El credential stuffing es una técnica de fraude automatizado en la que los atacantes utilizan combinaciones de usuario y contraseña obtenidas de filtraciones de datos para intentar iniciar sesión en otros servicios digitales.
Este tipo de ataque explota un comportamiento común: la reutilización de contraseñas entre diferentes plataformas. Si un usuario utiliza la misma contraseña en varios servicios, una credencial filtrada en un sitio puede permitir el acceso a múltiples cuentas en otros.
Cómo funciona el ataque
Los atacantes recopilan grandes bases de datos de credenciales filtradas disponibles en foros clandestinos o mercados de datos. Luego utilizan herramientas automatizadas y redes de proxies para probar millones de combinaciones de usuario y contraseña contra portales de login.
A diferencia de los ataques de fuerza bruta, el credential stuffing utiliza credenciales reales, lo que aumenta significativamente la probabilidad de éxito.
Para evitar los controles tradicionales, los atacantes suelen emplear:
- Bots automatizados que ejecutan miles de intentos simultáneos
- Rotación de IP y proxies para evadir bloqueos por dirección
- Simulación de tráfico legítimo para parecer actividad normal de usuarios
Como resultado, muchos intentos de acceso pueden parecer inicios de sesión válidos desde la perspectiva del sistema.
Un caso real: el ataque contra Dunkin
Un ejemplo conocido ocurrió cuando Dunkin sufrió ataque de credential stuffing contra cuentas de clientes.
Los atacantes utilizaron credenciales filtradas en brechas de datos externas y automatizaron intentos de login contra la plataforma. Cuando una combinación coincidía, obtenían acceso a la cuenta del usuario.
En varios casos, los delincuentes utilizaron los puntos de recompensa acumulados en las cuentas para realizar compras fraudulentas o transferir beneficios a otras cuentas.
Este incidente demostró que las organizaciones pueden ser comprometidas sin que sus propios sistemas hayan sido vulnerados directamente, sino mediante credenciales comprometidas en otros servicios.
Implicaciones para la seguridad digital
El credential stuffing sigue siendo una técnica ampliamente utilizada porque combina automatización, grandes volúmenes de credenciales filtradas y hábitos inseguros de los usuarios.
Las defensas tradicionales como límites de intentos o bloqueos por IP suelen ser insuficientes frente a ataques distribuidos. Detectar estos escenarios requiere analizar patrones de comportamiento, contexto de acceso e integridad del dispositivo para identificar actividad automatizada o anómala antes de que una cuenta sea comprometida.
En este contexto, soluciones como SmartID permiten detectar señales de automatización, evaluar el riesgo de cada inicio de sesión y bloquear accesos sospechosos antes de que se conviertan en un caso de Account Takeover.