Autenticación y contraseñas

Credential Stuffing

Lectura de aproximadamente 4 minutos

Última actualización: 2026-03-18

Qué es el credential stuffing

El credential stuffing es una técnica de ataque que prueba automáticamente combinaciones de ID y contraseña filtradas en brechas de datos anteriores contra otros servicios. Su característica principal es explotar la reutilización de contraseñas, donde los atacantes prueban masivamente listas de millones de credenciales obtenidas en la dark web mediante botnets.

El éxito de este ataque se debe a que muchos usuarios reutilizan la misma contraseña en múltiples servicios. Según investigaciones de empresas de seguridad, aproximadamente el 65% de los usuarios de internet utilizan la misma contraseña en dos o más servicios, y la tasa de éxito del ataque se sitúa entre el 0,1% y el 2%. Aunque parezca un número bajo, al probar millones de credenciales, se comprometen entre miles y decenas de miles de cuentas.

Diferencias con los ataques de fuerza bruta

Mientras que los ataques de fuerza bruta prueban todas las combinaciones posibles de contraseñas, el credential stuffing se diferencia fundamentalmente en que reutiliza credenciales reales que ya fueron utilizadas.

  • Patrón de intentos: La fuerza bruta prueba una gran cantidad de contraseñas contra una sola cuenta. El credential stuffing prueba una contraseña contra cada una de muchas cuentas
  • Dificultad de detección: La fuerza bruta es fácil de detectar por fallos consecutivos en la misma cuenta. El credential stuffing solo necesita 1-2 intentos por cuenta, lo que dificulta distinguirlo de fallos de inicio de sesión normales
  • Tasa de éxito: La fuerza bruta tiene una tasa de éxito extremadamente baja excepto con contraseñas cortas. El credential stuffing tiene una tasa de éxito relativamente alta al usar credenciales reales

Flujo del ataque y situación real

Los ataques de credential stuffing se ejecutan en los siguientes pasos.

  1. Obtención de credenciales: Se compran bases de datos filtradas en mercados de la dark web. Conjuntos de millones de direcciones de correo electrónico y contraseñas se comercializan por unas pocas decenas de dólares
  2. Preparación de herramientas: Se utilizan herramientas de automatización como Sentry MBA u OpenBullet, configurándolas para el formulario de inicio de sesión del servicio objetivo
  3. Ejecución distribuida: Se ejecutan intentos masivos de inicio de sesión a través de miles de proxies y direcciones IP residenciales, evadiendo las limitaciones de tasa basadas en IP
  4. Explotación de cuentas comprometidas: Las cuentas con inicio de sesión exitoso se explotan para uso fraudulento de puntos, robo de información personal y como trampolín para más phishing

Los sitios de comercio electrónico, servicios de streaming de video y plataformas de juegos son especialmente vulnerables, siendo los puntos vinculados a las cuentas y la información de tarjetas de crédito los principales objetivos de los atacantes.

Medidas de defensa efectivas

Es importante implementar medidas tanto del lado del usuario como del proveedor del servicio.

Medidas del lado del usuario

  • Uso de un gestor de contraseñas: Generar y gestionar contraseñas únicas y complejas para cada servicio. Esta es la medida más fundamental
  • Habilitar la autenticación de dos factores: Incluso si la contraseña se filtra, sin el segundo factor de autenticación no se puede iniciar sesión
  • Verificación de filtraciones: Comprobar periódicamente si su dirección de correo electrónico está incluida en datos filtrados utilizando servicios como Have I Been Pwned

Medidas del lado del proveedor del servicio

  • Limitación de tasa y detección de anomalías: Detectar intentos masivos de inicio de sesión en poco tiempo y bloquear por IP o sesión
  • Implementación de CAPTCHA: Suprimir los intentos automatizados por bots. Sin embargo, los bots avanzados pueden superar el CAPTCHA en algunos casos
  • API de verificación de contraseñas filtradas: Verificar en el momento del registro si la contraseña que el usuario intenta establecer está incluida en listas de filtraciones conocidas
  • Huella digital del dispositivo: Detectar inicios de sesión desde dispositivos o navegadores inusuales y solicitar autenticación adicional

Conceptos erróneos comunes

Mi contraseña no ha sido filtrada, así que estoy seguro
En los últimos 10 años se han filtrado decenas de miles de millones de credenciales, y si utiliza servicios importantes, es muy probable que esté incluido en alguna lista de filtraciones. Al verificar en Have I Been Pwned, muchas personas descubren que están afectadas por al menos una filtración.
Si cambio ligeramente la contraseña, puedo reutilizarla sin problema
Cambios menores como cambiar "password123" a "password124" no son efectivos, ya que las herramientas de ataque prueban automáticamente variaciones. Es necesario utilizar contraseñas completamente diferentes y aleatorias para cada servicio.

Comparación entre credential stuffing y ataque de fuerza bruta

Credential stuffing

Utiliza credenciales reales filtradas. Prueba una vez en cada una de muchas cuentas. Difícil de detectar y con tasa de éxito relativamente alta. La reutilización de contraseñas es la causa raíz.

Ataque de fuerza bruta

Prueba todas las combinaciones posibles de contraseñas. Realiza intentos masivos contra una sola cuenta. Fácil de defender con bloqueo de cuenta. La brevedad y simplicidad de la contraseña es la causa raíz.

Términos relacionados

Ataque de fuerza bruta Un método de ataque que prueba sistemáticamente todas las combinaciones posibles… Gestor de contraseñas Una herramienta que genera, almacena de forma segura y autocompleta contraseñas … Autenticación de dos factores (2FA) Un método de seguridad que requiere un factor de autenticación adicional más all… Filtración de datos Un incidente en el que información personal o datos confidenciales en poder de u… Phishing Un método de ataque que suplanta la identidad de organizaciones legítimas, banco…

Artículos relacionados

Ataques de credential stuffing - El peligro de reutilizar contraseñas Aprende cómo los ataques de credential stuffing explotan credenciales filtradas y medidas prácticas … Seguridad de contraseñas - Cómo crear contraseñas fuertes y gestionarlas Aprende qué hace fuerte a una contraseña, cómo usar gestores de contraseñas, cómo verificar filtraci…
← Glosario