ESET ha advertido del riesgo que afrontan los usuarios que usan la misma contraseña para varias cuentas porque esta práctica puede ser una puerta de entrada a sus servicios digitales, ya que los ciberdelincuentes, a través del método denominado “credential stuffing”, aprovechan las credenciales expuestas anteriormente para intentar acceder de manera automatizada a los diferentes espacios online.
La compañía señala que, a diferencia de los ataques de fuerza bruta, el credential stuffing no adivina las contraseñas, sino que reutiliza las combinaciones reales obtenidas en filtraciones anteriores, mercados clandestinos o a través de malware infostealer que roba datos directamente desde navegadores y dispositivos comprometidos.
Josep Albors, director de Investigación y Concienciación de ESET España, indica que “este tipo de ataque funciona porque explota un hábito muy extendido: reutilizar las contraseñas. Cuando una sola clave abre varias puertas, una filtración antigua puede convertirse en un problema actual y afectar a toda la vida digital de la víctima”.
La compañía explica que los ciberdelincuentes utilizan bots y herramientas automatizadas capaces de probar miles de combinaciones en formularios de inicio de sesión o API, rotando direcciones IP y simulando el comportamiento de usuarios legítimos para evitar ser detectados. Y, además, la incorporación de scripts asistidos por inteligencia artificial ha permitido aumentar la escala y el sigilo de estos ataques.
Para evitar este problema, ESET recomienda no reutilizar la misma contraseña en diferentes servicios y subraya que cada cuenta debe tener una clave única. Además, indica que es necesario activar la autenticación en dos pasos (2FA) siempre que esté disponible y que es recomendable utilizar un gestor de contraseñas para generar y almacenar combinaciones robustas y distintas para cada sitio.
Finalmente, señala que se debe comprobar periódicamente si el correo electrónico ha aparecido en alguna filtración mediante servicios especializados para cambiar las contraseñas inmediatamente si se ha producido esta exposición.
“El credential stuffing demuestra que la comodidad puede salir cara. Eliminar la reutilización de contraseñas y activar el segundo factor de autenticación son medidas sencillas que reducen enormemente el impacto de este tipo de ataques. La gestión adecuada de credenciales ya no es opcional: es una práctica básica de seguridad digital”, añade Albors.
