¿Qué es el relleno de credenciales? | Relleno de credenciales contra ataques de fuerza bruta

En un ataque de relleno de credenciales, se utilizan colecciones de credenciales de inicio de sesión robadas de un servicio para intentar entrar en las cuentas de muchos otros servicios.

Objetivos de aprendizaje

Después de leer este artículo podrás:

  • Definir relleno de credenciales
  • Diferenciar entre el relleno de credenciales y los ataques de fuerza bruta
  • Entender las estrategias para mitigar el relleno de credenciales

Contenido relacionado


¿Quieres saber más?

Suscríbase a theNET, el resumen mensual de Cloudflare sobre las ideas más populares de Internet.

Revisa la política de privacidad de Cloudflare para saber más sobre cómo Cloudflare gestiona tus datos personales.

Copiar enlace del artículo

¿Qué es el relleno de credenciales?

El relleno de credenciales es un ciberataque en el que las credenciales conseguidas por una fuga de datos en un servicio se usan para intentar iniciar sesión en otro servicio no relacionado.

Ejemplo de relleno de credenciales

Por ejemplo, un atacante puede coger una lista de nombres de usuario y contraseñas conseguidas de una violación de datos de una tienda de departamento importante, y usar las mismas credenciales de inicio de sesión para intentar iniciar sesión en el sitio de un banco a nivel nacional. El atacante espera que parte de esos clientes de tiendas de departamento tengan también una cuenta en ese banco, y reutilicen los mismos nombres de usuario y contraseñas para ambos servicios.

El relleno de credenciales está muy extendido gracias a las listas masivas de credenciales con violación de datos que se comercializan y venden en el mercado negro. El aumento de estas listas, junto con los avances en las herramientas de relleno de credenciales que usan bots para evitar las protecciones de inicio de sesión típicas, ha hecho que el relleno de credenciales se convierta en un popular vector de ataque.

¿Qué hace que el relleno de credenciales sea efectivo?

A nivel estadístico, los ataques de relleno de credenciales tienen una tasa de éxito muy baja. Se estima una tasa de alrededor del 0,1 %, lo que implica que por cada mil cuentas que un atacante intente descifrar, solo tendrá éxito una vez. El gran volumen de colecciones de credenciales con las que comercian los atacantes hace que valga la pena el relleno de credenciales, pese a la baja tasa de éxito.

Estas recopilaciones cuentan con millones y hasta miles de millones de credenciales de inicio de sesión. Si un atacante tiene un millón de conjuntos de credenciales, podría llegar a descifrar correctamente alrededor de 1000 cuentas. Con que solo un pequeño porcentaje de las cuentas descifradas ofrezca datos rentables (normalmente en forma de números de tarjeta de crédito o datos confidenciales que puedan usarse en ataques de phishing), el ataque ya vale la pena. Además de eso, el atacante puede repetir el proceso con los mismos conjuntos de credenciales en muchos servicios diferentes.

Los avances en la tecnología bot también hacen que el relleno de credenciales sea un ataque viable. Las funciones de seguridad integradas en los formularios de inicio de sesión de las aplicaciones web suelen incluir retrasos deliberados y excluyen las direcciones IP de usuarios que hayan realizado varios intentos fallidos de inicio de sesión. El software de relleno de credenciales actual elude estas protecciones usando bots para intentar varios inicios de sesión a la vez, los cuales parecen provenir de diferentes tipos de dispositivos y originarse en diferentes direcciones IP. El objetivo del bot malicioso es hacer que los intentos de inicio de sesión del atacante sean similares al tráfico típico de inicio de sesión, y es muy efectivo.

A menudo, el único indicio que tiene la empresa de que está siendo atacada es el aumento en el volumen general de intentos de inicio de sesión. Incluso en ese momento, tendrán muchas dificultades para detener estos intentos sin afectar negativamente la capacidad de los usuarios legítimos para iniciar sesión en el servicio.

La principal razón por la que los ataques de relleno de credenciales son efectivos es que la gente reutiliza las contraseñas. Los estudios sugieren que la mayoría de los usuarios, según algunas estimaciones hasta el 85 %, reutilizan su credenciales de inicio de sesión para varios servicios. Mientras esto siga pasando, el relleno de credenciales seguirá teniendo éxito.

¿Cuál es la diferencia entre el relleno de credenciales y los ataques de fuerza bruta?

La fundación OWASP clasifica el relleno de credenciales como un subconjunto de los ataques de fuerza bruta. Sin embargo, estrictamente hablando, el relleno de credenciales es muy diferente de los ataques de fuerza bruta tradicionales. Los ataques de fuerza bruta intentan adivinar las contraseñas sin contexto ni pistas, utilizando caracteres al azar que muchas veces se combinan con sugerencias de contraseñas comunes. El relleno de credenciales utiliza datos expuestos, lo que reduce de forma drástica el número de posibles respuestas correctas.

Una buena defensa ante los ataques de fuerza bruta es una contraseña segura que conste de varios caracteres e incluya letras mayúsculas, números y caracteres especiales. No obstante, una contraseña más segura no protege contra el relleno de credenciales. Es indiferente lo fuerte que sea una contraseña: si se utiliza para diferentes cuentas, el relleno de credenciales puede ponerla en peligro.

¿Cómo prevenir el relleno de credenciales?

¿Cómo pueden prevenir los usuarios el relleno de credenciales?

Desde el punto de vista del usuario, la defensa contra el relleno de credenciales es bastante sencilla. Los usuarios deben usar siempre contraseñas únicas para cada servicio (esto se logra fácilmente con un administrador de contraseñas). Si un usuario usa siempre contraseñas únicas, el relleno de credenciales no funcionará en sus cuentas. Como medida adicional de seguridad, cuando esté disponible, se anima a los usuarios a habilitar siempre la autenticación de dos factores.

¿Cómo pueden prevenir las empresas el relleno de credenciales?

La detención del relleno de credenciales es un desafío más complejo para las empresas que ejecutan servicios de autenticación. El relleno de credenciales se produce como resultado de violaciones de datos en otras empresas. Una empresa que haya sufrido un ataque de relleno de credenciales puede que no haya visto comprometida su seguridad.

Una empresa puede sugerir a sus usuarios que utilicen contraseñas únicas, pero no tiene una manera efectiva de aplicar esta regla. Algunas aplicaciones pasarán una contraseña enviada por una base de datos de contraseñas comprometidas ya conocidas antes de aceptar la contraseña, como medida contra el relleno de credenciales, pero incluso esto no es infalible: el usuario podría estar reutilizando una contraseña de un servicio que todavía no haya sufrido una violación de datos.

Ofrecer funciones de seguridad de inicio de sesión adicionales puede ayudar a mitigar el relleno de credenciales. Habilitar funciones como la autenticación en dos fases y exigir a los usuarios que rellenen captchas al iniciar sesión en ambos también ayuda en la lucha contra los bots maliciosos. Aunque estas funciones puedan incomodar a los usuarios, muchos estarían de acuerdo en que minimizar la amenaza de seguridad es algo que vale la pena.

La protección más potente ante el relleno de credenciales es un servicio de gestión de bots. La gestión de bots utiliza la limitación de velocidad, junto con una base de datos de reputación de IP, para impedir que los bots maliciosos hagan intentos de inicio de sesión, sin afectar a los inicios de sesión legítimos. Cloudflare Bot Management, que recopila datos de 25 millones de solicitudes medias por segundo enrutadas a través de la red de Cloudflare, puede identificar y detener los bots de relleno de credenciales con precisión muy elevada. Para las organizaciones que quieren las mismas capacidades de bloqueo de bots, pero no necesitan una solución empresarial, Super Bot Fight Mode está ahora disponible en los planes Pro y Business de Cloudflare. Con el Modo Super Bot Fight, las organizaciones más pequeñas pueden beneficiarse de una mayor visibilidad y control sobre su tráfico de bots.