Como usuarios tenemos múltiples cuentas en redes sociales, servicios de streaming, correos electrónicos, videojuegos y muchas más plataformas, lo que genera que optemos por repetir contraseñas para que sea más fácil ingresar y no tengamos problemas en cada inicio de sesión.
Sin embargo, esta práctica puede representar un riesgo para nosotros mismos y así nace un tipo de ataque llamado relleno de credenciales, que tiene como objetivo obtener nuestras credenciales para acceder a una de nuestras cuentas y de esa manera intentar ingresar a las demás para robar datos.
Qué es el relleno de contraseñas
El relleno de contraseñas, conocido en inglés como credential stuffing, es una técnica utilizada por los ciberatacantes para intentar acceder a cuentas en línea aprovechando la reutilización de contraseñas por parte de los usuarios.
Esta táctica se basa en la idea de que muchas personas utilizan las mismas contraseñas o variaciones ligeras de ellas en múltiples cuentas. Los atacantes obtienen listas de nombres de usuario y contraseñas filtradas en ataques de datos anteriores y las prueban en diversos servicios en línea para ver si funcionan.
Los riesgos de este tipo de ataque
Este tipo de ataque se ejecuta de forma sencilla, pero es la puerta de entrada a una serie de peligros que van desde robar información de las cuentas de los usuarios, hasta apoderarse de ellas y ejecutar otros ataques suplantando su identidad. Estos son los riesgos del relleno de contraseñas:
1. Vulnerabilidad de las cuentas de usuarios: la reutilización de contraseñas es una práctica común, y esto expone a los usuarios a un mayor riesgo. Si un ciberdelincuente obtiene acceso a una cuenta en un servicio, puede probar las mismas credenciales en otros servicios en los que el usuario haya empleado la misma contraseña.
2. Amenaza a la privacidad: el relleno de contraseñas amenaza la privacidad de los usuarios. Si un atacante accede a una cuenta, puede obtener información confidencial o cometer actos maliciosos en nombre del usuario.
3. Riesgo para las empresas: las compañías también sufren el impacto del relleno de contraseñas cuando las cuentas de sus usuarios son comprometidas, se enfrentan a pérdidas financieras y daños a su reputación. Además, deben dedicar recursos a investigar y mitigar las violaciones de seguridad.
Cómo protegerse del relleno de contraseñas
La protección contra el relleno de contraseñas es algo que no tiene mayor complejidad y se basa principalmente en tener buenas costumbres, en la creación y uso de las claves a todas nuestras cuentas. Aquí algunos consejos:
- Contraseñas fuertes y únicas: las claves fuertes suelen combinar letras mayúsculas y minúsculas, números y caracteres especiales.
- Autenticación multifactor (MFA): si un atacante conoce una contraseña, aún necesita superar otra barrera de seguridad, como un código enviado al teléfono del usuario.
- Monitoreo continuo: las empresas deben implementar sistemas de monitoreo continuo para detectar actividades sospechosas en las cuentas de usuario. Esto permite una respuesta rápida en caso de violaciones.
- Herramientas de seguridad: para las empresas también es clave implementar herramientas de seguridad cibernética que incluyan detección de comportamientos extraños y análisis de registros de actividad para identificar ingresos inusuales.
Correos de estudiantes son usados para propagar estafas
El uso de correos electrónicos de estudiantes en campañas de phishing se está convirtiendo en una tendencia de ciberataque conocida como Business Email Compromise (BEC) y que tiene un alto nivel de efectividad debido a la confianza que dan este tipo de direcciones.
Investigadores de Check Point fueron los encargados de identificar el aumento en la toma de control de cuentas de correo electrónico asociadas a estudiantes y su uso en campañas de estafa.
La dificultad radica en la complejidad de detectar estos ataques, ya que se valen de servicios de correo legítimos y portales web, lo que dificulta la identificación y prevención de dichas campañas.
Un ejemplo de esta táctica es un correo electrónico que incluye lenguaje informal y cercano, junto con elementos de urgencia y recompensas llamativas. Los ciberdelincuentes pueden utilizar frases como “este es el tercer intento de contacto” o prometer una suma considerable de dinero. Estas señales deberían generar alarmas entre los destinatarios.
Además, los atacantes a menudo emplean direcciones de correo electrónico incompletas en las que las palabras reemplazan a los símbolos para evitar la detección por parte de soluciones de seguridad.
Últimas Noticias
Jack Dorsey, el fundador de Twitter, despidió a 4.000 personas por la IA y lanzó una advertencia al mundo empresarial
La carta que publicó el 26 de febrero tiene pocas ideas centrales, pero cada una pesa. La primera habla de dinero y de buenos resultados. La segunda, de inteligencia artificial y de cómo está cambiando la forma de trabajar. La tercera es una advertencia que pocos CEOs se habrían atrevido a escribir en público
Telegram bajo la lupa: las estafas aumentan un 233% en la plataforma
El informe de Revolut destaca que los fraudes relacionados con compras en línea continúan siendo los más frecuentes tanto en España como en el resto del mundo
Cómo transformar tu celular viejo en una cámara de seguridad con Wi-Fi
Reaprovechar un dispositivo móvil para vigilancia doméstica te permite potenciar la seguridad, controlar espacios remotamente y reducir desechos electrónicos sin inversión adicional
Ni plancha ni tintorería: así funciona el nuevo método de Amazon para alisar la ropa en casa
La prenda se coloca sobre una estructura similar a un maniquí, se ajusta mediante una barra telescópica y se selecciona el programa adecuado desde un panel táctil
Vuelven los juegos retro: anuncian MARVEL Maximum Collection para PC y consolas
Serán 13 videojuegos clásicos de superhéroes de las décadas de los 80 y 90, con mejoras modernas y lanzamiento en 2026
