Credential stuffing

Hoy en día, todos usamos decenas, quizá centenares de servicios online: proveedores de correo electrónico, cuentas de software, servicios de streaming, suscripciones de prensa y muchos más. Para acceder a ellos casi siempre utilizamos un nombre de usuario y una contraseña. Estas combinaciones de datos de acceso, por desgracia, acaban a menudo filtrándose de un modo u otro para pasar a formar parte de grandes colecciones de credenciales que los cibercriminales ponen a la venta. Para robar dinero a partir de ellas, los hackers emplean, entre otras, las llamadas estrategias de credential stuffing.

No es raro que un cibercriminal consiga colarse en la base de datos de algún gran proveedor de servicios online para robar los datos de acceso de sus usuarios. Los largos listados de credenciales robadas se venden luego en la darknet: el listado más largo del que se sabe actualmente, y también el más famoso, recibe el nombre de Collection #1-5 y contiene más de 2200 millones de pares de nombres de usuario y contraseña — ¡un volumen de datos de unos 900 gigabytes!

¿Y qué se puede conseguir con este tipo de listas? A primera vista, podría parecer que no mucho, porque el proveedor en cuestión pediría a sus usuarios que cambiasen sus contraseñas en cuanto se percatase del robo de datos.

Si bien el cambio de contraseña sí arrebata a los hackers el acceso a la cuenta en cuestión, el problema no acaba ahí: la mayoría de los usuarios optan por la vía cómoda en su día a día y utilizan la misma combinación de correo electrónico y contraseña para diferentes servicios online. Esta es la baza de los criminales a la hora de usar el credential stuffing, que les permite seguir aprovechando los datos robados para entrar en otras cuentas.

El credential stuffing, o rellenado de credenciales, consiste en tratar de entrar en un sistema usando datos de acceso robados. Para conseguirlo, los hackers se valen de un gran número de credenciales distintas que han logrado filtrar de otros servicios en Internet. El objetivo del ataque es acceder a información confidencial guardada en las cuentas: números de tarjetas de crédito, direcciones postales, documentos, datos de contacto, etc. En otras palabras, se trata de obtener cualquier dato del cual el atacante pueda sacar provecho.

Según las estadísticas, 1 de cada 1000 intentos de iniciar sesión lo consigue. Eso significa que el atacante ha de probar una media de 1000 datos de acceso distintos hasta lograr entrar en la cuenta que desea.

Para que la estrategia de rellenado de credenciales dé sus frutos, el hacker necesita cuatro herramientas:

• Una lista de datos de acceso
• Una lista de las plataformas populares en las que desea introducirse (como Dropbox, Adobe Cloud, Canva, etc.)
• Una técnica que le permita utilizar muchas direcciones IP diferentes como emisor (rotación de IP)
• Un bot o programa informático que se encargue de realizar los intentos de inicio de sesión automáticos en cada uno de los servicios online

A través de este tipo de bots, el hacker prueba un par de credenciales tras otro para entrar en el servicio en cuestión, pero lo hace cada vez con una dirección IP diferente. Este cambio de dirección IP sirve para que el servidor de destino no bloquee los intentos de iniciar sesión, que es lo que haría cualquier servidor bien configurado que detectase cierto número de intentos fallidos.

Si, finalmente, logra iniciar sesión, el bot registra toda información potencialmente valiosa, como la que mencionábamos anteriormente, además de las credenciales con las que ha conseguido entrar en la cuenta. Con estas credenciales confirmadas, el atacante podrá llevar a cabo más adelante, por ejemplo, ataques de phishing.

Estos son dos de los métodos de robo de información a los que el credential stuffing gana claramente en eficiencia:

• Los ataques de fuerza bruta requieren muchos más intentos de inicio de sesión, ya que van probando opciones de contraseña totalmente aleatorias, mientras que el credential stuffing solo utiliza contraseñas que están en uso.
• La ingeniería social se limita a tratar de acceder a una plataforma en cuestión (por ejemplo, Amazon). El credential stuffing, en cambio, puede intentar acceder a cientos de servicios a la vez.

La medida de protección más sencilla y más segura es utilizar contraseñas diferentes para cada una de tus cuentas en Internet, aunque la idea no parezca especialmente cómoda. En realidad, encontrar un sistema para recordar las distintas contraseñas es mucho más fácil que tener que cambiarlas todas si alguna vez, por una brecha en la seguridad, alguna acaba filtrándose.

Estos son algunos de los métodos más eficaces para gestionar contraseñas diferentes:

• Tener un patrón secreto de contraseñas que guíe la creación de cada una de ellas. Uno de los patrones más populares consiste en combinar el nombre de la plataforma con una serie de números fija. Según este patrón, una posible contraseña de Dropbox sería, por ejemplo, dro33pbox22; y una de Amazon, ama33zon22.
• Utilizar un gestor de contraseñas, ya sea en forma de app o de add-on en el navegador.
• Usar distintas direcciones de correo electrónico o nombres de usuario para cada una de las plataformas, también con contraseñas diferentes.

Si gestionas una página web, una tienda online u ofreces algún servicio en Internet, tienes a tu disposición toda una gama de posibilidades para proteger a tus usuarios frente al credential stuffing:

• La autenticación basada en TOTP, que consiste en pedir contraseñas de un solo uso y con una validez temporal (time-based one-time password) para iniciar sesión.
• La autenticación multifactorial, que puede consistir, por ejemplo, en solicitar, además de la contraseña, un código de seguridad que se envía en forma de SMS al móvil.
• El bloqueo de navegadores sin interfaz gráfica (o headless browsers), que son los que utilizan los bots.
• El bloqueo del tráfico procedente de centros de datos, como pueden ser Amazon Web Services o IBM Watson, ya que los bots suelen operarse desde este tipo de centros.
• La aplicación de software de protección especializado. Con WordPress puede utilizarse, por ejemplo, el plugin Wordfence Login Security.
• La recopilación de las huellas digitales de dispositivo (o device fingerprinting). Esta técnica consiste en registrar ciertos parámetros que caracterizan los ordenadores de los usuarios como, por ejemplo, la dirección MAC o el tamaño del disco duro. Estos datos se convierten luego en un valor hash que permite identificar de inmediato los intentos de inicio de sesión desde dispositivos desconocidos.