El mal uso de las contraseñas refuerza las técnicas de credential stuffing

ESET España avisa del riesgo inherente a una de las prácticas habituales para los usuarios domésticos: la reutilización de las contraseñas. Este mal hábito da rienda suelta al éxito de los ataques de credential stuffing, que se basan en la reutilización de contraseñas reales que han sido conseguidas en filtraciones de datos previas, a través de infostealers o en mercados de la dark web.

El factor humano es el eslabón más débil de la cadena de la seguridad y el uso inadecuado de las contraseñas es una de sus manifestaciones más claras. Desde ESET señala que “si un usuario emplea la misma clave en varios servicios, un único par de credenciales puede dar acceso a cuentas de banca online, correo electrónico, redes sociales o plataformas de comercio electrónico, aunque estos servicios no tengan relación entre sí”.

Al riesgo se suponen ataques que utilizan contraseñas reales, más difíciles de detectar que los de fuerza bruta, se añade el hecho de que “los ciberdelincuentes utilizan bots y herramientas automatizadas capaces de probar miles de combinaciones en formularios de inicio de sesión o APIs, rotando direcciones IP y simulando el comportamiento de usuarios legítimos para evitar ser detectados”.

Josep Albors, director de Investigación y Concienciación de ESET España, señala que “este tipo de ataque funciona porque explota un hábito muy extendido: reutilizar las contraseñas. Cuando una sola clave abre varias puertas, una filtración antigua puede convertirse en un problema actual y afectar a toda la vida digital de la víctima. En un entorno en el que las filtraciones de datos son recurrentes y las credenciales robadas circulan durante años, el credential stuffing demuestra que la comodidad puede salir cara”.