El credential stuffing, también conocido como «relleno de credenciales», es una técnica de ciberataque que aprovecha la costumbre de los usuarios de reutilizar contraseñas. Un atacante utiliza credenciales (nombre de usuario y contraseña) robadas en una filtración de datos para intentar acceder a otras cuentas del mismo usuario en servicios distintos, como redes sociales, plataformas de streaming o bancos.
Según Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica, estos ataques son efectivos porque, si bien una empresa puede tener un sistema de seguridad robusto, el eslabón débil es la contraseña del usuario. «Repetir contraseñas es como usar la misma llave para abrir la casa, automóvil, oficina y la caja fuerte», comenta Gutiérrez, subrayando la importancia de una correcta gestión de credenciales.
¿Cómo funciona un ataque de credential stuffing?
El proceso comienza con la obtención de bases de datos de credenciales provenientes de filtraciones masivas de información. Con esta información, los cibercriminales utilizan programas automatizados (bots) para probar miles de combinaciones de usuario y contraseña por minuto en diferentes sitios web.
A diferencia de los ataques de fuerza bruta, que intentan adivinar una contraseña, el credential stuffing utiliza credenciales válidas, lo que dificulta su detección. El acceso a las cuentas es idéntico al de un usuario legítimo.
Casos de gran escala
ESET ha documentado varios casos notorios que demuestran el alcance de estos ataques:
PayPal: Entre el 6 y el 8 de diciembre de 2022, un ataque de relleno de credenciales comprometió alrededor de 35,000 cuentas, exponiendo datos personales como nombres, direcciones y números de identificación fiscal.
Snowflake: En un caso reciente, más de 165 organizaciones se vieron afectadas cuando atacantes accedieron a cuentas de clientes utilizando credenciales robadas previamente con malware. La falta de autenticación multifactor y el uso de contraseñas antiguas facilitaron el acceso.
Tendencia de filtraciones masivas
El especialista de ESET señala que las filtraciones de datos son cada vez más frecuentes y de mayor magnitud. En junio de 2025, una serie de bases de datos con 16 mil millones de registros de cuentas de servicios como Google, Facebook y Apple estuvieron expuestas. En mayo del mismo año, otra filtración expuso 184 millones de credenciales de acceso a servicios de correo electrónico, plataformas de redes sociales y hasta portales de bancos y gobiernos.
Consejos para protegerse
Para evitar ser víctima de un ataque de credential stuffing, ESET recomienda las siguientes medidas de seguridad:
Evitar la reutilización de contraseñas: Cada cuenta debe tener una contraseña única.
Usar contraseñas robustas y gestores de contraseñas: Las contraseñas deben ser complejas. Un gestor de contraseñas es una herramienta útil para almacenar y generar credenciales seguras.
Activar la autenticación de doble factor (2FA): Este método añade una capa de seguridad adicional, ya que incluso si un atacante obtiene la contraseña, no podrá acceder a la cuenta sin un segundo factor (como un código enviado al teléfono).
Verificar si sus datos han sido filtrados: Servicios como haveibeenpwned.com permiten a los usuarios verificar si sus credenciales han sido comprometidas en alguna filtración de datos.
Fuente: Eset
