El credential stuffing es un concepto que señala una nueva forma de ciberestafa, cibertimo o ciberrobo. En cualquier caso, un ciberdelito. Se basa en que todos, todos los días, nos servimos de de cientos y cientos de diversos servicios en internet. Pueden ser plataformas de televisión, servicios bancarios, cuentas de software, suscripciones de prensa y muchísimos más, tan solo por señalar algunos de los más populares.
¿En qué se parecen todos ellos? ¿Cuál es la característica común a todos ellos? Que todos necesitan una clave para acceder a ellos. Estas llaves, en el ciberespacio, son un nombre de usuario y una clave o contraseña.
Estas combinaciones de datos de acceso terminan a menudo filtrándose de un modo u otro para pasar a formar parte de grandes colecciones de credenciales que los cibercriminales ponen a la venta. Aquí es donde nacen las tácticas que los hackers o ciberdelincuentes emplean para cumplir sus fines. Una de ellas son las denominadas estrategias de credential stuffing.
En qué consiste el credential stuffing
Una explicación del credential stuffing lo describe como un ciberataque automatizado en el que los hackers o ciberdelincuentes utilizan bots -aplicaciones de software automatizadas que realizan tareas repetitivas en una red-, para intentar acceder continuamente a un sitio web con credenciales adquiridas en la Dark Web.
La Dark Web es una porción de Internet intencionalmente oculta a los motores de búsqueda, con direcciones IP enmascaradas y accesibles sólo con un navegador web especial. Así, en suma, el credential stuffing son una serie de ataques automatizados que suelen tener éxito porque las personas tienden a reutilizar las contraseñas en varias cuentas.
Cuando los atacantes descubren un conjunto de credenciales que funcionan, pueden utilizarlas para acceder de forma ilegítima a la red de una empresa o vender las credenciales validadas a otros delincuentes que pueden utilizarlas para robar datos, robar cuentas (ATO) y otras actividades fraudulentas.
¿Cómo protegerse del credential stuffing?
Estas son algunas maneras de evitar el credential stuffing:
- Crear una contraseña distinta para cada servicio online. De esta forma, si uno de ellos se ve comprometido, solo se sufrirá el robo de esa credencial, la cual deberá cambiarse tan pronto como sea posible.
- Utilizar un gestor de contraseñas resulta de gran utilidad para no tener que recordarlas todas y almacenarlas de forma segura. Estos gestores son aplicaciones sencillas que guardan las claves de acceso cifradas bajo una contraseña maestra (la única que se debe recordar).
- Siempre que el servicio lo permita, es aconsejable activar el doble factor de autenticación (código obtenido a través de una aplicación o mensaje SMS que se aplica después de la contraseña) para añadir una capa extra de seguridad. Así el ciberdelincuente no podrá acceder al servicio aunque tenga las contraseñas.
- Cambiar de forma periódica las contraseñas de los principales servicios. Las contraseñas deben ser robustas y contener mayúsculas, minúsculas, números y caracteres especiales.
- En caso de sufrir un ciberataque, es importante reportarlo a las autoridades u organismos oficiales de ciberseguridad. En España, el INCIBE proporciona ayuda a las víctimas de ataques de seguridad las 24 horas del día.
