Volver al blog
Amenazas

Credential stuffing y fuerza bruta: cómo usan tus contraseñas filtradas para robarte

Miles de millones de contraseñas están a la venta en la dark web. Descubrí cómo los atacantes las reusan para entrar a tus cuentas y qué podés hacer para protegerte.

Equipo Cibershield16 Abr, 202610 min de lectura

La llave que abre todas las puertas

Imaginá que tenés una llave maestra que abre la puerta de tu casa, tu oficina, tu carro y tu bodega. Cómodo, ¿verdad? Ahora imaginá que perdés esa llave, o que alguien le saca una copia sin que lo sepás. De repente, esa persona tiene acceso a todo. Eso es exactamente lo que pasa cuando usás la misma contraseña en todos lados y una de esas cuentas sufre una filtración. Tu contraseña queda expuesta, y los atacantes la prueban en todos los servicios imaginables hasta que encuentran dónde más funciona.

No es un escenario hipotético. Según el informe de Verizon Data Breach Investigations Report, el 86% de los accesos no autorizados involucran credenciales robadas o débiles. Y hay más de 24 mil millones de combinaciones de usuario y contraseña circulando en la dark web, según Digital Shadows. La pregunta no es si tus credenciales están filtradas. La pregunta es cuántas veces.

Entendiendo los ataques: no todos son iguales

Cuando hablamos de ataques contra contraseñas, hay tres técnicas principales que los atacantes usan. Se parecen, pero funcionan de manera muy diferente:

Fuerza bruta: probar todas las combinaciones posibles

Es el ataque más primitivo. El atacante usa un programa que prueba todas las combinaciones posibles de caracteres hasta encontrar la contraseña correcta. Es como intentar abrir un candado de combinación probando 0001, 0002, 0003... hasta dar con el número.

Características:

Funciona contra contraseñas cortas y simples
Es extremadamente lento contra contraseñas largas y complejas
Una contraseña de 8 caracteres con letras, números y símbolos puede tomar horas o días
Una de 16 caracteres puede tomar miles de años con tecnología actual
Muchos sistemas bloquean la cuenta después de varios intentos fallidos, lo que limita su efectividad

Credential stuffing: reusar lo que ya se robó

Acá es donde la cosa se pone seria. El credential stuffing no intenta adivinar tu contraseña. Ya la tiene. Usa combinaciones de correo electrónico y contraseña que fueron filtradas en brechas de datos anteriores y las prueba automáticamente en otros servicios.

La lógica es simple: si usaste "MiPerro2024!" como contraseña en una tienda en línea que fue hackeada, hay una buena probabilidad de que uses la misma contraseña en tu correo, tu banco, tu sistema contable y tu red social.

Características:

Usa credenciales reales filtradas de brechas anteriores
Tiene una tasa de éxito del 0.1% al 2%, que parece baja pero cuando probás millones de credenciales, son miles de cuentas comprometidas
Es difícil de detectar porque cada intento usa credenciales diferentes (no es el mismo usuario intentando muchas veces)
Los atacantes usan redes de bots y proxies para distribuir los intentos desde miles de IPs diferentes

Password spraying: pocas contraseñas, muchos usuarios

Es una variante inteligente. En vez de probar muchas contraseñas contra una cuenta (lo que activa el bloqueo), el atacante prueba una o dos contraseñas muy comunes contra muchas cuentas diferentes.

Por ejemplo, un atacante podría probar la contraseña "Empresa2026!" contra los 500 correos de una empresa. Si solo uno de esos empleados usa esa contraseña, el atacante ya tiene acceso.

Las contraseñas más usadas en password spraying:

NombreDeLaEmpresa + año ("CiberShield2026")
Estaciones del año + año ("Verano2026!")
"Password1!", "Welcome1!", "Qwerty123!"
Variaciones del nombre de la ciudad ("SanJose2026")
Patrones de teclado ("Qwer1234!")

El mercado negro de credenciales: la dark web

Las credenciales filtradas no se quedan en el vacío. Existe un mercado activo y organizado donde se compran y venden:

¿De dónde vienen las credenciales filtradas?

Cada vez que una empresa sufre una brecha de datos, las credenciales de sus usuarios terminan circulando. Algunos de los casos más grandes de la historia:

Yahoo (2013-2014):: 3 mil millones de cuentas
LinkedIn (2012, datos resurgieron en 2016):: 164 millones de credenciales
Adobe (2013):: 153 millones de registros
Facebook (2019):: 533 millones de números de teléfono y datos personales
Collection #1-5 (2019):: Una compilación masiva de **2.2 mil millones** de combinaciones únicas de usuario y contraseña recopiladas de múltiples brechas

Y esas son solo las brechas grandes y conocidas. Cada semana se reportan nuevas filtraciones de empresas más pequeñas. Las bases de datos de usuarios de tiendas en línea, foros, servicios de streaming y aplicaciones terminan a la venta.

¿Cuánto cuestan las credenciales?

Es sorprendentemente barato:

Listas masivas: de millones de credenciales sin verificar: desde **$5 USD**
Credenciales verificadas: de servicios específicos (Netflix, Spotify): **$1-5 USD por cuenta**
Cuentas bancarias: con acceso verificado: **$50-200 USD** dependiendo del saldo
Acceso a correo corporativo: de empresas específicas: **$100-500 USD**
Acceso a sistemas empresariales: (VPN, paneles de administración): **$500-5,000 USD**

Los atacantes no necesitan hackear tu empresa directamente. Pueden simplemente comprar credenciales y probar si funcionan.

¿Cómo funciona un ataque de credential stuffing en la práctica?

Para que entendás la escala, así es como opera un atacante profesional:

1.Obtiene una base de datos filtrada con millones de combinaciones email/contraseña (la compra por unos pocos dólares o la descarga gratis de foros)
2.Elige un objetivo (puede ser un banco, un servicio de correo, una tienda en línea, o un sistema empresarial)
3.Configura herramientas automatizadas como OpenBullet, SentryMBA o scripts personalizados que pueden probar miles de credenciales por minuto
4.Distribuye los intentos a través de redes de proxies y bots para evitar detección y bloqueos por IP
5.Recolecta los aciertos: las combinaciones que funcionaron se separan y se venden o se explotan directamente
6.Monetiza el acceso: roba datos, hace compras fraudulentas, envía spam, o vende el acceso a otros criminales

Todo este proceso está altamente automatizado. Un atacante puede probar millones de credenciales en cuestión de horas contra múltiples servicios simultáneamente.

Casos reales que demuestran el impacto

Disney+ (2019)

El mismo día que Disney+ se lanzó, miles de cuentas fueron comprometidas y puestas a la venta en la dark web por $3-11 USD cada una. Disney no fue hackeado: los atacantes usaron credential stuffing con contraseñas filtradas de otros servicios.

Zoom (2020)

Durante la pandemia, más de 500,000 cuentas de Zoom aparecieron a la venta en foros de la dark web. De nuevo, no fue una vulnerabilidad de Zoom: fue credential stuffing masivo aprovechando que millones de personas reutilizaban contraseñas.

Uber (2016)

Atacantes accedieron a un repositorio privado de GitHub usando credenciales filtradas de un desarrollador de Uber. Desde ahí obtuvieron acceso a datos de 57 millones de usuarios y conductores. Uber terminó pagando $148 millones en un acuerdo legal.

Dunkin' Donuts (2015-2019)

La cadena de restaurantes sufrió ataques de credential stuffing repetidos durante años, comprometiendo las cuentas de recompensas de clientes. Los atacantes vendían las cuentas con puntos acumulados en la dark web.

¿Cómo saber si tus credenciales están filtradas?

Antes de entrar en pánico, hay formas de verificar:

Have I Been Pwned (haveibeenpwned.com)

Creado por el investigador de seguridad Troy Hunt, este sitio te permite ingresar tu correo electrónico y ver en cuántas brechas de datos ha aparecido. Es gratuito, confiable y ampliamente recomendado por expertos en seguridad.

Cómo usarlo:

1.Entrá a haveibeenpwned.com
2.Ingresá tu correo electrónico
3.El sitio te muestra en cuáles brechas apareció tu correo
4.Para cada brecha, te dice qué datos fueron expuestos (contraseña, nombre, teléfono, etc.)

Consejo: Revisá tanto tu correo personal como el corporativo. Muchos empleados usan su correo de trabajo para registrarse en servicios externos.

Have I Been Pwned - Contraseñas

El mismo sitio tiene una sección donde podés verificar si una contraseña específica ha aparecido en alguna filtración. Esto es útil para saber si esa contraseña que usás en varios lados ya está comprometida. El sitio usa un sistema de verificación seguro que no expone tu contraseña completa.

Firefox Monitor y Google Password Checkup

Tanto Firefox como Google Chrome tienen herramientas integradas que te avisan si tus contraseñas guardadas han sido filtradas. Activá estas notificaciones.

Estrategias de protección: lo que realmente funciona

1. Usá contraseñas únicas para cada servicio

Esta es la defensa número uno contra credential stuffing. Si cada cuenta tiene una contraseña diferente, una filtración en un servicio no afecta a los demás.

"Pero no puedo recordar 50 contraseñas diferentes..."

No tenés que hacerlo. Para eso existen los gestores de contraseñas:

Bitwarden:: Código abierto, gratuito para uso personal, excelente para empresas
1Password:: Muy popular en entornos empresariales
KeePass:: Gratuito, almacena las contraseñas localmente

Solo necesitás recordar una contraseña maestra fuerte. El gestor genera y recuerda contraseñas únicas de 20+ caracteres para cada servicio.

2. Activá la autenticación multifactor (MFA) en todo

La MFA es la red de seguridad cuando tu contraseña falla. Incluso si un atacante tiene tu contraseña, necesita también tu segundo factor (un código del celular, una llave física, etc.).

Priorizá MFA en estos servicios:

Correo electrónico (Gmail, Outlook, correo corporativo)
Banca en línea
Redes sociales
Servicios en la nube (Google Drive, OneDrive, Dropbox)
VPN y acceso remoto de la empresa
Sistemas contables y de facturación

Tipos de MFA, de más seguro a menos seguro:

1.Llaves físicas (YubiKey, Titan): lo más seguro, resistente a phishing
2.Apps de autenticación (Google Authenticator, Microsoft Authenticator, Authy): muy seguro
3.SMS: Mejor que nada, pero vulnerable a SIM swapping

3. Implementá políticas de contraseñas en la empresa

Si dirigís una PYME, estas políticas son esenciales:

Longitud mínima de 12 caracteres: (la longitud importa más que la complejidad)
Prohibir contraseñas comunes: (listas de contraseñas conocidas como filtro)
No forzar cambios periódicos: sin razón (la recomendación moderna del NIST dice que cambiar contraseñas cada 90 días sin motivo lleva a contraseñas más débiles)
Obligar MFA: para todos los servicios críticos
Proveer un gestor de contraseñas corporativo: para todo el equipo

4. Monitoreá proactivamente las filtraciones

No esperés a que un atacante use tus credenciales. Hay servicios que monitorean la dark web buscando credenciales de tu dominio:

Have I Been Pwned tiene una API: que permite verificar automáticamente
Servicios de monitoreo de dark web alertan cuando credenciales de tu empresa aparecen en nuevas filtraciones
Revisá periódicamente (al menos cada trimestre) si hay credenciales nuevas filtradas

5. Implementá controles técnicos contra ataques automatizados

Desde el lado técnico, tu empresa puede dificultar los ataques de credential stuffing:

Rate limiting:: Limitar el número de intentos de login por IP y por cuenta
CAPTCHA:: Añadir verificación humana después de varios intentos fallidos
Bloqueo temporal de cuentas:: Después de 5-10 intentos fallidos, bloquear temporalmente
Detección de bots:: Usar servicios que identifican tráfico automatizado
Alertas de login sospechoso:: Notificar al usuario cuando se detecta un acceso desde una ubicación o dispositivo nuevo

Plan de acción inmediato para tu PYME

Hoy:

Revisá tus correos corporativos en haveibeenpwned.com
Cambiá las contraseñas de cualquier cuenta que aparezca en filtraciones
Activá MFA en el correo corporativo y la banca en línea

Esta semana:

Implementá un gestor de contraseñas para todo el equipo (Bitwarden tiene plan gratuito)
Revisá que ningún empleado use la contraseña del correo corporativo en servicios externos
Activá MFA en todos los servicios críticos de la empresa

Este mes:

Creá una política de contraseñas clara y comunicala al equipo
Hacé una sesión de capacitación de 30 minutos sobre contraseñas seguras
Implementá controles de rate limiting en los sistemas expuestos a Internet

Tus contraseñas son la primera línea de defensa, no la única

Las contraseñas por sí solas ya no son suficientes para proteger una cuenta. Pero combinadas con MFA, un gestor de contraseñas y monitoreo proactivo, la seguridad mejora exponencialmente. Un atacante que tiene tu contraseña pero se topa con MFA, rate limiting y alertas de acceso sospechoso probablemente va a pasar al siguiente objetivo más fácil.

En CiberShield ayudamos a PYMEs centroamericanas a implementar estrategias de protección de credenciales que realmente funcionan. Desde auditorías de contraseñas filtradas hasta la implementación de MFA y políticas de acceso, te acompañamos en cada paso para que tus cuentas dejen de ser un blanco fácil.

¿Querés saber si las credenciales de tu empresa ya están circulando en la dark web? Contactanos para una evaluación de exposición de credenciales y tomá el control antes de que alguien más lo haga.

¿Necesita ayuda con su ciberseguridad?

Nuestro equipo está listo para ayudarle a proteger su empresa.

Artículos relacionados

Amenazas

IoT en la oficina: esos dispositivos "inteligentes" que nadie está protegiendo

Cámaras, impresoras, sensores... Tu oficina está llena de dispositivos conectados que probablemente nadie monitorea. Descubrí por qué el IoT es el punto ciego de la ciberseguridad.

Concienciación

Shadow IT: Las herramientas que tus empleados usan sin que lo sepas

Tus empleados probablemente usan aplicaciones no autorizadas para trabajar. Descubrí qué es Shadow IT, por qué es un riesgo real y cómo manejarlo sin matar la productividad.