SecuryBlack
Blog/Credential stuffing

¿Qué es el credential stuffing y cómo afecta a tu negocio?

·6 min de lectura
¿Qué es el credential stuffing y cómo afecta a tu negocio?

Imagina que un atacante obtiene una lista de 10 millones de emails y contraseñas filtradas de LinkedIn. ¿Qué hace con ellos? Los prueba automáticamente en cientos de otros servicios — tu banco, tu email, Amazon, Netflix. Eso es el credential stuffing.

¿Cómo funciona?

El ataque es sorprendentemente simple:

  1. Obtención de credenciales — El atacante compra o descarga listas de emails/contraseñas de filtraciones anteriores.
  2. Automatización — Usa bots que prueban estos pares de credenciales en cientos de sitios web simultáneamente.
  3. Acceso exitoso — Como muchas personas reutilizan contraseñas, un porcentaje significativo (entre el 0,1% y el 2%) funciona.
  4. Explotación — Accede a la cuenta, roba datos, realiza compras o vende el acceso.

Un ataque típico puede probar millones de combinaciones por hora usando redes de bots distribuidos.

¿Es diferente de un ataque de fuerza bruta?

Sí, y es importante entender la diferencia:

| | Fuerza bruta | Credential stuffing | |---|---|---| | Método | Adivina contraseñas aleatoriamente | Usa contraseñas reales ya filtradas | | Velocidad | Lento (muchos intentos por cuenta) | Rápido (1-2 intentos por cuenta) | | Tasa de éxito | Muy baja | Relativamente alta (0,1-2%) | | Detección | Fácil (muchos intentos fallidos) | Difícil (parecen logins legítimos) |

El credential stuffing es más peligroso precisamente porque es difícil de detectar: cada intento parece un login normal.

¿Cómo afecta a las empresas?

Para un negocio, el credential stuffing puede significar:

  • Acceso no autorizado a cuentas de clientes — Con las consecuencias legales que implica bajo el RGPD.
  • Fraude financiero — Compras fraudulentas con cuentas comprometidas.
  • Daño reputacional — Los clientes pierden confianza si perciben que "les han hackeado".
  • Costes operativos — Gestión de incidentes, soporte, restablecer cuentas.
  • Carga en la infraestructura — Los bots generan miles de peticiones por minuto.

¿Y a los usuarios?

Si reutilizas contraseñas (y el 65% de las personas lo hace), eres un objetivo perfecto:

  • La contraseña que usabas en un foro de 2015 puede dar acceso a tu email actual
  • Tu cuenta de Netflix puede ser vendida por 3€ en la dark web
  • Una cuenta de email comprometida permite resetear contraseñas de otros servicios

Cómo proteger tu empresa

  1. Implementa rate limiting — Limita los intentos de login por IP y por cuenta.
  2. Usa CAPTCHA inteligente — Herramientas como Cloudflare Turnstile detectan bots sin molestar a usuarios reales.
  3. Monitoriza patrones de login — Detecta picos inusuales de intentos fallidos.
  4. Fuerza 2FA — Especialmente para cuentas con datos sensibles.
  5. Comprueba contraseñas contra listas filtradas — APIs como la de HIBP permiten verificar si la contraseña elegida ya está comprometida.

Cómo protegerte como usuario

  1. Usa contraseñas únicas — Un gestor de contraseñas las genera y recuerda por ti.
  2. Activa 2FA — El segundo factor bloquea el acceso aunque tengan tu contraseña.
  3. Comprueba tu emailSecuryBlack Breach Scanner te dice si tus credenciales han sido parte de una filtración.
  4. Cambia contraseñas filtradas — Si el scanner detecta brechas, cambia esas contraseñas inmediatamente.

El credential stuffing funciona porque reutilizamos contraseñas. El primer paso para protegerte es saber si las tuyas están filtradas.