¿Qué es el credential stuffing? (y cómo protegerte)

Un total de 500 millones de cuentas de Zoom están a la venta en la web oscura gracias al “relleno de credenciales” (credential stuffing). Esta es una técnica común utilizada por los ciberdelincuentes para vulnerar cuentas en línea. Te explicaremos que significa realmente ese término y cómo puedes protegerte.

Iniciando con bases de datos de contraseñas filtradas

Los ataques contra los servicios en línea son comunes. Los delincuentes a menudo explotan las fallas de seguridad en los sistemas para adquirir bases de datos de nombres de usuario y contraseñas.

Las bases de datos de credenciales de inicio de sesión robadas a menudo se venden en línea en la web oscura. Los delincuentes pagan en Bitcoin por el privilegio de acceder a la base de datos.

Digamos que tenías una cuenta en el foro de Avast, que fue vulnerado en 2014. Esa cuenta fue vulnerada y los delincuentes pueden tener tu nombre de usuario y contraseña en el foro de Avast. Avast se puso en contacto contigo y te hizo cambiar la contraseña de tu foro, ¿cuál es el problema?

Desafortunadamente, el problema es que muchas personas reutilizan las mismas contraseñas en diferentes sitios web. Digamos que los detalles de inicio de sesión de tu foro de Avast fueron “tu@ejemplo.com” y “contraseñasegura”.

Si iniciaste sesión en otros sitios web con el mismo nombre de usuario (tu dirección de correo electrónico) y contraseña tienes un problema. Debes saber que cualquier ciberdelincuente que adquiera tus contraseñas filtradas pueden obtener acceso a esas otras cuentas.

Relleno de credenciales en acción

El “relleno de credenciales” implica el uso de estas bases de datos de datos de inicio de sesión filtrados. Después de obtenerlos puedes intentar iniciar sesión con ellos en otros servicios en línea.

Los delincuentes toman grandes bases de datos de combinaciones filtradas de nombre de usuario y contraseña. A menudo millones de credenciales de inicio de sesión, e intentan iniciar sesión con ellos en otros sitios web.

Algunas personas reutilizan la misma contraseña en varios sitios web, por lo que algunas coincidirán. Esto generalmente se puede automatizar con software, probando rápidamente muchas combinaciones de inicio de sesión.

Para algo tan peligroso que suena tan técnico, eso es todo: probar las credenciales ya filtradas en otros servicios y ver cuales funciona. En otras palabras, los “ciberdelincuentes” introducen todas esas credenciales de inicio de sesión en el formulario de inicio de sesión y ven qué sucede. Algunos de ellos seguramente funcionarán.

Esta es una de las formas más comunes en que los atacantes “hackean” cuentas en línea en estos días. Solo en 2018, la red de entrega de contenido Akamai registró casi 30 mil millones de ataques de relleno de credenciales.

Cómo protegerte

Protegerte del relleno de credenciales es bastante simple, implica seguir las prácticas de seguridad de contraseña que los expertos en seguridad han recomendado durante años. No hay una solución mágica, solo una buena higiene de contraseña. Aquí está el consejo:

  • Evita reutilizar contraseñas: debes usar una contraseña única para cada cuenta que uses en línea. De esa manera, incluso si tu contraseña se filtra, no se puede usar para iniciar sesión en otros sitios web. Los atacantes pueden intentar introducir tus credenciales en otros formularios de inicio de sesión, pero no funcionarán.
  • Utilizar un administrador de contraseñas: recordar contraseñas únicas y seguras es una tarea casi imposible si tienes cuentas en bastantes sitios web. Te recomendamos utilizar un administrador de contraseñas como 1Password (pago) o Bitwarden (gratuito y de código abierto) para recordar tus contraseñas por ti. Incluso puedes generar esas contraseñas seguras desde cero.
  • Habilitar la autenticación de dos factores: con la autenticación de dos pasos, debes proporcionar algo más. Por ejemplo, un código generado por una aplicación o que se te envíe por SMS, cada vez que inicies sesión en un sitio web. Incluso si un atacante tiene tu nombre de usuario y contraseña, no podrá iniciar sesión en tu cuenta si no tiene ese código.
  • Obtener notificaciones de contraseña filtradas: con un servicio como Have I Been Pwned?, puedes recibir una notificación cuando aparezcan tus credenciales.

Cómo los servicios pueden protegerte contra el relleno de credenciales

Si bien las personas deben asumir la responsabilidad de proteger sus cuentas, los servicios en línea tienen muchas formas de protegerte contra este ataque.

  • Escanear las bases de datos filtradas en busca de contraseñas de usuario. Facebook y Netflix han escaneado las bases de datos filtradas en busca de contraseñas, haciendo referencia cruzada con las credenciales de inicio de sesión en sus propios servicios. Si hay una coincidencia, Facebook o Netflix pueden solicitar a su propio usuario que cambie su contraseña. Esta es una forma de vencer a los credential-stuffers de golpe.
  • Ofrecer autenticación de dos factores. Los usuarios deben poder habilitar la autenticación de dos factores para asegurar sus cuentas en línea. Los servicios especialmente sensibles pueden hacer que esto sea obligatorio. También pueden hacer que un usuario haga clic en un enlace de verificación de inicio de sesión en un correo electrónico. Esto para confirmar la solicitud de inicio de sesión.
  • Requerir un CAPTCHA. Si un intento de inicio de sesión parece extraño, un servicio puede requerir ingresar un código CAPTCHA que se muestra en una imagen o hacer clic en otro formulario para verificar que un humano, y no un bot, está intentando iniciar sesión.
  • Limitar los intentos de inicio de sesión repetidos. Los servicios deben intentar bloquear a los bots para que no intenten una gran cantidad de intentos de inicio de sesión en un corto periodo. Los bots sofisticados modernos pueden intentar iniciar sesión desde múltiples direcciones IP a la vez para disfrazar sus intentos de relleno de credenciales.

Conclusión

Las malas prácticas de contraseñas y, para ser justos, los sistemas en línea mal configurados que a menudo son demasiado fáciles de comprometer, hacen que el relleno de credenciales sea un grave peligro para la seguridad de cuentas en línea. No es de extrañar que muchas empresas de la industria tecnológica quieran construir un mundo más seguro sin contraseñas.+