Credential stuffing
Ataque automatizado que prueba en muchas webs combinaciones de email y contraseña robadas de otras filtraciones, contando con que la gente las reutiliza.
Qué es Credential stuffing
El credential stuffing aprovecha que millones de usuarios usan la misma contraseña en varios servicios. El atacante coge listas enormes de credenciales filtradas en una brecha y, con bots, las "rellena" automáticamente en formularios de login de otras webs. Las que coinciden, abren cuenta.
Cómo funciona
Se parte de un volcado de credenciales (de un foro hackeado, por ejemplo). Un programa va probándolas en webs populares —banca, tiendas, correo, streaming— usando proxies rotativos para esquivar bloqueos por IP. Cada acierto es una cuenta secuestrada que se vende o se vacía.
Cómo protegerte
La defensa real es no reutilizar contraseñas: una distinta y aleatoria por sitio (gestor de contraseñas) y activar la verificación en dos pasos. Comprueba en haveibeenpwned.com si tu email ha aparecido en filtraciones y cambia esas claves. Las webs, por su parte, usan límites de intentos, CAPTCHA y detección de bots.
Datos curiosos
- No es "hackear" la web atacada: es entrar por la puerta con llaves robadas en otra parte.
- Ataques masivos de credential stuffing han afectado a plataformas de streaming y cadenas de tiendas.
- Una sola contraseña reutilizada puede comprometer todas tus cuentas tras una filtración.
Preguntas frecuentes
¿Cómo entran si yo no he filtrado nada?
Porque reutilizaste en su web la misma contraseña que sí se filtró en otro servicio que fue hackeado.
¿La 2FA lo frena?
Sí, mucho: aunque la contraseña sea correcta, sin el segundo factor no entran.
¿Diferencia con la fuerza bruta?
La fuerza bruta prueba contraseñas al azar; el credential stuffing usa contraseñas reales ya conocidas. Mucho más eficaz.