¿Qué es el relleno de credenciales? Todo lo que debe saber

En esta guía rápida cubrimos los conceptos básicos del relleno de credenciales, los ataques de relleno de credenciales y cómo prevenir un ataque de relleno de credenciales.

Enhorabuena por estar aquí: ¡Estás a punto de elevar tu seguridad online a un nivel completamente nuevo! Hoy aprenderás todo lo que necesitas saber sobre los ataques de relleno de credenciales. Este popular ciberataque consiste en que atacantes malintencionados utilizan credenciales de inicio de sesión obtenidas a través de filtraciones de datos para entrar en otras cuentas. Como la gente reutiliza las contraseñas, es muy eficaz, pero al mismo tiempo es un ataque del que puedes protegerte fácilmente.


La mayoría de nosotros hemos creado cuentas en Internet y utilizado la misma contraseña simple o nombre de usuario para algunas de ellas, si no para todas. Y a estas alturas, probablemente le habrán dicho o advertido que cree contraseñas diferentes para cada cuenta en línea que tenga, y que se asegure de que contengan mayúsculas, minúsculas, números e incluso símbolos. Una razón importante para hacer esto, es evitar ser parte de un ataque de relleno de credenciales.

¿Qué es un ataque de relleno de credenciales?

Un ataque de relleno de credenciales se produce cuando los atacantes roban grandes cantidades de credenciales de inicio de sesión de un servicio (implicado en una violación de datos) y utilizan las credenciales para intentar entrar en tus cuentas de otras plataformas online. En esta guía responderemos a preguntas como “¿qué es el robo de credenciales?” y “¿qué es un ataque de robo de credenciales?”, y veremos cómo protegerse para no ser víctima de un ataque de este tipo.

Tabla de contenidos:

El relleno de credenciales es un tipo de ciberataque que se produce cuando se extraen cantidades masivas de credenciales de usuario, como nombres de usuario, contraseñas y direcciones de correo electrónico, de un conjunto de violación de datos y luego se utilizan para iniciar sesión en otros servicios mediante herramientas automatizadas. Pero, ¿cómo invaden los hackers tus credenciales? Los atacantes intentan obtener listas de contraseñas, direcciones de correo electrónico y nombres de usuario (credenciales) a partir de las violaciones de datos que se producen y las utilizan para intentar iniciar sesión en muchas otras cuentas; esta es una de las razones por las que es tan importante utilizar contraseñas seguras diferentes para cada cuenta en línea que tengas. Si utilizas la misma contraseña débil, como [name1234], corres el riesgo de ser víctima de un ataque de relleno de credenciales.

Según un informe de Digital Shadows, actualmente hay más de 15.000 millones de credenciales robadas en Internet. Así que debido a la facilidad y disponibilidad masiva de estas credenciales, junto con herramientas inteligentes de relleno de credenciales que utilizan bots para pasar las protecciones comunes de inicio de sesión, ha hecho que el relleno de credenciales sea una de las técnicas más comunes utilizadas para obtener acceso a las cuentas de los usuarios.

Cómo se produce un ataque de relleno de credenciales

  1. Los atacantes malintencionados obtienen las contraseñas y los nombres de usuario a través de un ataque de phishing, una brecha en un sitio web o un sitio de volcado de contraseñas.
  2. Estas credenciales robadas se comprueban en sitios web como redes sociales o bancos en línea mediante bots y herramientas automatizadas.
  3. Si las credenciales coinciden con las de otro sitio, el atacante habrá conseguido acceder a otra cuenta de usuario.

Anatomy of a credential stuffing attack. Anatomy of a credential stuffing attack.

Un ataque de relleno de credenciales se produce cuando los atacantes acceden a las credenciales de un usuario a través de una violación de datos. A continuación, los atacantes intentan acceder a otras cuentas de usuario con los datos robados.

Ataques recientes de relleno de credenciales

- Norton LifeLock - En 2023, Norton Lifelock Password Manager sufrió un ataque de relleno de credenciales en el que los atacantes utilizaron credenciales robadas para acceder a cuentas de usuario. El ataque afectó a más de 925.000 personas.

- Zoom - En 2020, los atacantes intentaron acceder a cuentas de usuario de Zoom utilizando datos previamente filtrados de violaciones anteriores. Más de 500.000 cuentas de Zoom fueron comprometidas en este ataque y vendidas en la dark web.

- Nintendo - En 2020, la compañía global de juegos y entretenimiento Nintendo sufrió un ataque en el que 160.000 cuentas de Nintendo fueron atacadas.

A lo largo de los años ha habido muchas violaciones de datos escandalosas de una serie de empresas multinacionales como LinkedIn en 2021, Yahoo en 2014 y 2017 (mejor considera borrar tu cuenta de Yahoo, y Facebook en 2019 - como Facebook sabe tanto sobre ti, esto es particularmente malo. Si quieres saber si tus datos han sido filtrados, puedes consultar la comprobación de filtración de datos personales de Cyber News o HaveIBeenPwned.

Pero, ¿qué puede hacer un atacante una vez que ha conseguido piratear mi cuenta?

Una vez que un atacante tiene tus credenciales de inicio de sesión para una cuenta, que también podrían funcionar en otra de tus cuentas, hay una serie de cosas que puede hacer.

- Tomar cualquier valor o crédito almacenado o realizar compras.

- Acceder a información confidencial como mensajes privados, fotos, documentos o incluso números de tarjetas de crédito.

- Enviar spam y mensajes de phishing desde su cuenta.

- Tomar sus credenciales y venderlas o intercambiarlas con otros atacantes.

Los ataques de relleno de credenciales son una ciberamenaza grave, ya que allanan el camino para muchos otros ataques con los que los actores maliciosos pueden perjudicarte: robo de identidad, ataques de phishing dirigidos, o simplemente acceder a tu cuenta de PayPal o Amazon y utilizar tus datos de pago para sí mismos.

Relleno de credenciales frente a ataque de fuerza bruta: ¿cuál es la diferencia?

Según OWASP, el “credential stuffing” es un subconjunto de los ataques de fuerza bruta, aunque en realidad el ataque de “credential stuffing” es bastante diferente de un ataque de fuerza bruta tradicional. Durante un ataque de fuerza bruta, los atacantes intentan adivinar contraseñas, sin tener ningún contexto o pista previa. Un ataque de fuerza bruta utiliza caracteres y números mezclados o sugerencias de contraseñas comunes para intentar acceder a las cuentas. Esto es similar -pero no igual- al “credential stuffing”, en el que los atacantes utilizan datos reales robados de una violación de datos.

Para protegerse de los ataques de fuerza bruta, se recomienda utilizar contraseñas seguras compuestas por mayúsculas, minúsculas, números y caracteres especiales. Desgraciadamente, la seguridad de la contraseña no juega ningún papel a la hora de protegerte de un ataque de relleno de credenciales: la mejor forma de evitarlo es utilizar contraseñas diferentes para cada cuenta que tengas.

Cómo protegerse de un ataque de relleno de credenciales

La razón principal del éxito de los ataques de “credential stuffing” se debe a que los usuarios tienen las mismas contraseñas para varias cuentas. Sí, ¡esta es la señal para que actualices tus contraseñas! Por suerte, tenemos una guía sobre cómo crear y recordar contraseñas seguras.

Una de las formas más sencillas de actualizar todas tus contraseñas con unas que sean únicas y seguras sería utilizar un gestor de contraseñas que también tenga un generador de contraseñas integrado, como KeePassXC. De este modo, todas tus contraseñas se almacenarán de forma segura y sólo tendrás que recordar el inicio de sesión en el gestor de contraseñas para acceder a todas tus credenciales. El uso de gestores de contraseñas tiene las dos caras de la moneda, como ha demostrado el ataque de relleno de credenciales a Norton Lifelock Password Manager: Si el gestor de contraseñas tiene una fuga o sufre una violación de datos, todas sus contraseñas almacenadas en él podrían correr el riesgo de ser víctimas de un ataque de relleno de credenciales. Por eso es crucial utilizar sólo un gestor de contraseñas que utilice el cifrado para proteger sus contraseñas y que tenga su código publicado como código abierto como Bitwarden o KeePass. Si eliges una de nuestras mejores recomendaciones de contraseñas enlazadas más arriba, la probabilidad de que tus contraseñas almacenadas allí sufran una filtración de datos es casi nula: Estas aplicaciones protegen tus contraseñas con tu propia clave de cifrado, por lo que sólo tú puedes descifrarlas. Incluso si se produce una violación de datos, el atacante no podrá desviar sus contraseñas.

En resumen, para evitar ser víctima de un ataque de robo de credenciales, debe tener contraseñas diferentes, únicas y seguras para cada cuenta.

¡No sea víctima de otra filtración de datos de Yahoo!

Si eres usuario del correo electrónico de Yahoo, es muy probable que hayas sido víctima de una filtración de datos. En 2013, se produjo una filtración masiva de datos que afectó a 3.000 millones de cuentas de usuario, a la que siguió otra en 2014 en la que se vieron comprometidas más de 500 millones de cuentas de usuario de Yahoo Mail. Es hora de abandonar Yahoo! y optar por una alternativa centrada en la privacidad como Tuta Mail.

Si quieres eliminar tu cuenta de Yahoo!, aquí tienes una guía paso a paso sobre cómo eliminar tu cuenta de Yahoo! y si quieres cambiar a un proveedor de correo electrónico cent rado en la privacidad que no haya sido parte de una violación de datos, te recomendamos Tuta Mail. Averigua cómo se comparan Tuta Mail y Yahoo! Mail consultando nuestra guía Yahoo vs Tuta Mail.

En el mundo en línea actual, la privacidad es cada vez más difícil y está fuera del alcance de los usuarios de la Web. ¿Quieres crear una nueva cuenta de correo electrónico con Gmail? ¿O comprar una camisa en línea? Pues antes tendrás que darles una lista de información privada. Internet no debería ser así.

Por desgracia, las grandes empresas tecnológicas como Microsoft, Google y Meta están tan ávidas de poder, dinero y datos que recopilan tu información privada, te rastrean a través de sus aplicaciones y venden tus datos a los anunciantes para obtener beneficios. A cambio, te dirigen la publicidad y no tienes la privacidad que mereces. Una de las principales preocupaciones es que para utilizar estos servicios en línea siempre tienes que dar tus datos privados, como tu número de teléfono móvil o tu dirección de correo electrónico. Por eso, si uno de estos servicios se ve implicado en una filtración de datos, es muy probable que tu información privada deje de serlo.

Recomendamos cambiar a un proveedor de correo electrónico centrado en la privacidad, como Tuta Mail, que no pide información privada al crear una cuenta. Con Tuta Mail puedes registrarte de forma anónima, es gratis y todo tu buzón está encriptado de extremo a extremo.

Tuta es un servicio de correo electrónico y calendario construido en Alemania, bajo las estrictas leyes GDPR de la UE. Pero más allá de esto, Tuta es totalmente de código abierto, y se adhiere a estrictos protocolos de privacidad y seguridad. Tuta Mail es un líder en términos de privacidad y seguridad del correo electrónico, si no el proveedor de correo electrónico más seguro del mundo.

Regístrese hoy mismo para obtener una cuenta gratuita de Tuta Mail y disfrutar de la privacidad en línea que se merece.