Repetir la misma contraseña en Facebook, el banco y tu correo personal es como tener una sola llave maestra para tu casa, tu auto y tu oficina. Si alguien copia esa llave, tiene acceso a todo. En ciberseguridad, esto habilita un ataque devastador conocido como Credential Stuffing.
¿Qué es el Credential Stuffing?
Es una técnica donde los cibercriminales toman listas de usuarios y contraseñas filtradas de una brecha de seguridad (como la de una red social antigua) y usan bots para probar esas mismas credenciales en miles de otros sitios web (bancos, tiendas online, streaming).
- El factor humano: El éxito del ataque depende del hábito de reutilizar claves.
- Automatización: Los atacantes pueden probar miles de logins por minuto. Si hay coincidencia, entran sin necesidad de “hackear” el sistema, simplemente logueándose como si fueras vos.
“Hábitos simples pueden marcar la diferencia: evitar la reutilización de contraseñas y activar el doble factor de autenticación son prácticas obligatorias hoy en día”, comenta Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.
Casos Reales
- PayPal (2022): Un ataque comprometió cerca de 35.000 cuentas, exponiendo datos personales.
- Snowflake: Más de 165 organizaciones afectadas porque sus empleados usaban credenciales antiguas y sin doble factor de autenticación (2FA), permitiendo el robo de datos masivo.
Cómo protegerte
- Regla de Oro: Nunca repitas contraseñas. Cada cuenta debe tener una clave única.
- Gestores de Contraseñas: Usá herramientas como Bitwarden o 1Password para generar y guardar claves complejas sin tener que memorizarlas.
- Activa el 2FA: El doble factor de autenticación te protege incluso si tu contraseña es robada, ya que el atacante necesitará un segundo código que solo vos tenés.
- Verificá filtraciones: Sitios como Have I Been Pwned te permiten saber si tu correo ya figura en alguna base de datos filtrada.
Para seguir aprendiendo
Podés profundizar sobre esta técnica y cómo mitigarla en el artículo completo de WeLiveSecurity.