¿Qué es el relleno de credenciales? Ejemplos y prevención

El relleno de credenciales es un tipo emergente de amenaza cibernética que aprovecha un comportamiento común de los usuarios: utilizar la misma contraseña en numerosas cuentas en línea. Los ciberdelincuentes aprovechan la vulnerabilidad del relleno de credenciales utilizando combinaciones de nombres de usuario y contraseñas robadas, a menudo obtenidas de violaciones anteriores, e intentan automáticamente iniciar sesión a gran escala en múltiples plataformas y servicios. Aunque el ataque puede diferir de otros en el hecho de que no implica técnicas sofisticadas como las que utilizan los hackers para entrar en los sistemas, el relleno de credenciales se beneficia de la simplicidad del error humano, principalmente, de que los usuarios no crean contraseñas únicas y seguras para cada una de sus cuentas.

Sin embargo, el ataque ha dejado helados a la mayoría de las empresas de todos los sectores. Las más afectadas son aquellas que gestionan información confidencial de clientes o transacciones financieras. Un credential stuffing exitoso podría suponer un golpe letal para cualquier empresa. Para las empresas, el impacto es multifacético: pueden enfrentarse a importantes pérdidas financieras debido al fraude o a transacciones no autorizadas, sufrir costosos daños a su reputación al erosionarse la confianza en su marca y, potencialmente, estar sujetas a sanciones legales y reglamentarias si no protegen los datos de los usuarios de acuerdo con las leyes de protección de datos, como el Reglamento General de Protección de Datos (RGPD) o la Ley de Privacidad del Consumidor de California (CCPA). De hecho, en 2018 y 2019, las amenazas combinadas de phishing y relleno de credenciales representaron aproximadamente la mitad de todas las violaciones de seguridad reveladas públicamente en Estados Unidos.

En este artículo, profundizamos en todos los detalles del relleno de credenciales, entendiendo cómo funciona, las diferencias con otros tipos de ataques similares y los pasos relacionados con su detección, prevención y respuesta.

¿Qué es el relleno de credenciales?

El relleno de credenciales es un ataque en el que los atacantes utilizan credenciales, nombres de usuario y contraseñas robados, obtenidos de una plataforma, para obtener acceso no autorizado a cuentas en otra plataforma. Dado que muchos usuarios reutilizan las mismas credenciales en varios sitios, esto resulta muy eficaz para los ladrones cibernéticos.

Los atacantes suelen ejecutar estos ataques con scripts o bots para enviar decenas de millones de intentos de inicio de sesión a miles de sitios diferentes. Una vez que un atacante consigue acceder a una cuenta, puede utilizarla para llevar a cabo otras actividades delictivas, como el robo de identidad o el fraude, o incluso comerciar con las credenciales de la cuenta’en la dark web.

Relleno de credenciales frente a ataques de fuerza bruta

Aunque tanto el relleno de credenciales como los ataques de fuerza bruta entran en la categoría de ciberataques, en realidad abarcan el mismo problema: intentos de inicio de sesión no autorizados en cuentas de usuario. Sin embargo, la diferencia entre los enfoques de estos dos métodos, aunque a primera vista son muy similares, radica en la implementación de cada uno.

• Relleno de credenciales: El relleno de credenciales es un ataque a gran escala. En este caso, los ciberdelincuentes roban los nombres de usuario y las contraseñas obtenidos en anteriores violaciones de datos. Estos suelen estar a la venta en la web oscura o se intercambian en foros de hackers. Los atacantes prueban estas combinaciones de inicio de sesión con herramientas de automatización, como bots, en diversos sitios y servicios, con la esperanza de que los usuarios hayan utilizado las mismas credenciales para otros sitios y, en la mayoría de los casos, las personas reutilizan sus contraseñas para diversas aplicaciones. La mayoría de las personas tienden a mantener las mismas contraseñas para diferentes aplicaciones, por lo que los atacantes pueden acceder fácilmente a las cuentas aprovechando la reutilización de contraseñas, sin apenas esfuerzo por su parte. En este aspecto, el relleno de credenciales se basa esencialmente en la cantidad más que en la calidad, ya que se basa en el phishing para detectar una mala higiene de contraseñas y simplemente intenta descifrar tantas cuentas como sea posible.
• Ataque de fuerza bruta: En comparación con esto, el ataque de fuerza bruta es más específico y laborioso. Los atacantes no se basan en credenciales robadas, sino que intentan adivinar la contraseña del usuario probando diferentes combinaciones de letras, números y símbolos hasta dar con la correcta. Esto se puede hacer a mano o, más comúnmente, utilizando herramientas automatizadas que generan rápidamente cientos de posibilidades de contraseñas. Los ataques de fuerza bruta afectan a una sola cuenta, no a cientos, por lo que son algo menos eficaces a la hora de descifrar una gran brecha. Además, debido a los numerosos intentos fallidos, es probable que el ataque sea detectado más pronto que tarde, de forma muy similar a como una pantalla CAPTCHA o un bloqueo de cuenta impedirían al atacante descifrar la cuenta.

Impacto del relleno de credenciales en las empresas

El relleno de credenciales puede causar un impacto extremadamente perjudicial en las empresas, ya que conlleva una serie de consecuencias relacionadas con la estabilidad financiera, la confianza de los clientes y el cumplimiento de las normas.

• Pérdida monetaria: El impacto más evidente es la pérdida monetaria. Los ataques exitosos de relleno de credenciales dan lugar a transacciones fraudulentas, robo de datos y estafas. La empresa también sufre pérdidas significativas en forma de costes de mitigación, ya que tiene que reembolsar a los clientes afectados, rastrear las infracciones mediante investigaciones adecuadas e implementar cierto nivel de mejoras de seguridad. Esto puede suponer millones de dólares para una gran organización en un periodo de tiempo muy corto.
• Daño a la reputación: Las violaciones de relleno de credenciales provocan la erosión de la confianza de los clientes. Cualquier infracción se difunde rápidamente y los clientes pierden la confianza en que la empresa protegerá su información personal. Esto puede provocar la pérdida de clientes, arruinar la lealtad a la marca y anular los esfuerzos por atraer nuevos clientes, todo lo cual tiene consecuencias a largo plazo para las empresas.
• Interrupción operativa: La interrupción operativa es otra preocupación fundamental. Un ataque de relleno de credenciales a menudo implica redirigir las competencias básicas de la empresa de su negocio a tareas de gestión e investigación. Esto se traduce en tiempo de inactividad, aumento de los gastos operativos y presión sobre los servicios de atención al cliente, que responden a las preguntas y resuelven los problemas de los usuarios afectados. La necesidad de reforzar la seguridad y corregir las vulnerabilidades también puede provocar breves periodos de ralentización de los procesos empresariales.

Objetivos comunes de los ataques de relleno de credenciales

Algunas industrias son objeto de estos ataques porque el valor de los datos a los que se ha obtenido acceso es elevado y el atacante puede monetizarlos fácilmente.

Estos son algunos de los objetivos más comunes de este tipo de ataques:

• Instituciones financieras: Una de las áreas más atractivas para atacar a las instituciones financieras es el relleno de credenciales. Los sitios de banca en línea, los procesadores de pagos y los servicios de tecnología financiera contienen información financiera confidencial; por lo tanto, el incentivo para atacar estos objetivos es muy alto para los atacantes. Una vez que los ciberdelincuentes obtienen acceso a una cuenta, pueden robar dinero, realizar transacciones no autorizadas o vender esas cuentas a otros delincuentes. Dado que existe la posibilidad directa de robo en cuentas financieras, las instituciones financieras suelen ser objeto de ataques, y el relleno de credenciales suele ser el precursor de un fraude financiero importante.
• Sitios de comercio electrónico: La otra área más atacada son las tiendas en línea o los sitios web de comercio electrónico. Los atacantes se dirigen a los minoristas en línea para obtener acceso a las cuentas de los clientes que contienen información sobre pagos, detalles de envío o números de tarjetas de crédito almacenados. Una vez que lo consiguen, los atacantes pueden realizar compras no autorizadas, robar puntos de fidelidad o cambiar los datos de la cuenta para continuar con la práctica fraudulenta. El hecho de que las plataformas de comercio electrónico estén repletas de cuentas de usuario potenciales y explotables las hace más vulnerables a los ataques de relleno de credenciales.
• Plataformas de redes sociales: A menudo, las cuentas de redes sociales son el objetivo. Los atacantes, tras violar una cuenta de redes sociales, roban información personal y utilizan la cuenta para difundir malware, enlaces de phishing u otro contenido malicioso. Un atacante puede seguir suplantando al propietario de la cuenta, convenciendo a sus contactos para que le faciliten información confidencial o se conviertan en víctimas de determinadas estafas, tras obtener acceso a una cuenta de redes sociales. De hecho, debido a la popularidad de las redes sociales en todo el mundo, un ataque exitoso de relleno de credenciales podría tener graves consecuencias.

¿Cómo funciona el relleno de credenciales?

El relleno de credenciales es una forma de ciberataque sistemático y automatizado que aprovecha el uso de credenciales de inicio de sesión comprometidas en múltiples plataformas. El ataque suele desarrollarse en una serie de pasos, en los que los atacantes aprovechan las herramientas y recursos disponibles para ejecutar intentos de inicio de sesión a gran escala.

Así es como suele funcionar el relleno de credenciales:

1. Adquisición de credenciales: En un ataque de relleno de credenciales, la adquisición de credenciales de inicio de sesión robadas suele comenzar con combinaciones de nombres de usuario y contraseñas. Estas cuentas suelen obtenerse de otras violaciones anteriores, operaciones de phishing o comprarse en sitios web de la darknet. Muchas de estas credenciales se filtran en fugas de datos gigantescas, que a veces ascienden a millones de credenciales de cuentas. A través de estas listas, los atacantes se basan en la mera posibilidad de que los usuarios hayan utilizado las mismas credenciales de inicio de sesión en otros sitios.
2. Intentos de inicio de sesión automatizados: Una vez recibidas estas credenciales, los hackers generan automáticamente intentos de inicio de sesión en una amplia lista de sitios web y aplicaciones en línea. Estos bots pueden llevar a cabo miles de intentos de inicio de sesión en segundos introduciendo pares de nombres de usuario y contraseñas robados en una serie de servicios, como sitios de banca en línea, sitios web de comercio electrónico, sitios de redes sociales y muchos otros. La automatización es clave para el relleno de credenciales, ya que permite a los atacantes acceder a múltiples cuentas en muy poco tiempo y con el mínimo esfuerzo. La idea es probar tantas credenciales como sea posible para encontrar algunas que coincidan.
3. Inicios de sesión exitosos: si alguna de las credenciales robadas coincide con una de otra plataforma, el atacante obtiene acceso no autorizado a la cuenta. Este es el paso básico en el que el relleno de credenciales se desvía de los ataques de fuerza bruta, ya que el relleno de credenciales se basa en credenciales de inicio de sesión válidas, mientras que el ataque de fuerza bruta prueba combinaciones aleatorias de contraseñas. Dado que la mayoría de las personas utilizan la misma contraseña para acceder a diferentes plataformas y se prueban grandes volúmenes de credenciales, las posibilidades de encontrar una coincidencia son relativamente altas.
4. Explotación adicional: Una vez que el atacante ha iniciado sesión con la cuenta reutilizada, hay varias formas de explotar la cuenta comprometida. Dependiendo del tipo de cuenta comprometida, podrían robar información privada confidencial, información financiera o información de pago. En el caso de una plataforma de comercio electrónico, realizarían compras o transferencias no autorizadas. Además, los hackers venderían el acceso a estas cuentas comprometidas o simplemente las utilizarían para llevar a cabo nuevos ataques, como phishing, propagación de malware, entre otros, e intentos de relleno de credenciales. Las cuentas de los suscriptores también pueden revenderse para servicios de suscripción, de modo que otras personas puedan utilizarlas para consumir contenido de pago gratuito.

¿Cómo responder a un incidente de relleno de credenciales?

Cuando se detecta un ataque de relleno de credenciales, es fundamental actuar con rapidez y decisión para limitar los daños y proteger las cuentas de los usuarios.

A continuación se explica cómo responder de forma eficaz:

1. Bloquear las cuentas comprometidas: Una vez que se ha descubierto que la cuenta está comprometida, la primera medida es bloquear las cuentas comprometidas. Asegúrese de que los usuarios comprometidos cambien sus contraseñas de inmediato. Evite cualquier explotación adicional cerrando las cuentas de acceso hasta que el usuario pueda identificarse y restablecer su contraseña.
2. Supervisar actividades inusuales: Supervise los cambios en el comportamiento de las cuentas y la actividad de inicio de sesión. Identifique señales de alerta, como picos en los intentos de inicio de sesión, acceso desde direcciones IP desconocidas o transacciones sospechosas. Utilice herramientas automatizadas para señalar actividades fuera de lo normal y facilitar la identificación en tiempo real de vulnerabilidades.
3. Informar a los usuarios afectados: Sea transparente. Póngase en contacto con todos los usuarios afectados por las cuentas comprometidas en tiempo real y pídales que cambien todas sus contraseñas dondequiera que las hayan utilizado. Sugiera al usuario que active la autenticación multifactorial (MFA), lo que evitará nuevos ataques al añadir una capa de seguridad adicional.
4. Implemente mejoras de seguridad: Añada más controles para ayudar a reforzar las defensas contra los ataques. Implemente listas negras de IP para bloquear las fuentes conocidas de los malos; retos CAPTCHA para detener los bots automatizados; y mejoras generales en la supervisión de la seguridad. Revise los procesos de inicio de sesión y aplique límites de frecuencia para detener los ataques automatizados a gran escala.

¿Cómo detectar los intentos de relleno de credenciales?

La detección temprana de los intentos de relleno de credenciales es una forma clave de limitar el daño que pueden causar e implica una combinación de herramientas técnicas avanzadas, protocolos de seguridad y una supervisión vigilante.

Por lo tanto, las organizaciones pueden detectar y responder a los intentos de relleno de credenciales mediante la supervisión de estos indicios y el uso de tecnologías de seguridad pertinentes.

Algunos de los métodos clave para detectar este tipo de ataques son:

• Aumento repentino de los intentos de inicio de sesión fallidos: El indicador más evidente del relleno de credenciales es un aumento repentino de los intentos fallidos de inicio de sesión. Dado que los atacantes utilizan credenciales robadas en varias cuentas, muchas de ellas no coincidirán con los usuarios existentes o incluso quedarán obsoletas, lo que provocará múltiples intentos fallidos de inicio de sesión. Este es también el indicador más importante que hay que vigilar, ya que a menudo supone una indicación de que algún bot automatizado está enviando spam con combinaciones de nombre de usuario y contraseña a un ritmo muy rápido.
• Patrones de acceso geográficos inusuales: Los ataques de relleno de credenciales suelen incluir intentos de inicio de sesión desde numerosas ubicaciones geográficas en un periodo de tiempo sorprendentemente corto. Para ocultar su actividad, los atacantes podrían estar utilizando bots ubicados en un gran número de regiones o países. Esto crea situaciones en las que las cuentas indican inicios de sesión desde múltiples ubicaciones, a menudo desconocidas para usted. Por lo tanto, esté atento a las cuentas que muestren este tipo de anomalías geográficas.
• Aumento del uso de bots: Los ataques se suelen realizar utilizando bots automatizados diseñados para realizar grandes volúmenes de intentos de inicio de sesión en rápida sucesión. La detección de actividad no humana es crucial para detectar estos ataques. Las herramientas de análisis de tráfico pueden identificar comportamientos similares a los de los bots, como intentos de inicio de sesión extremadamente rápidos, patrones de solicitud inusuales o actividades que eluden los retos CAPTCHA. Las soluciones de detección de bots o el análisis de comportamiento pueden señalar los intentos de acceso anormales, lo que da a los administradores del sistema tiempo suficiente para tomar medidas paliativas y bloquear las actividades maliciosas antes de que comprometan las cuentas.

Mejores prácticas para la prevención del relleno de credenciales

Se recomienda a las empresas que adopten diversas medidas de seguridad que refuercen la protección de las cuentas y minimicen la vulnerabilidad al relleno de credenciales. Estas medidas están diseñadas para bloquear los intentos de inicio de sesión automatizados, promover buenas prácticas en materia de contraseñas y añadir capas de defensa.

Algunas de las mejores prácticas para prevenir un ataque de relleno de credenciales son las siguientes:

1. Autenticación multifactorial (MFA): La defensa más eficaz contra los ataques de relleno de credenciales es la autenticación multifactorial (MFA). La autenticación multifactorial añade una capa de protección, ya que se requiere una forma adicional de verificación más allá de la contraseña, como introducir un código de un solo uso enviado al teléfono del usuario, un factor biométrico, como el reconocimiento de huellas dactilares, o una notificación push. Incluso si los atacantes logran obtener credenciales de inicio de sesión válidas, no pueden acceder a ninguna de las cuentas sin un segundo factor o autenticación. Esto hace que sea mucho más difícil para los atacantes comprometer las cuentas de los usuarios.
2. Limitación de velocidad: se trata de una técnica mediante la cual se puede limitar el número de intentos de inicio de sesión que provienen de una dirección IP o un usuario concretos en un determinado periodo de tiempo. Las empresas reducirán drásticamente la eficacia de estos ataques de relleno de credenciales limitando el número de intentos de inicio de sesión que se pueden realizar en un plazo de tiempo muy breve. La limitación de la tasa ralentiza a los atacantes y hace que las pruebas a gran escala de credenciales sean más engorrosas y menos eficaces.
3. Desafíos CAPTCHA: Una de las defensas más eficaces contra los ataques de relleno de credenciales es incluir desafíos CAPTCHA en los procesos de inicio de sesión. Los CAPTCHA se utilizan para distinguir entre humanos y bots, ya que requieren que el usuario resuelva acertijos triviales y complete tareas que son fáciles para un humano, pero difíciles para un sistema automatizado. Esto reduce los intentos de los bots de iniciar sesión en las cuentas de forma repetitiva, lo que se traduce en una reducción de las oportunidades de manipulación de las cuentas. Los CAPTCHA son aún más útiles cuando se combinan con la limitación de velocidad y otras tecnologías de detección de bots.
4. Políticas de seguridad de contraseñas: Esto es necesario para prevenir los ataques basados en el relleno de credenciales. Las organizaciones deben contar con políticas que obliguen a los usuarios a crear contraseñas complejas que sean difíciles de adivinar o descifrar. Por ejemplo, las organizaciones deben exigir el uso de letras mayúsculas y minúsculas, números y caracteres especiales. Las empresas también deben fomentar el cambio frecuente de contraseñas para que los usuarios no utilicen la misma contraseña para varias cuentas. Quizás la mejor práctica para minimizar el riesgo de compromiso de las cuentas sea educar a los usuarios sobre la creación de contraseñas robustas y únicas.
5. Supervisión y detección de anomalías: Debe haber una supervisión continua de los intentos de inicio de sesión y del comportamiento de los usuarios, ya que los mecanismos de detección y respuesta funcionan en tiempo real contra los ataques de relleno de credenciales. El sistema de detección de anomalías también es útil para señalar patrones sospechosos, como intentos inusuales de iniciar sesión en gran número a través de la misma dirección IP o varios intentos fallidos de inicio de sesión en una cuenta. Algunas organizaciones utilizan alertas para actividades sospechosas y notifican a los usuarios que sus cuentas han sido bloqueadas y sometidas a procesos de verificación más estrictos durante un periodo de tiempo.

Ataques de relleno de credenciales: ejemplos de la vida real

En esta sección, exploraremos ataques de relleno de credenciales de la vida real, junto con los métodos utilizados por los atacantes, el impacto en las víctimas y las lecciones aprendidas para ampliar las medidas de seguridad. Uno de los más significativos es el caso de Nintendo, que sufrió un importante ataque de relleno de credenciales en 2020 y demuestra los peligros asociados con la reutilización de credenciales, así como la importancia de unas prácticas de seguridad sólidas.

• Nintendo: En 2020, Nintendo sufrió uno de los ataques de relleno de credenciales más dañinos después de que los piratas informáticos explotaran datos de inicio de sesión ya comprometidos y utilizaran herramientas de crimeware especializadas para acceder sin permiso a miles de cuentas de usuario. Sin embargo, el compromiso real fue de unas 160 000 cuentas, ya que los hackers utilizaron listas de nombres de usuario y contraseñas que se habían hecho públicas tras otras violaciones. Muchos de ellos utilizaban un único inicio de sesión para su Nintendo Network ID, de ahí la facilidad con la que los atacantes lograron iniciar sesión en esas cuentas.
• Spotify: En el año 2020, Spotify sufrió un ataque masivo de relleno de credenciales que comprometió millones de cuentas. Los hackers utilizaron nombres de usuario y contraseñas filtrados de violaciones de datos anteriores que les permitieron acceder ilegalmente a las cuentas de los usuarios de Spotify. Este fue uno de los muchos ataques de relleno de credenciales, en los que los ciberdelincuentes aprovecharon un patrón muy común entre muchos usuarios de reutilizar la misma contraseña en múltiples servicios. Una vez que los atacantes obtuvieron las credenciales filtradas, aplicaron herramientas automatizadas y bots para intentar iniciar sesión en cuentas de Spotify de forma masiva. La mayoría de los usuarios de Spotify reutilizaron contraseñas de otros servicios que habían sido vulnerados, lo que hizo que sus cuentas fueran vulnerables a ser pirateadas.
• El dilema de Deliveroo: Otro gigante de la entrega de comida a domicilio, Deliveroo, tampoco se libró de los ataques de relleno de credenciales. Aparecieron transacciones misteriosas en las cuentas de los clientes, y varios usuarios se quejaron de pedidos desconocidos que aparecían en múltiples lugares del mundo. Los atacantes utilizaron estas mismas credenciales para entrar en diferentes cuentas de usuario aprovechando el hecho de que la plataforma no había habilitado la autenticación multifactorial para proteger las cuentas de los usuarios La facilidad con la que los atacantes pudieron violar las cuentas de los clientes provocó daños económicos y también la pérdida de confianza en la marca. Fue en medio de un evento de este tipo cuando se puso de manifiesto la necesidad de reforzar aún más las medidas de seguridad en estos canales, lo que incluye la autenticación de dos factores, para evitar el acceso no autorizado a las cuentas.
• La violación de Ticketfly: En 2018, los piratas informáticos obtuvieron acceso a los datos de alrededor de 27 millones de cuentas de Ticketfly tras un ataque de relleno de credenciales. Aprovecharon una vulnerabilidad en el sitio web para obtener acceso no autorizado a miles de cuentas de consumidores y organizadores de eventos. La filtración reveló información confidencial a personas no autorizadas, incluidos nombres de usuario, direcciones de correo electrónico y contraseñas cifradas. La filtración de Ticketfly pone de relieve que las empresas deben revisar periódicamente sus medidas de seguridad, corregir las vulnerabilidades e instar a los usuarios a que practiquen una buena higiene de contraseñas.

Conclusión

El relleno de credenciales es una amenaza cibernética cada vez más creciente contra la que las empresas deben actuar de forma proactiva para garantizar la seguridad de sus operaciones, los datos de sus clientes y su reputación. Dado que la mayoría de los ciberatacantes utilizan ahora credenciales de inicio de sesión robadas a personas en diversas violaciones de seguridad, las empresas corren un mayor riesgo de sufrir apropiaciones de cuentas, pérdidas financieras e interrupciones operativas. La buena noticia es que estos riesgos pueden reducirse considerablemente adoptando prácticas y soluciones de seguridad sólidas.

Comprender cómo funcionan los ataques de relleno de credenciales y cómo se pueden implementar mecanismos de defensa, como la autenticación multifactorial (MFA), la limitación de velocidad, los desafíos CAPTCHA y la supervisión periódica de la seguridad, puede reducir la posibilidad de accesos no autorizados. Con la tecnología adecuada para respaldar estos esfuerzos, las empresas pueden mantenerse siempre por delante de los ciberdelincuentes y mantener sus sistemas, cuentas y datos a salvo.

"