El Credential Stuffing (relleno de credenciales) es un tipo de ciberataque en el que un ciberdelincuente utiliza nombres de usuario y contraseñas robados de una organización (obtenidos en una brecha o comprados en la web oscura) para acceder a cuentas de usuario de otra organización. A este tipo de ataque también se le denomina reutilización de credenciales robadas.
La oportunidad para que los ciberdelincuentes utilicen el relleno de credenciales no hace más que crecer a medida que se exponen más credenciales a través de las brechas; en la actualidad, literalmente miles de millones de credenciales comprometidas están circulando en la web oscura.
Sin embargo, los ataques de relleno de credenciales se pueden prevenir si se aplican las medidas de ciberseguridad adecuadas. A continuación, se presenta lo que necesitas saber sobre los ataques de relleno de credenciales y lo que se puede hacer para reducir o prevenir la probabilidad de que tu o tu empresa sean víctimas de uno.
Tabla de Contenido
Cómo Funciona un Ataque Credential Stuffing
Para ejecutar un ataque de relleno de credenciales, los ciberdelincuentes añaden una lista de pares de nombres de usuario y contraseñas robados a una red de bots que automatiza el proceso de probar esas credenciales en varios sitios a la vez. Los ataques de redes de bots a gran escala pueden sobrecargar la infraestructura de TI de una empresa, con sitios web que experimentan hasta 180 veces su tráfico habitual durante un ataque.
Una vez que los ciberdelincuentes encuentran un sitio en el que funciona un conjunto de credenciales, tendrán acceso a la cuenta de un usuario y a sus datos personales para hacer lo que les plazca, lo que suele incluir
- Vender el acceso a las cuentas comprometidas: Esto es especialmente común en los servicios de streaming de medios. Disney+, Netflix y Spotify han sido víctimas de ataques en los que los hackers vendieron el acceso a las cuentas de los usuarios por menos del coste de una suscripción.
- Fraude en el comercio electrónico: Los hackers pueden hacerse pasar por usuarios legítimos en los sitios web de los minoristas y pedir un producto de alto valor, ya sea para su propio uso o para revenderlo. Esta es una forma común (y para los delincuentes, potencialmente lucrativa) de robo de identidad, lo que hace que el comercio sea el vertical más vulnerable para el relleno de credenciales.
- Espionaje y robo corporativo/institucional: Aunque los delitos anteriores tienen graves consecuencias para las empresas y sus clientes, esta tercera forma de ataque tiene el potencial de ser más devastadora para las empresas. Si un atacante consigue secuestrar la cuenta de un empleado o administrador, podría acceder a todo tipo de información personal sensible, como números de tarjetas de crédito, números de la seguridad social, direcciones y credenciales de acceso, que podría vender al mejor postor.
Los Costes de los Ataques de Relleno de Credenciales
Aunque los ataques de relleno de credenciales suelen tener un bajo índice de éxito (normalmente entre el uno y el tres por ciento), su impacto en las organizaciones suele ser todo menos pequeño.
Por ejemplo, el Informe de Ponemon: El coste derivado del relleno de credenciales descubrió que las empresas pierden una media de 6 millones de dólares al año por el robo de credenciales en forma de tiempo de inactividad de las aplicaciones, pérdida de clientes y aumento de los costes de TI.
Cada vez más, los reguladores, así como el público, también hacen responsables a las empresas de los ataques de relleno de credenciales con fuertes multas. Las empresas pueden estar sujetas a acciones legales en virtud de las leyes de privacidad de datos, como el GDPR, si no implementan medidas de seguridad adecuadas para evitar tales ataques, no informan al público de una violación o no hacen lo suficiente para proteger las contraseñas.
Ataques de Relleno de Credenciales frente a Ataques de Fuerza Bruta
El relleno de credenciales se considera un tipo de ciberataque de fuerza bruta. Pero en la práctica, ambos son muy diferentes, al igual que las mejores formas de proteger tus sistemas contra ellos.
Los ataques de fuerza bruta intentan adivinar las contraseñas cambiando los caracteres y los números (a menudo en patrones prescritos o con frases base de contraseñas comúnmente utilizadas). Para protegerte contra ellos, puedes limitar el número de intentos fallidos de inicio de sesión con protección de fuerza bruta, utilizar un CAPTCHA o exigir a tus usuarios que utilicen una contraseña más fuerte.
Sin embargo, una contraseña fuerte no impedirá que un ciberdelincuente acceda a una cuenta mediante el relleno de credenciales porque la contraseña ya es conocida. Incluso la capacidad de los CAPTCHA o de la protección por fuerza bruta para proteger a los usuarios es limitada, ya que los usuarios suelen cambiar sus contraseñas siguiendo patrones predecibles y los ciberdelincuentes tienen una contraseña violada para iterar.
Cómo Prevenir los Ataques de Relleno de Credenciales
La mayoría de la gente sabe que la reutilización de contraseñas es insegura, pero opta por utilizar la misma contraseña en varios sitios de todos modos porque tiene que recordar unas 100 contraseñas. Los gestores de contraseñas son una opción, pero los índices de adopción son bajos (recomendamos encarecidamente Sticky Password). Por eso, para evitar los ataques de relleno de credenciales, las organizaciones deben tomar medidas -como eliminar las contraseñas- para asegurarse de que los ciberdelincuentes no puedan utilizar las credenciales robadas para acceder a las cuentas de sus usuarios. A continuación, se presentan varios métodos para hacerlo.
1. Autenticación sin contraseña
La autenticación sin contraseña puede evitar por completo el robo de credenciales porque verifica a un usuario con algo que tiene (un dispositivo u otra cuenta) o algo que es (biometría) en lugar de una contraseña (algo que sabe). La autenticación sin contraseña también crea una mejor experiencia de inicio de sesión para los usuarios y ahorra a las organizaciones tiempo y dinero de tener que lidiar con el restablecimiento de contraseñas.
2. Autenticación continua
Los sistemas de autenticación continua utilizan factores como la biometría o los patrones de comportamiento para verificar la identidad de un usuario en tiempo real (mientras utiliza una aplicación) en lugar de una contraseña. Como resultado, los ataques de relleno de credenciales (así como una serie de otros ciberataques) ya no son un método viable para que los ciberdelincuentes obtengan acceso no autorizado a la cuenta de un usuario.
3. Autenticación de múltiples factores (MFA)
La autenticación multifactor (MFA) es una forma muy eficaz de evitar el robo de credenciales, ya que requiere que los usuarios inicien sesión con otra forma de autenticación además de la combinación de nombre de usuario y contraseña. Por ejemplo, podría tratarse de una autenticación biométrica, como una huella dactilar, un código de un solo uso enviado a un dispositivo asociado al usuario, o un correo electrónico enviado a una cuenta segura, ninguno de los cuales tendrá acceso un ciberdelincuente.
4. Protección de contraseñas violadas
La protección de contraseñas violadas compara la contraseña que una persona utiliza para iniciar sesión con las bases de datos de credenciales comprometidas (como haveibeenpwned) para evitar el relleno de credenciales en tiempo real.
5. Cifrado de credenciales
El hashing codifica la contraseña de un usuario antes de almacenarla en su base de datos para que, en caso de que sea robada, un hacker no pueda utilizarla (en teoría, al menos).
En la práctica, no todos los hashing de contraseñas son indescifrables. Como explica Rick Redman, probador de penetración de KoreLogic, “la fuerza del hash es la póliza de seguro. Te dice cuánto tiempo tienen los usuarios para cambiar sus contraseñas después de una violación de datos antes de salir perjudicados… Si es sólo SHA1, no hay ventana… Si es bcrypt, tienes tiempo para salir corriendo y cambiar todas tus contraseñas“.
Así pues, aunque el hashing de las contraseñas de los usuarios no impedirá un ataque de relleno de credenciales, sí limitará lo que un ciberdelincuente puede hacer con esas contraseñas una vez que las haya robado.
La Autenticación Sin Contraseña es Mejor para las Empresas y los Usuarios
La autenticación sin contraseña no sólo elimina los ataques de relleno de credenciales, sino que numerosos estudios e informes demuestran que es una solución más segura, más fácil de usar y más rentable en general que la autenticación tradicional con nombre de usuario y contraseña, tanto para las empresas como para sus usuarios.
“Confiar en las contraseñas como medio principal de autenticación ya no proporciona la seguridad ni la experiencia de usuario que los consumidores demandan“, explica Andrew Shikiar, Director Ejecutivo de FIDO Alliance, en un informe conjunto con el Foro Económico Mundial. Adrien Ogee, jefe de proyecto del Foro Económico Mundial, añade: “Mejorar las prácticas de autenticación no sólo es posible, sino que es una necesidad“.
¿Tú también crees que la autenticación sin contraseña es la solución al problema de ataques de contraseñas o tienes una propuesta personal? Cuéntanos en los comentarios.