Hoy en día, todos usamos decenas, quizá ce­n­te­na­res de servicios online: pro­vee­do­res de correo ele­c­tró­ni­co, cuentas de software, servicios de streaming, su­s­cri­p­cio­nes de prensa y muchos más. Para acceder a ellos casi siempre uti­li­za­mos un nombre de usuario y una co­n­tra­se­ña. Estas co­m­bi­na­cio­nes de datos de acceso, por desgracia, acaban a menudo fi­l­trá­n­do­se de un modo u otro para pasar a formar parte de grandes co­le­c­cio­nes de cre­de­n­cia­les que los ci­be­r­cri­mi­na­les ponen a la venta. Para robar dinero a partir de ellas, los hackers emplean, entre otras, las llamadas es­tra­te­gias de cre­de­n­tial stuffing.

¿Por qué es tan peligroso el cre­de­n­tial stuffing?

No es raro que un ci­be­r­cri­mi­nal consiga colarse en la base de datos de algún gran proveedor de servicios online para robar los datos de acceso de sus usuarios. Los largos listados de cre­de­n­cia­les robadas se venden luego en la darknet: el listado más largo del que se sabe ac­tua­l­me­n­te, y también el más famoso, recibe el nombre de Co­lle­c­tion #1-5 y contiene más de 2200 millones de pares de nombres de usuario y co­n­tra­se­ña — ¡un volumen de datos de unos 900 gigabytes!

¿Y qué se puede conseguir con este tipo de listas? A primera vista, podría parecer que no mucho, porque el proveedor en cuestión pediría a sus usuarios que cambiasen sus co­n­tra­se­ñas en cuanto se percatase del robo de datos.

Consejo

En la web del Instituto Hasso Plattner puedes comprobar si tu dirección de correo ele­c­tró­ni­co ya circula por la darknet.

Si bien el cambio de co­n­tra­se­ña sí arrebata a los hackers el acceso a la cuenta en cuestión, el problema no acaba ahí: la mayoría de los usuarios optan por la vía cómoda en su día a día y utilizan la misma co­m­bi­na­ción de correo ele­c­tró­ni­co y co­n­tra­se­ña para di­fe­re­n­tes servicios online. Esta es la baza de los cri­mi­na­les a la hora de usar el cre­de­n­tial stuffing, que les permite seguir apro­ve­cha­n­do los datos robados para entrar en otras cuentas.

Consejo

Para saber más sobre la seguridad de las co­n­tra­se­ñas, no te pierdas nuestro artículo dedicado a este tema. También puedes consultar la Digital Guide para aprender cómo no perder de vista tus di­fe­re­n­tes cre­de­n­cia­les de acceso usando un gestor de co­n­tra­se­ñas.

El cre­de­n­tial stuffing explicado bre­ve­me­n­te

El cre­de­n­tial stuffing, o rellenado de cre­de­n­cia­les, consiste en tratar de entrar en un sistema usando datos de acceso robados. Para co­n­se­gui­r­lo, los hackers se valen de un gran número de cre­de­n­cia­les distintas que han logrado filtrar de otros servicios en Internet. El objetivo del ataque es acceder a in­fo­r­ma­ción co­n­fi­de­n­cial guardada en las cuentas: números de tarjetas de crédito, di­re­c­cio­nes postales, do­cu­me­n­tos, datos de contacto, etc. En otras palabras, se trata de obtener cualquier dato del cual el atacante pueda sacar provecho.

Según las es­ta­dí­s­ti­cas, 1 de cada 1000 intentos de iniciar sesión lo consigue. Eso significa que el atacante ha de probar una media de 1000 datos de acceso distintos hasta lograr entrar en la cuenta que desea.

¿Cómo funciona el cre­de­n­tial stuffing?

Para que la es­tra­te­gia de rellenado de cre­de­n­cia­les dé sus frutos, el hacker necesita cuatro he­rra­mie­n­tas:

  • Una lista de datos de acceso
  • Una lista de las pla­ta­fo­r­mas populares en las que desea in­tro­du­ci­r­se (como Dropbox, Adobe Cloud, Canva, etc.)
  • Una técnica que le permita utilizar muchas di­re­c­cio­nes IP di­fe­re­n­tes como emisor (rotación de IP)
  • Un bot o programa in­fo­r­má­ti­co que se encargue de realizar los intentos de inicio de sesión au­to­má­ti­cos en cada uno de los servicios online

A través de este tipo de bots, el hacker prueba un par de cre­de­n­cia­les tras otro para entrar en el servicio en cuestión, pero lo hace cada vez con una dirección IP diferente. Este cambio de dirección IP sirve para que el servidor de destino no bloquee los intentos de iniciar sesión, que es lo que haría cualquier servidor bien co­n­fi­gu­ra­do que detectase cierto número de intentos fallidos.

Si, fi­na­l­me­n­te, logra iniciar sesión, el bot registra toda in­fo­r­ma­ción po­te­n­cia­l­me­n­te valiosa, como la que me­n­cio­ná­ba­mos an­te­rio­r­me­n­te, además de las cre­de­n­cia­les con las que ha co­n­se­gui­do entrar en la cuenta. Con estas cre­de­n­cia­les co­n­fi­r­ma­das, el atacante podrá llevar a cabo más adelante, por ejemplo, ataques de phishing.

Estos son dos de los métodos de robo de in­fo­r­ma­ción a los que el cre­de­n­tial stuffing gana cla­ra­me­n­te en efi­cie­n­cia:

  • Los ataques de fuerza bruta requieren muchos más intentos de inicio de sesión, ya que van probando opciones de co­n­tra­se­ña to­ta­l­me­n­te alea­to­rias, mientras que el cre­de­n­tial stuffing solo utiliza co­n­tra­se­ñas que están en uso.
  • La in­ge­nie­ría social se limita a tratar de acceder a una pla­ta­fo­r­ma en cuestión (por ejemplo, Amazon). El cre­de­n­tial stuffing, en cambio, puede intentar acceder a cientos de servicios a la vez.

¿Cómo pro­te­ge­r­se ante el cre­de­n­tial stuffing?

La medida de pro­te­c­ción más sencilla y más segura es utilizar co­n­tra­se­ñas di­fe­re­n­tes para cada una de tus cuentas en Internet, aunque la idea no parezca es­pe­cia­l­me­n­te cómoda. En realidad, encontrar un sistema para recordar las distintas co­n­tra­se­ñas es mucho más fácil que tener que ca­m­biar­las todas si alguna vez, por una brecha en la seguridad, alguna acaba fi­l­trá­n­do­se.

Consejo

En este artículo te contamos cómo puedes ase­gu­rar­te de elegir una co­n­tra­se­ña segura.

Estos son algunos de los métodos más eficaces para gestionar co­n­tra­se­ñas di­fe­re­n­tes:

  • Tener un patrón secreto de co­n­tra­se­ñas que guíe la creación de cada una de ellas. Uno de los patrones más populares consiste en combinar el nombre de la pla­ta­fo­r­ma con una serie de números fija. Según este patrón, una posible co­n­tra­se­ña de Dropbox sería, por ejemplo, dro33pbox22; y una de Amazon, ama33zon22.
  • Utilizar un gestor de co­n­tra­se­ñas, ya sea en forma de app o de add-on en el navegador.
  • Usar distintas di­re­c­cio­nes de correo ele­c­tró­ni­co o nombres de usuario para cada una de las pla­ta­fo­r­mas, también con co­n­tra­se­ñas di­fe­re­n­tes.

Medidas de pro­te­c­ción para se­r­vi­do­res

Si gestionas una página web, una tienda online u ofreces algún servicio en Internet, tienes a tu di­s­po­si­ción toda una gama de po­si­bi­li­da­des para proteger a tus usuarios frente al cre­de­n­tial stuffing:

  • La au­te­n­ti­ca­ción basada en TOTP, que consiste en pedir co­n­tra­se­ñas de un solo uso y con una validez temporal (time-based one-time password) para iniciar sesión.
  • La au­te­n­ti­ca­ción mu­l­ti­fa­c­to­rial, que puede consistir, por ejemplo, en solicitar, además de la co­n­tra­se­ña, un código de seguridad que se envía en forma de SMS al móvil.
  • El bloqueo de na­ve­ga­do­res sin interfaz gráfica (o headless browsers), que son los que utilizan los bots.
  • El bloqueo del tráfico pro­ce­de­n­te de centros de datos, como pueden ser Amazon Web Services o IBM Watson, ya que los bots suelen operarse desde este tipo de centros.
  • La apli­ca­ción de software de pro­te­c­ción es­pe­cia­li­za­do. Con WordPress puede uti­li­zar­se, por ejemplo, el plugin Wordfence Login Security.
  • La re­co­pi­la­ción de las huellas digitales de di­s­po­si­ti­vo (o device fi­n­ge­r­pri­n­ti­ng). Esta técnica consiste en registrar ciertos pa­rá­me­tros que ca­ra­c­te­ri­zan los or­de­na­do­res de los usuarios como, por ejemplo, la dirección MAC o el tamaño del disco duro. Estos datos se co­n­vie­r­ten luego en un valor hash que permite ide­n­ti­fi­car de inmediato los intentos de inicio de sesión desde di­s­po­si­ti­vos de­s­co­no­ci­dos.
Ce­r­ti­fi­ca­do SSL
Protégete y compra un ce­r­ti­fi­ca­do SSL

Evita aparecer en la barra del navegador como "página no segura" y consigue la confianza de tus clientes con una página web con en­cri­p­ta­ción SSL.

Ir al menú principal