Alerta ciberseguridad: el relleno de credenciales

Alerta ciberseguridad: el relleno de credenciales
  • on

Por qué la reutilización de credenciales en una variedad de páginas es muy mala idea.

Eso ¿qué es?

Aunque solo fuese porque te dio curiosidad la rareza del título, nos alegramos de tenerte aquí ya que hoy queremos que hablarte de lo último en ataques a tu ciberseguridad personal; previene de la reutilización de credenciales. Es un tema tan importante que consideramos que se merece un artículo propio.

Todos lo hemos hecho, sobre todo en los tempranos días de crearnos cuentas en línea. Hemos creado esa contraseña (o quizás hasta más de una) combinando:

  • El nombre de una mascota, un amigo o un familiar;
    simple lock
  • Dos o tres cifras de rigor -casi siempre un año, o algo facilón como 001, 100, o quizás 123-; y,
  • Uno de esos símbolos de rigor de la lista ¡”#%&()/?

Y nos hemos quedado tan contentos porque el sistema nos decía que era una contraseña fuerte. La realidad es que en su día estas claves eran muy seguras, y nos complacía poder usarlas con toda tranquilidad en una variedad de páginas web.

Una variedad de páginas web

Todos tenemos una o más contraseñas de este estilo que usamos en varias páginas de internet desde hace años. Cuando nos olvidamos de una contraseña en cierta página, probamos todas esas claves de siempre para ver si damos con ella antes de dar al botón “recordar contraseña”. Porque es lo fácil y funciona de siempre. ¿Verdad?

La raíz del problema

El relleno de credenciales proviene precisamente de esta práctica de la que más del 80% de usuarios de internet* hemos sido culpables en algún momento. La reutilización de credenciales en una variedad de páginas es un error que los cibercriminales están aprovechando ahora más que nunca.

Un ovillo de información relacionada

Imagina que Antonio tiene la contraseña «Max123?» porque Max es el nombre de su perro. Esto es lo que hace con esa clave:

  • En 2016 crea su perfil de usuario en el periódico nacional para leer ciertos artículos gratis cada mes.
  • En 2017 crea una cuenta de LinkedIn porque todos en la oficina lo están haciendo pero nunca usa la página porque tiene trabajo fijo.
  • Se registra en un foro de aficionados a las maquetas de aviones en 2018.
  • En 2020, y para actualizar su perfil de LinkedIn, se crea una cuenta en el portal web de su antigua universidad para obtener su lista de cursos y el diploma.

La caja de Pandora

Un hacker se hace con las credenciales de todos los usuarios del portal de aficionados de maquetas de aviones. Usa un programa especializado para probar las credenciales de esos usuarios en otras páginas web; ese proceso se llama relleno de credenciales. Como es un proceso automatizado de rastreo, puede permitirse rastrear miles de portales web. Esto es lo que obtiene con las credenciales de Antonio:

  • Su nombre y fecha de nacimiento (del periódico):
  • La dirección antigua, número de teléfono e historial de empleo de LinkedIn –y la foto- de Antonio;
  • Su dirección actual, número de identificación fiscal y datos de educación de la universidad.
  • Los datos de dos tarjetas: la de débito que Antonio usa desde 2020 en el periódico para comprar una suscripción trimestral, y la de crédito con la que ha pagado por recibir una copia de su registro educativo y el diploma universitario.
  • Respuestas a varias preguntas de seguridad de todos los portales webs en los que ha podido entrar el cibercriminal.

El hacker pone las credenciales robadas y toda la información rastreada de Antonio y los otros aficionados a las maquetas a la venta, en el internet oscuro por unos diez dólares por usuario. En el plazo de un mes Antonio tiene compras que no ha autorizado en su tarjeta de crédito y en su cuenta corriente. Al poner una alerta de fraude en su historial de crédito descubre además dos créditos a su nombre que en realidad no son suyos porque es víctima de robo de identidad.

credential stuffing - relleno de credenciales

Estadísticas

Esto es algo que sucede todos los días. Un informe extenso de F5, una compañía global especializada en servicios de aplicación y redes de entrega de aplicaciones**, indica:

  • El número de casos de ataques con éxito con robo consecuente de credenciales de usuarios se ha duplicado entre 2016 y 2020.
  • Tanto empresas como organizaciones están fallando en la detección de estos robos de credenciales, tardando un promedio de 327 días en detectar las intrusiones.
  • En 2017 los robos de credenciales afectaron a 17 millones de consumidores.

Una lección importante

Como puedes ver, el uso de contraseñas fuertes, pero además exclusivas, es la clave de protegerte del fraude y del robo de identidad. Te urgimos a tomar acción:

  1. Examina todas las contraseñas que sabes que utilizar en varios sitios web, y cámbialas a contraseñas fuertes y únicas.
  2. Usa el administrador de contraseñas de tu buscador web: Safari, Chrome y Firefox lo ofrecen integrado en el buscador. Otra opción es contratar uno especializado o usar el que ofrezca tu antivirus.

* Estudio de SecureAuth en 2017: https://www.secureauth.com/resource/infographic-poor-password-habits/

** 2021 Credential Stuffing Report: https://www.f5.com/labs/articles/threat-intelligence/2021-credential-stuffing-report


  • Este campo es un campo de validación y debe quedar sin cambios.