Credential stuffing: el riesgo de reutilizar contraseñas y cómo protegerse. ESET nos alerta sobre el impacto del credential stuffing en la ciberseguridad

Buenos Aires, Argentina, 18 de agosto de 2025.— El credential stuffing (relleno de credenciales) es uno de los ciberataques más efectivos y silenciosos en la actualidad. Consiste en que los atacantes utilizan combinaciones de usuarios y contraseñas previamente filtradas para ingresar a otros servicios o plataformas, aprovechando el hábito de reutilizar contraseñas en múltiples cuentas.

La compañía ESET, reconocida por su enfoque en detección proactiva de amenazas, advierte que este tipo de ataques continúa creciendo y puede comprometer datos financieros, de salud o de redes sociales. La firma destaca que la protección de los usuarios depende, en gran medida, de adoptar buenas prácticas de gestión de credenciales.

Qué es el credential stuffing y por qué es tan peligroso

El éxito del credential stuffing se basa en un comportamiento común: usar la misma clave en diferentes servicios. Si una contraseña se filtra tras una brecha de datos, los cibercriminales solo deben probarla en otros sitios para obtener acceso legítimo, sin necesidad de vulnerar directamente el sistema.

Según ESET, el proceso comienza con la adquisición de credenciales expuestas tras incidentes en grandes compañías. Luego, mediante bots y scripts automatizados, los atacantes prueban esas combinaciones en miles de servicios por minuto, incluyendo banca digital, correo electrónico, plataformas de streaming y redes sociales.

Lo más alarmante: el acceso conseguido es idéntico al de un usuario legítimo, lo que dificulta su detección, ya que no genera intentos fallidos repetidos que alerten a los sistemas.

Casos recientes que evidencian la amenaza

Para comprender la magnitud del problema, ESET repasa algunos ejemplos concretos:

• PayPal (2022): Entre el 6 y el 8 de diciembre de 2022, cerca de 35.000 cuentas fueron comprometidas mediante credential stuffing, exponiendo datos como nombres, direcciones y números de identificación tributaria.
• Snowflake (2023): Más de 165 organizaciones resultaron afectadas cuando los atacantes utilizaron credenciales robadas mediante malware tipo infostealer. Aunque la infraestructura central no fue vulnerada, la falta de autenticación multifactor y contraseñas antiguas facilitó los accesos indebidos.

“Repetir contraseñas es como usar la misma llave para abrir la casa, automóvil, oficina y la caja fuerte. Prestar atención y gestionar las contraseñas correctamente es tan importante como cerrar la puerta de casa con llave. Hábitos simples pueden marcar la diferencia: evitar la reutilización de contraseñas, activar el doble factor de autenticación y usar un gestor seguro son prácticas que necesitamos incorporar para estar protegidos ante este tipo de amenazas y muchas otras.”, comenta Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

Filtraciones masivas: la principal fuente de credenciales

Las grandes filtraciones de datos son el origen más común de estos ataques, y se producen con más frecuencia de lo esperado. En junio de 2025, por ejemplo, investigadores detectaron que más de 16 mil millones de registros quedaron expuestos en repositorios mal configurados, con combinaciones de usuarios y contraseñas para servicios como Google, Meta, Apple y otros.

Ese mismo año, en mayo, el investigador Jeremiah Fowler reveló otra exposición de 184 millones de credenciales, que incluían accesos de correo electrónico, redes sociales, plataformas de entretenimiento, bancos e incluso portales de gobiernos.

“Las grandes filtraciones de datos son la principal vía por la que los cibercriminales obtienen estas credenciales”, agrega un especialista de ESET.

Cómo protegerse del credential stuffing

ESET recomienda medidas clave para reducir la exposición ante este tipo de ataques:

1. No reutilizar contraseñas en diferentes cuentas y servicios.
2. Crear contraseñas seguras, robustas y únicas. El uso de un gestor de contraseñas permite almacenarlas cifradas y generar claves complejas.
3. Activar el doble factor de autenticación (2FA) en todas las plataformas que lo permitan, como segunda capa de defensa.
4. Verificar periódicamente si las credenciales han sido filtradas en alguna brecha, por ejemplo, en sitios como haveibeenpwned.com.

Para más información sobre seguridad informática, ESET recomienda visitar: WeLiveSecurity
Además, invita a conocer su podcast Conexión Segura en Spotify.

Tu Opinión Importa

¿Qué opinas sobre este riesgo creciente de credential stuffing? Comparte tu visión en los comentarios usando los hashtags #superfan y #itusersawards2024-2025. Comenta y podrás participar en sorteos de gadgets tecnológicos y premios sorpresa.

Apoya al Periodismo Independiente

¿Te sirvió en algo este contenido?, ayúdanos a combatir la Desinformación, dona desde S/ 1.00 a nuestro PLIN 943-438-457