El relleno de credenciales designa el uso automatizado de combinaciones de nombres de usuario y contraseñas ya descubiertas para acceder de forma ilegal a cuentas y posiblemente apoderarse de ellas.
¿Qué significa exactamente el relleno de credenciales?
Proviene del término en inglés «credential stuffing», cuya traducción literal es relleno de credenciales. En este procedimiento, la página de inicio de sesión de un sitio web, por ejemplo de una tienda online, se rellena de forma automática mediante el procesamiento de listas extensas de credenciales ya conocidas. El cálculo que hay detrás se basa en que algunas de estas credenciales todavía son válidas y pueden utilizarse de forma indebida, por ejemplo, para comprar en dicha tienda online. Estas credenciales proceden de incidentes en los que los hackers pudieron capturarlas. Por ejemplo, pueden haber hackeado un proveedor de correo electrónico, una tienda online o una compañía de tarjetas de crédito y haber accedido a las credenciales almacenadas allí. Estas listas se venden o incluso circulan de forma gratuita por Internet. El relleno de credenciales siempre tiene éxito debido a que muchos usuarios utilizan las mismas contraseñas varias veces y casi nunca las cambian. Esto implica que hay listas antiguas que siguen siendo útiles para los ciberdelincuentes. Los hackers no introducen estas credenciales de forma manual, sino que lo hacen automáticamente a través de los llamados bots. Esto les permite comprobar la validez de casi cualquier número de datos. Según la empresa de seguridad informática Shape Security, los intentos de relleno de credenciales suponen una media de entre el 80 y el 90 % del total de inicios de sesión de cualquier tienda online.
¿En el trabajo diario, dónde puedo encontrarme con el tema del relleno de credenciales?
La mayoría de las veces puedes encontrarte con este tema de forma indirecta, como cuando accedes a tu cuenta de usuario en un sitio web y te pide que introduzcas números y letras de una imagen distorsionada además de las credenciales. Los bots y los intentos de relleno de credenciales fracasan ante los llamados códigos Captcha.
¿Qué puedo hacer para mejorar mi seguridad?
- Como parte de la prueba de seguridad informática de Perseus, puedes comprobar si tu dirección de correo electrónico aparece en las listas comunes de relleno de credenciales. Si este es el caso, es muy importante que sigas las siguientes recomendaciones.
- Cambia las contraseñas que ya hayas utilizado durante algún tiempo: Si cambias tus contraseñas con bastante frecuencia, tus credenciales quedarán desactualizadas de forma más rápida en caso de robo. Si ya lo has hecho, deberás cambiar todas las contraseñas que utilices en combinación con la dirección de correo electrónico correspondiente.
- Utiliza tantas contraseñas diferentes como sea posible: Lo ideal es que no utilices una contraseña dos veces. Puedes utilizar un gestor de contraseñas (véase el siguiente párrafo), pero si no es una buena opción para ti, utiliza tantas contraseñas diferentes como sea posible. Asigna contraseñas únicas y lo más complejas posibles a aquellas cuentas de usuario en las que cualquier ciberataque suponga un daño especialmente grande.
- Regálate un gestor de contraseñas: Un gestor de contraseñas es un programa que genera una contraseña individual y compleja para cada cuenta de usuario y la recuerda para usarla en el futuro. Solo tienes que recordar la contraseña del propio gestor de contraseñas. En general, los gestores de contraseñas ofrecen un nivel alto de seguridad, pero no son infalibles. Al tratarse de un programa, en teoría también se puede hackear.
- Por lo tanto, protege tantas cuentas de usuario como sea posible con la autenticación de dos factores. La autenticación de dos factores proporciona una gran nivel de seguridad. Te recomendamos que la utilices en todas las cuentas que tengan esta opción.