Qué es el relleno de contraseñas y cómo funciona este ciberataque

Como usuarios tenemos múltiples cuentas en redes sociales, servicios de streaming, correos electrónicos, videojuegos y muchas más plataformas, lo que genera que optemos por repetir contraseñas para que sea más fácil ingresar y no tengamos problemas en cada inicio de sesión.

Sin embargo, esta práctica puede representar un riesgo para nosotros mismos y así nace un tipo de ataque llamado relleno de credenciales, que tiene como objetivo obtener nuestras credenciales para acceder a una de nuestras cuentas y de esa manera intentar ingresar a las demás para robar datos.

El relleno de contraseñas, conocido en inglés como credential stuffing, es una técnica utilizada por los ciberatacantes para intentar acceder a cuentas en línea aprovechando la reutilización de contraseñas por parte de los usuarios.

Esta táctica se basa en la idea de que muchas personas utilizan las mismas contraseñas o variaciones ligeras de ellas en múltiples cuentas. Los atacantes obtienen listas de nombres de usuario y contraseñas filtradas en ataques de datos anteriores y las prueban en diversos servicios en línea para ver si funcionan.

Este tipo de ataque se ejecuta de forma sencilla, pero es la puerta de entrada a una serie de peligros que van desde robar información de las cuentas de los usuarios, hasta apoderarse de ellas y ejecutar otros ataques suplantando su identidad. Estos son los riesgos del relleno de contraseñas:

1. Vulnerabilidad de las cuentas de usuarios: la reutilización de contraseñas es una práctica común, y esto expone a los usuarios a un mayor riesgo. Si un ciberdelincuente obtiene acceso a una cuenta en un servicio, puede probar las mismas credenciales en otros servicios en los que el usuario haya empleado la misma contraseña.

2. Amenaza a la privacidad: el relleno de contraseñas amenaza la privacidad de los usuarios. Si un atacante accede a una cuenta, puede obtener información confidencial o cometer actos maliciosos en nombre del usuario.

3. Riesgo para las empresas: las compañías también sufren el impacto del relleno de contraseñas cuando las cuentas de sus usuarios son comprometidas, se enfrentan a pérdidas financieras y daños a su reputación. Además, deben dedicar recursos a investigar y mitigar las violaciones de seguridad.

La protección contra el relleno de contraseñas es algo que no tiene mayor complejidad y se basa principalmente en tener buenas costumbres, en la creación y uso de las claves a todas nuestras cuentas. Aquí algunos consejos:

- Contraseñas fuertes y únicas: las claves fuertes suelen combinar letras mayúsculas y minúsculas, números y caracteres especiales.

- Autenticación multifactor (MFA): si un atacante conoce una contraseña, aún necesita superar otra barrera de seguridad, como un código enviado al teléfono del usuario.

- Monitoreo continuo: las empresas deben implementar sistemas de monitoreo continuo para detectar actividades sospechosas en las cuentas de usuario. Esto permite una respuesta rápida en caso de violaciones.

- Herramientas de seguridad: para las empresas también es clave implementar herramientas de seguridad cibernética que incluyan detección de comportamientos extraños y análisis de registros de actividad para identificar ingresos inusuales.

El uso de correos electrónicos de estudiantes en campañas de phishing se está convirtiendo en una tendencia de ciberataque conocida como Business Email Compromise (BEC) y que tiene un alto nivel de efectividad debido a la confianza que dan este tipo de direcciones.

Investigadores de Check Point fueron los encargados de identificar el aumento en la toma de control de cuentas de correo electrónico asociadas a estudiantes y su uso en campañas de estafa.

La dificultad radica en la complejidad de detectar estos ataques, ya que se valen de servicios de correo legítimos y portales web, lo que dificulta la identificación y prevención de dichas campañas.

Un ejemplo de esta táctica es un correo electrónico que incluye lenguaje informal y cercano, junto con elementos de urgencia y recompensas llamativas. Los ciberdelincuentes pueden utilizar frases como “este es el tercer intento de contacto” o prometer una suma considerable de dinero. Estas señales deberían generar alarmas entre los destinatarios.

Además, los atacantes a menudo emplean direcciones de correo electrónico incompletas en las que las palabras reemplazan a los símbolos para evitar la detección por parte de soluciones de seguridad.