El credential stuffing (o relleno de credenciales) es un tipo de ciberataque en el que los actores maliciosos utilizan usuarios y contraseñas filtradas para iniciar sesión en cuentas y servicios distintos al que sufrió la filtración. El éxito de estos ataques se basa en el hábito de reutilizar la misma contraseña para diferentes cuentas o servicios. Si una contraseña se filtra, los atacantes solo deben probarla en otros sitios donde el usuario tenga cuenta; si hay coincidencia, acceden sin necesidad de vulnerar el sistema. ESET, compañía líder en detección proactiva de amenazas, analiza cómo es un ataque de credential stuffing, por qué es tan efectivo, cuáles pueden ser sus consecuencias y cómo evitarlos.
“Repetir contraseñas es como usar la misma llave para abrir la casa, el automóvil, la oficina y la caja fuerte. Prestar atención y gestionar las contraseñas correctamente es tan importante como cerrar la puerta de casa con llave. Hábitos simples pueden marcar la diferencia: evitar la reutilización de contraseñas, activar el doble factor de autenticación y usar un gestor seguro son prácticas que necesitamos incorporar para estar protegidos ante este tipo de amenazas y muchas otras”, comenta Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica.
El inicio de un ataque de credential stuffing es la obtención, por parte del cibercriminal, de credenciales filtradas. Estas provienen de brechas de información en empresas y organizaciones importantes y reconocidas, que involucran la exposición de millones de datos. Con esa información sensible disponible, y mediante la utilización de bots o scripts automatizados, se realizan pruebas de esas contraseñas en diversos sitios, cuentas o servicios (como Netflix, Gmail, bancos o redes sociales). Se pueden probar miles de logins por minuto.
En caso de que se encuentre una coincidencia, se realiza el ingreso a las cuentas. Este acceso sería idéntico al del usuario legítimo, lo que dificulta su detección, ya que no hay actividad sospechosa como intentos fallidos reiterados.
Para entender mejor el impacto de estos ataques, desde ESET repasan dos casos concretos:
- Caso PayPal: entre el 6 y el 8 de diciembre de 2022, PayPal sufrió un ataque de credential stuffing que comprometió cerca de 35.000 cuentas, exponiendo información sensible como nombres, direcciones, fechas de nacimiento y números de identificación tributaria.
- Snowflake: más de 165 organizaciones fueron afectadas cuando atacantes accedieron a cuentas de clientes utilizando credenciales robadas mediante malware tipo infostealer. Aunque no se vulneró directamente la infraestructura de Snowflake, los atacantes aprovecharon la falta de autenticación multifactor y el uso de contraseñas antiguas.
“Las grandes filtraciones de datos son la principal vía por la que los cibercriminales obtienen estas credenciales y suceden con más frecuencia de lo esperado”, agrega el especialista de ESET.
En junio de 2025, por ejemplo, una serie de bases de datos que sumaban 16 mil millones de registros estuvo alojada en repositorios mal configurados que quedaron expuestos y públicos. Aunque la exposición fue temporal, fue suficiente para que investigadores, o cualquier persona, accedieran a los datos, que incluían combinaciones de usuario y contraseña para servicios en línea como cuentas de Google, Facebook, Meta y Apple.
En mayo, el investigador de seguridad Jeremiah Fowler reveló la exposición pública de 184 millones de credenciales de acceso de cuentas de usuarios de todo el mundo. Entre ellas había información de diversos proveedores de correo electrónico, productos de Apple, Google, Facebook, Instagram, Snapchat, Roblox, bancos, entidades financieras, plataformas de salud y portales de gobiernos de varios países.
Recomendaciones de ESET para evitar un ataque de credential stuffing:
- No reutilizar una misma contraseña en diferentes cuentas, plataformas y servicios.
- Tener contraseñas robustas, seguras y únicas en cada cuenta. Un gestor de contraseñas es útil para almacenarlas de forma cifrada y generar combinaciones complejas.
- Activar el doble factor de autenticación en todas las cuentas y servicios posibles.
- Verificar si las contraseñas han sido filtradas en alguna brecha de datos (por ejemplo, en haveibeenpwned.com) y cambiarlas de inmediato.
Acerca de ESET
ESET® proporciona seguridad digital de vanguardia para prevenir ataques antes de que ocurran. Al combinar el poder de la IA y la experiencia humana, ESET® se anticipa a las ciberamenazas conocidas y emergentes, asegurando empresas, infraestructuras críticas e individuos.
