Credential stuffing: el riesgo de repetir contraseñas y cómo protegerse

08/18/2025

El credential stuffing (o relleno de credenciales) es un tipo de ciberataque en el que los actores maliciosos
utilizan usuarios y contraseñas que hayan sido filtradas para iniciar sesión en cuentas y servicios distintos al
que sufrió la filtración. El éxito de estos ataques se vale del hábito de reutilizar la misma contraseña para
diferentes cuentas o servicios. Entonces, si una contraseña se filtra, los atacantes solo deben probarla en
otros sitios donde el usuario tenga cuenta ya que si hay coincidencia, acceden sin necesidad de vulnerar el
sistema. ESET, compañía líder en detección proactiva de amenazas, analiza cómo es un ataque de credential
stuffing, por qué son tan efectivos, cuáles pueden ser sus consecuencias y cómo evitarlos.
“Repetir contraseñas es como usar la misma llave para abrir la casa, automóvil, oficina y la caja fuerte.
Prestar atención y gestionar las contraseñas correctamente es tan importante como cerrar la puerta de casa
con llave. Hábitos simples pueden marcar la diferencia: evitar la reutilización de contraseñas, activar el doble
factor de autenticación y usar un gestor seguro son prácticas que necesitamos incorporar para estar
protegidos ante este tipo de amenazas y muchas otras.”, comenta Camilo Gutiérrez Amaya, Jefe del
Laboratorio de Investigación de ESET Latinoamérica.
El inicio de un ataque de credential stuffing es la obtención por parte del cibercriminal de credenciales
filtradas, las mismas son provocadas por casos de brechas información, de empresas y organizaciones
importantes y reconocidas, que involucra la exposición de millones de datos. Con esa información sensible
disponible, y mediante la utilización de bots o scripts automatizados, se realizan pruebas de esas contraseñas
en diversos sitios, cuentas o servicios (como Netflix, Gmail, bancos, redes sociales, entre otras). Se llegan a
probar miles de logins por minuto.
En caso de que se encuentre una coincidencia, se realiza el ingreso a las cuentas. Este acceso sería idéntico al
del usuario legítimo, lo que dificulta su detección, ya que no hay una actividad sospechosa como pueden ser
los intentos fallidos reiterados.
Para entender mejor el impacto de estos ataques, desde ESET repasan dos casos concretos que muestran
cómo el credential stuffing puede comprometer miles de cuentas.
 Caso PayPal: Entre el 6 y el 8 de diciembre de 2022, PayPal sufrió un ataque de credential stuffing que
comprometió cerca de 35.000 cuentas, exponiendo información sensible como nombres, direcciones,
fechas de nacimiento y números de identificación tributaria.
 Snowflake: Más de 165 organizaciones fueron afectadas cuando atacantes accedieron a cuentas de
clientes de Snowflake utilizando credenciales robadas mediante malware tipo infostealer. Aunque no se
vulneró directamente la infraestructura de Snowflake, los atacantes aprovecharon la falta de
autenticación multifactor y el uso de contraseñas antiguas.
“Las grandes filtraciones de datos son la principal vía por la que los cibercriminales obtienen estas
credenciales, y suceden con más frecuencia de la esperada.”, agrega el especialista de ESET.

ESET -Nota de Prensa

En junio de 2025, por ejemplo, una serie de bases de datos que sumaban 16 mil millones de registros estuvo
alojada en repositorios mal configurados que quedaron expuestos y públicos.  Aunque la exposición fue
temporal, fue suficiente para que los investigadores, o cualquier persona, accedieran a los datos, que incluían
combinaciones de usuario y contraseña para servicios online como cuentas de Google, Facebook, Meta,
Apple, entre otros.
Pero no fue la única del año: en mayo, el investigador de seguridad Jeremiah Fowler reveló la exposición
pública de 184 millones de credenciales de acceso de cuentas de usuarios de todo el mundo. Allí se incluían
información de diversos proveedores de servidores de correo electrónico, productos de Apple, Google,
Facebook, Instagram, Snapchat, Roblox, por nombrar solo algunos. No solo eso: entre los registros había
credenciales de bancos y otras entidades financieras, plataformas de atención de salud y portales de
gobiernos de varios países.
Para evitar un ataque de credential stuffing ESET comparte distintas acciones:
1. Fundamental: no reutilizar una misma contraseña en diferentes cuentas, plataformas y servicios.
2. Tener contraseñas robustas, seguras y únicas en cada una de las cuentas. Para ello, es muy útil un gestor
de contraseñas, herramienta diseñada para almacenar credenciales de acceso y protegerlas mediante
cifrado, y además contar con una funcionalidad dedicada a generar contraseñas complejas y robustas.
3. Activar el doble factor de autenticación en todas las cuentas y servicios que sea posible. El segundo
factor es clave si una contraseña cae en las manos equivocadas, ya que el ciberatacante no podrá
acceder sin él a las cuentas.
4. Verificar si las contraseñas o credenciales de acceso ya fueron filtradas en alguna brecha de datos, para
cambiarlas de inmediato. Por ejemplo, en el sitio haveibeenpwned.com.
Para conocer más sobre seguridad informática visite el portal de noticias de ESET:
https://www.welivesecurity.com/es/contrasenas/ataque-credential-stuffing-riesgos-de-reutilizar/
Por otro lado, ESET invita a conocer Conexión Segura, su podcast para saber qué está ocurriendo en el
mundo de la seguridad informática. Para escucharlo ingrese a:

Artículos Relacionados

Filtraciones de datos que podrían ser una trampa

Filtraciones de datos que podrían ser una trampa

ESET Latinoamérica advierte que ignorar una notificación de infracción de datos real supone un riesgo, pero caer en una falsa podría ser aún peor y alienta a analizar los mensajes antes de actuar. Recibir una notificación sobre una filtración de datos solía ser algo...

La Montserratina consolida la cultura parrillera en Venezuela

La Montserratina consolida la cultura parrillera en Venezuela

La marca pionera de los Artesanos del Sabor celebra El Mes de la Parrilla destacando la evolución de una tradición culinaria que une a las familias venezolanas La parrilla en Venezuela trasciende el simple acto de asar carnes, constituye un tejido social, un ritual de...