En un entorno donde las filtraciones de datos son cada vez más frecuentes, reutilizar la misma contraseña en varias cuentas puede convertirse en el eslabón más débil de la seguridad digital. Este hábito alimenta una de las técnicas más rentables para los ciberdelincuentes: el credential stuffing, un método que permite aprovechar credenciales expuestas previamente para intentar acceder de forma automatizada a múltiples servicios online.
Desde ESET, compañía líder en ciberseguridad, explican que, a diferencia de los ataques de fuerza bruta, el credential stuffing no consiste en adivinar contraseñas, sino en reutilizar combinaciones reales obtenidas en filtraciones anteriores, mercados clandestinos o a través de malware infostealer que roba datos directamente desde navegadores y dispositivos comprometidos. Si un usuario emplea la misma clave en varios servicios, un único par de credenciales puede dar acceso a cuentas de banca online, correo electrónico, redes sociales o plataformas de comercio electrónico, aunque estos servicios no tengan relación entre sí.
“Este tipo de ataque funciona porque explota un hábito muy extendido: reutilizar las contraseñas. Cuando una sola clave abre varias puertas, una filtración antigua puede convertirse en un problema actual y afectar a toda la vida digital de la víctima”, señala Josep Albors, director de Investigación y Concienciación de ESET España.
Por qué sigue siendo tan efectivo
El credential stuffing resulta especialmente peligroso porque los atacantes trabajan con credenciales válidas. Al tratarse de combinaciones reales, los intentos de acceso pasan más desapercibidos que en un ataque tradicional de fuerza bruta. Además, los ciberdelincuentes utilizan bots y herramientas automatizadas capaces de probar miles de combinaciones en formularios de inicio de sesión o APIs, rotando direcciones IP y simulando el comportamiento de usuarios legítimos para evitar ser detectados. La incorporación de scripts asistidos por inteligencia artificial ha permitido aumentar la escala y el sigilo de estos ataques, haciéndolos más difíciles de bloquear con medidas básicas.
