¿Reutiliza contraseñas en internet? Evite esa práctica que puede comprometerle

El credential stuffing o "relleno de credenciales" es un tipo de ciberataque en el que se utilizan usuarios y contraseñas previamente filtrados. Bajo este método, los delincuentes intentan iniciar sesión en cuentas o servicios distintos de aquel que fue vulnerado en primera instancia.

El éxito de estos ataques radica en el hábito de los usuarios de reutilizar la misma contraseña en diferentes cuentas o servicios. Si una clave se filtra, los atacantes solo deben probarla en otros sitios. Si la contraseña coincide, podrán acceder sin necesidad de vulnerar el sistema.

ESET, compañía especializada en ciberseguridad, explica por qué estos ataques son tan efectivos y cómo evitarlos.

Repetir contraseñas es como usar la misma llave para abrir la casa, el automóvil, la oficina y la caja fuerte. Prestar atención y gestionarlas correctamente es tan importante como cerrar la puerta de casa con llave. Hábitos simples pueden marcar la diferencia: evitar la reutilización de contraseñas, activar el doble factor de autenticación y usar un gestor seguro son prácticas que necesitamos incorporar para estar protegidos ante este tipo de amenazas y muchas otras, reveló Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica.

Los ataques de credential stuffing se producen a raíz de brechas de seguridad en empresas y organizaciones, donde se exponen millones de datos.

Con esa información disponible, y mediante el uso de bots o scripts automatizados, los delincuentes prueban esas credenciales en múltiples sitios, cuentas o servicios (como Netflix, Gmail, bancos o redes sociales). Pueden llegar a realizar miles de intentos por minuto.

Cuando se encuentra una coincidencia, los atacantes ingresan a las cuentas con los mismos privilegios que el usuario legítimo, lo que dificulta la detección, ya que no se observan patrones sospechosos como intentos fallidos reiterados.

Casos conocidos

Entre el 6 y el 8 de diciembre de 2022, PayPal sufrió un ataque de credential stuffing que comprometió cerca de 35 mil cuentas, exponiendo información sensible como nombres, direcciones, fechas de nacimiento y números de identificación tributaria.

Las grandes filtraciones de datos son la principal vía por la que los ciberdelincuentes obtienen estas credenciales, y suceden con más frecuencia de la esperada, aseguró el especialista de ESET.

En junio de 2025, una serie de bases de datos que sumaban 16 mil millones de registros quedó alojada en repositorios mal configurados, expuestos públicamente. Aunque la filtración fue temporal, permitió que investigadores, o cualquier persona, accedieran a datos que incluían combinaciones de usuario y contraseña de servicios como Google, Facebook, Meta o Apple.

No fue el único caso del año: en mayo, el investigador de seguridad Jeremiah Fowler reveló la exposición pública de 184 millones de credenciales de acceso de usuarios de todo el mundo.

La filtración incluía información de proveedores de correo electrónico, así como de cuentas de Apple, Google, Facebook, Instagram, Snapchat y Roblox, entre otros.

¿Cómo evitar ser víctima?

• No reutilizar contraseñas. Cada cuenta, plataforma o servicio debe tener una clave distinta.
• Crear contraseñas robustas, seguras y únicas. Para ello, resulta muy útil un gestor de contraseñas, herramienta que almacena credenciales de forma cifrada y permite generar claves complejas.
• Activar el doble factor de autenticación en todos los servicios que lo permitan. Este paso es clave, ya que incluso si la contraseña cae en manos equivocadas, el atacante no podrá acceder sin ese segundo factor.
• Verificar si sus contraseñas han sido filtradas en alguna brecha de datos y cambiarlas de inmediato en caso afirmativo. Un ejemplo es el sitio haveibeenpwned.com.