Credential stuffing es distinto de la fuerza bruta. La fuerza bruta prueba contraseñas generadas o de diccionario contra un mismo usuario. El credential stuffing prueba combinaciones específicas usuario:contraseña que ya funcionaron en otro sitio. Estadísticamente es mucho más eficiente.
Qué es credential stuffing
Credential stuffing es un ataque automatizado en el que un atacante prueba combinaciones de usuario y contraseña obtenidas de filtraciones de otros servicios contra los formularios de inicio de sesión de la organización víctima. Se aprovecha de un comportamiento humano predecible: la mayoría de las personas reutiliza credenciales entre servicios. Si tu contraseña de un foro filtrado en 2019 es la misma que usas en tu correo corporativo, un atacante con esa lista solo necesita un script para comprobarlo en miles de servicios distintos.
Por qué importa
Es uno de los ataques más rentables y silenciosos del momento. La mayoría de las credenciales filtradas se compran por unos pocos dólares en mercados criminales, los bots automatizados ejecutan millones de intentos al día contra servicios públicos (correo, banca, comercio electrónico, herramientas SaaS), y las tasas de éxito son del orden del 0,1-1% — bajas, pero más que suficientes en volumen. Para una organización víctima, el resultado es compromiso de cuentas reales con credenciales legítimas, lo que dificulta detectarlo: no hay malware ni explotación de vulnerabilidades técnicas, solo "alguien entra con su contraseña". Bajo NIS2, DORA o RGPD, la fuga posterior de datos o el fraude consecuente disparan obligaciones de notificación y posibles sanciones.
Puntos clave
El éxito depende de la reutilización de contraseñas. Si tus usuarios usan contraseñas únicas por servicio, el credential stuffing contra ti falla. Si reutilizan, basta una sola filtración de un servicio externo para abrir múltiples puertas.
Los atacantes usan infraestructura distribuida (proxies, botnets, rotación de IP) para evitar detección por umbrales simples por dirección IP. La detección eficaz combina inteligencia de amenazas, fingerprinting de dispositivos y análisis de comportamiento.
Defensas eficaces: MFA obligatoria en cuentas críticas, monitorización contra Have I Been Pwned o equivalentes para detectar credenciales conocidas en compromisos previos, bloqueo progresivo en lugar de absoluto, y CAPTCHA solo cuando se detecta comportamiento sospechoso.
Ejemplo: campaña de credential stuffing contra una banca online
Un atacante adquiere una lista de 50 millones de credenciales filtradas de un foro masivo años atrás. Lanza ataques automatizados contra el portal de banca online de una entidad mediana española. Rota la IP origen entre 2.000 proxies distintos para evitar bloqueos por reputación. De los 50 millones de combinaciones, unas 80.000 son válidas (0,16%). Para cada cuenta válida, intenta operaciones de bajo importe que no exigen MFA. La entidad detecta el patrón porque el volumen total de intentos de login es 10 veces superior al normal, aunque ningún umbral por IP se ha disparado individualmente. Activa contención: fuerza reset de contraseña a las cuentas afectadas, exige MFA en operaciones que no la pedían y monitoriza salida de fondos en las cuentas comprometidas que no detectó a tiempo.
Errores habituales
- Confiar en bloqueo por IP. Una IP que falla 50 intentos se bloquea; pero 2.000 IPs que fallan 1 intento cada una pasan desapercibidas si el umbral está mal calibrado.
- No exigir MFA en cuentas sensibles. La práctica totalidad del credential stuffing falla cuando hay segundo factor: el atacante tiene la contraseña pero no el dispositivo o token físico. MFA es la defensa más barata y eficaz contra este ataque.
- No monitorizar credenciales conocidas. Servicios como Have I Been Pwned permiten consultar si una contraseña ha aparecido en alguna filtración. Forzar reset cuando coincide es una defensa proactiva fácil de operar.
- Confundirlo con ataques masivos de denegación. El credential stuffing busca acceso silencioso a cuentas legítimas, no caída del servicio. Los patrones de detección son distintos a los de DDoS.
Términos relacionados
Servicios relacionados
Este concepto puede tener relación con servicios como:
Preguntas frecuentes
¿Cómo se diferencia credential stuffing de un ataque de fuerza bruta?
La fuerza bruta prueba contraseñas generadas o de diccionario contra un usuario concreto. El credential stuffing prueba pares usuario:contraseña reales obtenidos de filtraciones anteriores. El segundo es mucho más eficiente porque aprovecha la reutilización de credenciales entre servicios, y bypasea fácilmente bloqueos por intentos fallidos.
¿MFA elimina por completo el riesgo de credential stuffing?
Lo reduce drásticamente. Un atacante con contraseña válida no puede completar el login si MFA está activo y bien implementado. Quedan vectores residuales como ataques MFA fatigue, suplantación de SIM o phishing dirigido a tokens, pero el credential stuffing automatizado masivo deja de funcionar.
¿Cómo detecto si está ocurriendo en mis servicios?
Señales típicas: pico de volumen de intentos de login muy por encima de la línea base, distribución geográfica anómala, ratio de fallos elevado, user-agents poco habituales, intentos contra cuentas que llevaban tiempo sin actividad. Un WAF con módulo de bot management y un SIEM con reglas para este patrón detectan la mayoría de campañas.