Qué es el Credential Stuffing Y Cómo Prevenir los Ataques de Relleno de Credenciales
Qué es el Credential Stuffing Y Cómo Prevenir los Ataques de Relleno de Credenciales

¿Qué es “Credential Stuffing”? Cómo Prevenir los Ataques de Relleno de Credenciales

El Credential Stuffing (relleno de credenciales) es un tipo de ciberataque en el que un ciberdelincuente utiliza nombres de usuario y contraseñas robados de una organización (obtenidos en una brecha o comprados en la web oscura) para acceder a cuentas de usuario de otra organización. A este tipo de ataque también se le denomina reutilización de credenciales robadas.

Concepto de uso de la misma contraseña en varias cuentas
Concepto de uso de la misma contraseña en varias cuentas

Estadísticas

Los ataques de relleno de credenciales son una de las causas más comunes de las violaciones de datos porque el 65% de las personas reutilizan la misma contraseña en varias (y a veces en todas) las cuentas.

La oportunidad para que los ciberdelincuentes utilicen el relleno de credenciales no hace más que crecer a medida que se exponen más credenciales a través de las brechas; en la actualidad, literalmente miles de millones de credenciales comprometidas están circulando en la web oscura.

Sin embargo, los ataques de relleno de credenciales se pueden prevenir si se aplican las medidas de ciberseguridad adecuadas. A continuación, se presenta lo que necesitas saber sobre los ataques de relleno de credenciales y lo que se puede hacer para reducir o prevenir la probabilidad de que tu o tu empresa sean víctimas de uno.

Cómo Funciona un Ataque Credential Stuffing

Para ejecutar un ataque de relleno de credenciales, los ciberdelincuentes añaden una lista de pares de nombres de usuario y contraseñas robados a una red de bots que automatiza el proceso de probar esas credenciales en varios sitios a la vez. Los ataques de redes de bots a gran escala pueden sobrecargar la infraestructura de TI de una empresa, con sitios web que experimentan hasta 180 veces su tráfico habitual durante un ataque.

Ilustración de Ataque Credential Stuffing
Ilustración de Ataque Credential Stuffing

Una vez que los ciberdelincuentes encuentran un sitio en el que funciona un conjunto de credenciales, tendrán acceso a la cuenta de un usuario y a sus datos personales para hacer lo que les plazca, lo que suele incluir

  • Vender el acceso a las cuentas comprometidas: Esto es especialmente común en los servicios de streaming de medios. Disney+, Netflix y Spotify han sido víctimas de ataques en los que los hackers vendieron el acceso a las cuentas de los usuarios por menos del coste de una suscripción.
  • Fraude en el comercio electrónico: Los hackers pueden hacerse pasar por usuarios legítimos en los sitios web de los minoristas y pedir un producto de alto valor, ya sea para su propio uso o para revenderlo. Esta es una forma común (y para los delincuentes, potencialmente lucrativa) de robo de identidad, lo que hace que el comercio sea el vertical más vulnerable para el relleno de credenciales.
  • Espionaje y robo corporativo/institucional: Aunque los delitos anteriores tienen graves consecuencias para las empresas y sus clientes, esta tercera forma de ataque tiene el potencial de ser más devastadora para las empresas. Si un atacante consigue secuestrar la cuenta de un empleado o administrador, podría acceder a todo tipo de información personal sensible, como números de tarjetas de crédito, números de la seguridad social, direcciones y credenciales de acceso, que podría vender al mejor postor.

Los Costes de los Ataques de Relleno de Credenciales

Aunque los ataques de relleno de credenciales suelen tener un bajo índice de éxito (normalmente entre el uno y el tres por ciento), su impacto en las organizaciones suele ser todo menos pequeño.

Concepto de credenciales hackeadas sitio web
Concepto de credenciales hackeadas sitio web

Por ejemplo, el Informe de Ponemon: El coste derivado del relleno de credenciales descubrió que las empresas pierden una media de 6 millones de dólares al año por el robo de credenciales en forma de tiempo de inactividad de las aplicaciones, pérdida de clientes y aumento de los costes de TI.

Cada vez más, los reguladores, así como el público, también hacen responsables a las empresas de los ataques de relleno de credenciales con fuertes multas. Las empresas pueden estar sujetas a acciones legales en virtud de las leyes de privacidad de datos, como el GDPR, si no implementan medidas de seguridad adecuadas para evitar tales ataques, no informan al público de una violación o no hacen lo suficiente para proteger las contraseñas.

Ejemplos

Por ejemplo, en 2018, la Information Commissioner’s Office (ICO) del Reino Unido multó a Uber con 385.000 libras esterlinas por “una serie de fallos de seguridad de datos evitables” que expusieron los datos de aproximadamente 2,7 millones de clientes del Reino Unido. Y en 2021, la French Data Protection Authority (CNIL) multó a un controlador de datos y a su procesador de datos con 225.000 euros “por no implementar medidas de seguridad adecuadas para proteger los datos personales de los clientes contra ataques de relleno de credenciales en el sitio web del controlador de datos”.

Ataques de Relleno de Credenciales frente a Ataques de Fuerza Bruta

El relleno de credenciales se considera un tipo de ciberataque de fuerza bruta. Pero en la práctica, ambos son muy diferentes, al igual que las mejores formas de proteger tus sistemas contra ellos.

Ilustración para descifrar contraseña
Ilustración para descifrar contraseña

Los ataques de fuerza bruta intentan adivinar las contraseñas cambiando los caracteres y los números (a menudo en patrones prescritos o con frases base de contraseñas comúnmente utilizadas). Para protegerte contra ellos, puedes limitar el número de intentos fallidos de inicio de sesión con protección de fuerza bruta, utilizar un CAPTCHA o exigir a tus usuarios que utilicen una contraseña más fuerte.

Sin embargo, una contraseña fuerte no impedirá que un ciberdelincuente acceda a una cuenta mediante el relleno de credenciales porque la contraseña ya es conocida. Incluso la capacidad de los CAPTCHA o de la protección por fuerza bruta para proteger a los usuarios es limitada, ya que los usuarios suelen cambiar sus contraseñas siguiendo patrones predecibles y los ciberdelincuentes tienen una contraseña violada para iterar.

Cómo Prevenir los Ataques de Relleno de Credenciales

La mayoría de la gente sabe que la reutilización de contraseñas es insegura, pero opta por utilizar la misma contraseña en varios sitios de todos modos porque tiene que recordar unas 100 contraseñas. Los gestores de contraseñas son una opción, pero los índices de adopción son bajos (recomendamos encarecidamente Sticky Password). Por eso, para evitar los ataques de relleno de credenciales, las organizaciones deben tomar medidas -como eliminar las contraseñas- para asegurarse de que los ciberdelincuentes no puedan utilizar las credenciales robadas para acceder a las cuentas de sus usuarios. A continuación, se presentan varios métodos para hacerlo.

Concepto de autenticación sin contraseña
Concepto de autenticación sin contraseña

1. Autenticación sin contraseña

La autenticación sin contraseña puede evitar por completo el robo de credenciales porque verifica a un usuario con algo que tiene (un dispositivo u otra cuenta) o algo que es (biometría) en lugar de una contraseña (algo que sabe). La autenticación sin contraseña también crea una mejor experiencia de inicio de sesión para los usuarios y ahorra a las organizaciones tiempo y dinero de tener que lidiar con el restablecimiento de contraseñas.

2. Autenticación continua

Los sistemas de autenticación continua utilizan factores como la biometría o los patrones de comportamiento para verificar la identidad de un usuario en tiempo real (mientras utiliza una aplicación) en lugar de una contraseña. Como resultado, los ataques de relleno de credenciales (así como una serie de otros ciberataques) ya no son un método viable para que los ciberdelincuentes obtengan acceso no autorizado a la cuenta de un usuario.

3. Autenticación de múltiples factores (MFA)

La autenticación multifactor (MFA) es una forma muy eficaz de evitar el robo de credenciales, ya que requiere que los usuarios inicien sesión con otra forma de autenticación además de la combinación de nombre de usuario y contraseña. Por ejemplo, podría tratarse de una autenticación biométrica, como una huella dactilar, un código de un solo uso enviado a un dispositivo asociado al usuario, o un correo electrónico enviado a una cuenta segura, ninguno de los cuales tendrá acceso un ciberdelincuente.

4. Protección de contraseñas violadas

La protección de contraseñas violadas compara la contraseña que una persona utiliza para iniciar sesión con las bases de datos de credenciales comprometidas (como haveibeenpwned) para evitar el relleno de credenciales en tiempo real.

5. Cifrado de credenciales

El hashing codifica la contraseña de un usuario antes de almacenarla en su base de datos para que, en caso de que sea robada, un hacker no pueda utilizarla (en teoría, al menos).

En la práctica, no todos los hashing de contraseñas son indescifrables. Como explica Rick Redman, probador de penetración de KoreLogic, “la fuerza del hash es la póliza de seguro. Te dice cuánto tiempo tienen los usuarios para cambiar sus contraseñas después de una violación de datos antes de salir perjudicados… Si es sólo SHA1, no hay ventana… Si es bcrypt, tienes tiempo para salir corriendo y cambiar todas tus contraseñas“.

Así pues, aunque el hashing de las contraseñas de los usuarios no impedirá un ataque de relleno de credenciales, sí limitará lo que un ciberdelincuente puede hacer con esas contraseñas una vez que las haya robado.

La Autenticación Sin Contraseña es Mejor para las Empresas y los Usuarios

La autenticación sin contraseña no sólo elimina los ataques de relleno de credenciales, sino que numerosos estudios e informes demuestran que es una solución más segura, más fácil de usar y más rentable en general que la autenticación tradicional con nombre de usuario y contraseña, tanto para las empresas como para sus usuarios.

Confiar en las contraseñas como medio principal de autenticación ya no proporciona la seguridad ni la experiencia de usuario que los consumidores demandan“, explica Andrew Shikiar, Director Ejecutivo de FIDO Alliance, en un informe conjunto con el Foro Económico Mundial. Adrien Ogee, jefe de proyecto del Foro Económico Mundial, añade: “Mejorar las prácticas de autenticación no sólo es posible, sino que es una necesidad“.

¿Tú también crees que la autenticación sin contraseña es la solución al problema de ataques de contraseñas o tienes una propuesta personal? Cuéntanos en los comentarios.

Mi Carro Close (×)

Tu carrito está vacío
Ver tienda