lukapinformatica

¿Qué es el Credential Stuffing?

Todos los usuarios de dispositivos móviles, ordenadores o portátiles disponen normalmente de servicios online como pueden ser una cuenta de correo electrónico, cuentas de usuarios de software, suscripciones a servicios de streaming o prensa online y demás.

Para poder acceder a todos estos servicios normalmente se necesita un nombre de usuario o dirección de correo y una contraseña. Por desgracia, estas combinaciones de acceso a menudo acaban filtrándose de un modo u otro formando parte de las colecciones de credenciales sustraídas que los ciberdelincuentes venden en la red.

¿Qué es el Credential Stuffing?

Podemos decir que es un tipo de ataque dirigido a nuestras credenciales y contraseñas a la hora de registrarnos en sitios web e iniciar sesión. Los ciberdelincuentes consiguen ésta información de muchas maneras, por ejemplo, robando nuestro historial de navegación a internet.

Su principal objetivo es acceder a la información confidencial guardada en las cuentas como pueden ser números de las tarjetas de crédito, direcciones postales, documentos, datos de contacto y demás. Intentan obtener cualquier tipo de datos del cual poder sacar provecho.

Para que la estrategia de cumplimentación de credenciales funcione, el ciberdelincuente necesita de cuatro herramientas:

  • Una lista de datos de acceso. Listas que consiguen en la darknet.
  • Una lista de las plataformas populares donde introducirse.
  • Una técnica que le permita utilizar muchas direcciones IP diferentes como emisor.
  • Un programa que actúe como un bot para que realice intentos de inicio de sesión automáticos en cada uno de los servicios online.

Una vez el ciberdelincuente consigue acceder, registrará toda la información potencialmente válida además de las propias credenciales para entrar en dicha cuenta. Con estas credenciales ya confirmadas podrá realizar ataques tipo phishing.

Diferencia con los ataques de fuerza bruta

El Credential Stuffing en sí mismo es un subconjunto de los ataques de fuerza bruta, pero para ser más exactos, es muy diferente a los ataques de fuerza bruta tradicional. Los ataques de fuerza bruta intentan averiguar las claves sin ningún tipo de pistas, utilizan programas con caracteres al azar que muchas veces se combinan con sugerencias de contraseñas comunes. El Credential Stuffing utiliza datos ya expuestos, por lo que sólo hay una respuesta correcta.

¿Cómo saber si estoy entre los perjudicados?

Últimamente se escuchan muchos casos en los que los ciberdelincuentes consiguen colarse dentro de las bases de datos de grandes proveedores de servicios online obteniendo así gran cantidad de datos de acceso de sus usuarios.

Esos largos listados de credenciales robadas se venden luego en la darknet, algunos como el famoso “Collection #1-5” contiene más de 2.200 millones de usuarios con su contraseña almacenada.

Normalmente si nuestro proveedor de servicio se ha visto vulnerable en algún caso, suele enviar un correo informativo a sus clientes para que cambien la contraseña lo antes posible.

Aun así, existe una esta web donde puedes comprobar si tu dirección de correo electrónico ya circula por la darknet.

¿Cómo protegerse?

A continuación, expondremos una serie de consejos y recomendaciones que deben realizarse bajo la supervisión de un profesional, y después de realizar una copia de seguridad del equipo.

La forma más sencilla y más segura es tener en todas tus cuentas, una contraseña para cada tipo de registro, aunque no sea la opción más cómoda, es la que más protección tiene. Para ello aconsejamos que tengas mayúsculas y minúsculas, números, algún símbolo y tener mínimo 12 dígitos.

En caso de que una contraseña de tus cuentas se filtre, no tienes que estar cambiando la contraseña de todos tus servicios online, sino únicamente la clave sustraída.

Además, para poder acordarte de todas las contraseñas es necesario disponer de un gestor de contraseñas ya sea mediante una aplicación en el equipo como un add-on en el navegador.

Incluso, a la hora de realizar los registros, aconsejamos utilizar diferentes nombres de usuario en cada una de las plataformas aparte de tener claves diferentes.

Si te dan la posibilidad, también es un añadido tener activada la opción de autentificación en dos pasos. De esta forma, si alguien averigua tu contraseña por algún motivo, no podrá acceder sin ese segundo paso.

 

* La realización de los trucos/procedimientos facilitados en este blog deben ser supervisados por un profesional, y deben realizarse después de realizar una copia de seguridad del equipo.

También te puede interesar...