¿Qué es el Credential Stuffing?

El credential stuffing es otro tipo de ciberataque que sufren en los sectores financieros, y que ha aumentado hasta un 45% en los últimos años. Te explicamos qué es y cómo funciona, en la siguiente entrada.

¿Qué es el credential stuffing?

El credential stuffing o reutilización de credenciales robadas es un tipo de ciberataque en el que las credenciales de cuentas robadas se utilizan para acceder de forma no autorizada a las cuentas de los usuarios aprovechando los logins automáticos contra aplicaciones web.

Estas credenciales robadas normalmente son una lista de nombres de usuario/correos electrónicos y sus respectivas contraseñas conseguidas, a menudo, a través de una violación de datos.

Diferencia Credential Stuffing vs Credential Creacking

A diferencia del credential cracking o descifrado de credenciales, este tipo de cibertaque no busca usar la fuerza bruta para descifrar las credenciales ni adivinarlas. El atacante solamente automatiza los logins para una gran cantidad de credenciales. Normalmente usando herramientas diseñadas para ello como Sentry MBS, SNIPR, STORM, Blackbullet o Openbullet o utilizando herramientas de automatización web como Selenium, cURL o PhantomJS.

Soluciones ante estos ataques

Como usuarios podemos defendernos de este tipo de ataques como el credentinal stuffing. ¿Cómo? Por ejemplo, no repitiendo nunca contraseñas en diferentes sitios web, así dificultamos el trabajo de explotación. Aquí existen herramientas que nos facilitan crear contraseñas distintas, como el uso de un Password Manager que nos facilite esta opción.

También podemos aprovechar la funcionalidad Autenticación Multi Factor (MFA) o Autenticación en dos pasos, que impedirá que los ciberatacantes puedan hacer uso de las credenciales ya que les hará falta otro elemento, como puede ser un correo, un SMS u otro modo para realizar la verificación completa y poder acceder.

Asimismo, sería recomendable buscar si nuestras credenciales han sido vulneradas para poder cambiarlas cuanto antes.

Y utilizar nuestro sentido común antes de caer en una trampa de ciberataques. Internet está lleno de ciberdelicuentes y debemos estar alerta. Esperamos que este resumido post os ayude en un futuro, a detectar este tipo de estafas.