spam.
  • “Si mi contraseña es compleja, no me hackearán.” — El credential stuffing no adivina contraseñas, sino que comprueba pares ya conocidos. Si la contraseña fue comprometida en algún lugar, la complejidad no ayudará.
  • “Los servicios están protegidos, se ocupan de mi seguridad.” — Muchas empresas aún aprendan a reaccionar ante el credential stuffing y, a veces, ni siquiera notan los intentos masivos de acceso.

El mito más peligroso es pensar que todo esto está lejos, en la Darknet, y no afecta a usuarios normales. En realidad, el credential stuffing ya forma parte de nuestra rutina digital.

Futuro del credential stuffing: nuevas tendencias

El credential stuffing no se queda quieto. Los botnets se vuelven más inteligentes, los servicios anti-bot más potentes, y los delincuentes encuentran nuevas formas de eludir las defensas. Surgen nuevas modalidades de ataque: relleno de credenciales móvil (automatización de ataques a aplicaciones móviles), relleno de credenciales por voz (ataques a asistentes de voz), relleno de credenciales dirigido (ataques personalizados contra personas o empresas concretas).

Se libran constantes "carreras armamentistas": por un lado crecen los presupuestos en seguridad; por otro, los delincuentes inventan maneras cada vez más ingeniosas de disfrazar bots como humanos y burlar las protecciones más recientes.

Puede decirse con seguridad: mientras exista aunque sea una base pública de contraseñas, el credential stuffing seguirá funcionando.

Conclusión: ser precavido está bien

El credential stuffing es un excelente ejemplo de cómo una pequeña negligencia personal se convierte en un enorme problema colectivo. Hoy ningún servicio en línea puede ignorar la amenaza de ataques automatizados masivos, y el usuario común debe aprender nuevas reglas de higiene digital.

Ser precavido no es de paranoicos. Mejor dedicar un par de noches a configurar un gestor de contraseñas y la autenticación de dos factores que luego lidiar con las consecuencias de una filtración.

La ironía es que las contraseñas, que alguna vez simbolizaron la privacidad, ahora son un producto masivo en el mercado digital. Pero incluso en estas condiciones se puede vivir tranquilo: con un poco más de cuidado, sin confiar en el "por si acaso" y recordando que el credential stuffing siempre está presente cada vez que aparece una nueva filtración.

Revise sus correos en Have I Been Pwned, no deje de crear nuevas contraseñas y no confíe su vida digital a sitios aleatorios —y duerma tranquilo. ¡O al menos inténtelo!

Alt text
article-title

Deni Haipaziorov