El credential stuffing o relleno de credenciales es un tipo de ciberataque en el que los delincuentes utilizan usuarios y contraseñas filtradas para acceder a otras cuentas o servicios. Su efectividad radica en que muchos usuarios reutilizan la misma contraseña, permitiendo que los atacantes ingresen sin necesidad de vulnerar directamente los sistemas. La compañía ESET analiza cómo funcionan estos ataques, por qué son exitosos y cómo protegerse.
Según Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica, la gestión adecuada de contraseñas es fundamental. Evitar la reutilización, activar el doble factor de autenticación y usar un gestor de contraseñas seguro son medidas clave para protegerse frente a este tipo de amenazas.
El ataque inicia cuando los cibercriminales obtienen credenciales filtradas a través de brechas de datos en empresas u organizaciones. Con estas combinaciones de usuario y contraseña, mediante bots o scripts automatizados, prueban miles de logins por minuto en servicios como Netflix, Gmail, bancos o redes sociales. Si encuentran coincidencias, ingresan a las cuentas como si fueran los usuarios legítimos, dificultando la detección.
ESET reporta casos concretos que ilustran el impacto de estos ataques. En diciembre de 2022, PayPal sufrió un credential stuffing que afectó 35.000 cuentas, exponiendo información sensible. Por su parte, Snowflake registró accesos a cuentas de clientes mediante credenciales robadas, afectando a más de 165 organizaciones, aprovechando la ausencia de autenticación multifactor y contraseñas antiguas.
Las filtraciones masivas de datos son la principal fuente de estas credenciales. En junio de 2025, 16 mil millones de registros estuvieron temporalmente expuestos en bases de datos mal configuradas, incluyendo usuarios y contraseñas de servicios como Google, Facebook, Meta y Apple. En mayo del mismo año, se filtraron 184 millones de credenciales de usuarios de plataformas globales, bancos, servicios de salud y portales gubernamentales.
Para prevenir ataques de credential stuffing, ESET recomienda: no reutilizar contraseñas, usar credenciales robustas y únicas con la ayuda de un gestor de contraseñas, activar doble factor de autenticación y verificar si las contraseñas han sido filtradas, por ejemplo en sitios como haveibeenpwned.com, para cambiarlas de inmediato.
