What is credential stuffing? | Credential stuffing vs. brute force attacks

En un ataque de relleno de credenciales, se utilizan colecciones de credenciales de inicio de sesión robadas de un servicio para intentar entrar en las cuentas de muchos otros servicios.

Objetivos de aprendizaje

Después de leer este artículo podrás:

  • Definir relleno de credenciales
  • Diferenciar entre el relleno de credenciales y los ataques de fuerza bruta
  • Entender las estrategias para mitigar el relleno de credenciales

Copiar enlace del artículo

¿Qué es el relleno de credenciales?

Credential stuffing is a cyber attack in which credentials obtained from a data breach on one service are used to attempt to log in to another unrelated service.

Ejemplo de relleno de credenciales

Por ejemplo, un atacante puede coger una lista de nombres de usuario y contraseñas conseguidas de una violación de datos de una tienda de departamento importante, y usar las mismas credenciales de inicio de sesión para intentar iniciar sesión en el sitio de un banco a nivel nacional. El atacante espera que parte de esos clientes de tiendas de departamento tengan también una cuenta en ese banco, y reutilicen los mismos nombres de usuario y contraseñas para ambos servicios.

Credential stuffing is widespread thanks to massive lists of breached credentials being traded and sold on the black market. The proliferation of these lists, combined with advancements in credential stuffing tools that use bots to get around traditional login protections, have made credential stuffing a popular attack vector.

¿Qué hace que el relleno de credenciales sea efectivo?

A nivel estadístico, los ataques de relleno de credenciales tienen una tasa de éxito muy baja. Se estima una tasa de alrededor del 0,1 %, lo que implica que por cada mil cuentas que un atacante intente descifrar, solo tendrá éxito una vez. El gran volumen de colecciones de credenciales con las que comercian los atacantes hace que valga la pena el relleno de credenciales, pese a la baja tasa de éxito.

Estas recopilaciones cuentan con millones y hasta miles de millones de credenciales de inicio de sesión. Si un atacante tiene un millón de conjuntos de credenciales, podría llegar a descifrar correctamente alrededor de 1000 cuentas. Con que solo un pequeño porcentaje de las cuentas descifradas ofrezca datos rentables (normalmente en forma de números de tarjeta de crédito o datos confidenciales que puedan usarse en ataques de phishing), el ataque ya vale la pena. Además de eso, el atacante puede repetir el proceso con los mismos conjuntos de credenciales en muchos servicios diferentes.

Los avances en la tecnología bot también hacen que el relleno de credenciales sea un ataque viable. Las funciones de seguridad integradas en los formularios de inicio de sesión de las aplicaciones web suelen incluir retrasos deliberados y excluyen las direcciones IP de usuarios que hayan realizado varios intentos fallidos de inicio de sesión. El software de relleno de credenciales actual elude estas protecciones usando bots para intentar varios inicios de sesión a la vez, los cuales parecen provenir de diferentes tipos de dispositivos y originarse en diferentes direcciones IP. El objetivo del bot malicioso es hacer que los intentos de inicio de sesión del atacante sean similares al tráfico típico de inicio de sesión, y es muy efectivo.

A menudo, el único indicio que tiene la empresa de que está siendo atacada es el aumento en el volumen general de intentos de inicio de sesión. Incluso en ese momento, tendrán muchas dificultades para detener estos intentos sin afectar negativamente la capacidad de los usuarios legítimos para iniciar sesión en el servicio.

La principal razón por la que los ataques de relleno de credenciales son efectivos es que la gente reutiliza las contraseñas. Los estudios sugieren que la mayoría de los usuarios, según algunas estimaciones hasta el 85 %, reutilizan su credenciales de inicio de sesión para varios servicios. Mientras esto siga pasando, el relleno de credenciales seguirá teniendo éxito.

¿Cuál es la diferencia entre el relleno de credenciales y los ataques de fuerza bruta?

La fundación OWASP clasifica el relleno de credenciales como un subconjunto de los ataques de fuerza bruta. Sin embargo, estrictamente hablando, el relleno de credenciales es muy diferente de los ataques de fuerza bruta tradicionales. Los ataques de fuerza bruta intentan adivinar las contraseñas sin contexto ni pistas, utilizando caracteres al azar que muchas veces se combinan con sugerencias de contraseñas comunes. El relleno de credenciales utiliza datos expuestos, lo que reduce de forma drástica el número de posibles respuestas correctas.

Una buena defensa ante los ataques de fuerza bruta es una contraseña segura que conste de varios caracteres e incluya letras mayúsculas, números y caracteres especiales. No obstante, una contraseña más segura no protege contra el relleno de credenciales. Es indiferente lo fuerte que sea una contraseña: si se utiliza para diferentes cuentas, el relleno de credenciales puede ponerla en peligro.

¿Cómo prevenir el relleno de credenciales?

¿Cómo pueden prevenir los usuarios el relleno de credenciales?

From a user’s point of view, defending against credential stuffing is pretty straightforward. Users should always use unique passwords for each different service (an easy way to achieve this is with a password manager). If a user always uses unique passwords, credential stuffing will not work against their accounts. As an added measure of security, users are encouraged to always enable two-factor authentication when it’s available.

¿Cómo pueden prevenir las empresas el relleno de credenciales?

La detención del relleno de credenciales es un desafío más complejo para las empresas que ejecutan servicios de autenticación. El relleno de credenciales se produce como resultado de violaciones de datos en otras empresas. Una empresa que haya sufrido un ataque de relleno de credenciales puede que no haya visto comprometida su seguridad.

Una empresa puede sugerir a sus usuarios que utilicen contraseñas únicas, pero no tiene una manera efectiva de aplicar esta regla. Algunas aplicaciones pasarán una contraseña enviada por una base de datos de contraseñas comprometidas ya conocidas antes de aceptar la contraseña, como medida contra el relleno de credenciales, pero incluso esto no es infalible: el usuario podría estar reutilizando una contraseña de un servicio que todavía no haya sufrido una violación de datos.

Providing added login security features can help mitigate credential stuffing. Enabling features like two-factor authentication and requiring users to fill out captchas when logging in both also help stop malicious bots. While these are both features that inconvenience users, many would agree that minimizing the security threat is worth the inconvenience.

The strongest protection against credential stuffing is a bot management service. Bot management uses rate limiting combined with an IP reputation database to stop malicious bots from making login attempts without impacting legitimate logins. Cloudflare Bot Management, which gathers data from 25 million average requests per second routed through the Cloudflare network, can identify and stop credential-stuffing bots with very high accuracy.For organizations that want the same bot-blocking abilities but do not need an enterprise solution, Super Bot Fight Mode is now available on Cloudflare Pro and Business plans. With Super Bot Fight Mode, smaller organizations can take advantage of increased visibility and control over their bot traffic.