¿Qué es el relleno de credenciales? | Relleno de credenciales contra ataques de fuerza bruta

En un ataque de relleno de credenciales, se utilizan colecciones de credenciales de inicio de sesión robadas de un servicio para intentar entrar en las cuentas de muchos otros servicios.

Share facebook icon linkedin icon twitter icon email icon

Relleno de credenciales

Objetivos de aprendizaje

Después de leer este artículo podrá:

  • Definir relleno de credenciales
  • Diferenciar entre el relleno de credenciales y los ataques de fuerza bruta
  • Entender las estrategias para mitigar el relleno de credenciales

¿Qué es el relleno de credenciales?

El relleno de credenciales es un ciberataque en el que las credenciales conseguidas por una violación de datos en un servicio se usan para intentar iniciar sesión en otro servicio que no esté relacionado.

Credential Stuffing Example

Por ejemplo, un atacante puede coger una lista de nombres de usuario y contraseñas conseguidas de una violación de datos de una tienda de departamento importante, y usar las mismas credenciales de inicio de sesión para intentar iniciar sesión en el sitio de un banco a nivel nacional. El atacante espera que parte de esos clientes de tiendas de departamento tengan también una cuenta en ese banco, y reutilicen los mismos nombres de usuario y contraseñas para ambos servicios.

A partir de 2019, el relleno de credenciales ha aumentado gracias a las listas masivas de credenciales con violación de datos que se comercializan y venden en el mercado negro. El aumento de estas listas, junto con los avances en las herramientas de relleno de credenciales que usan bots para evitar las protecciones de inicio de sesión típicas, ha hecho que el relleno de credenciales se convierta en un popular vector de ataque.

¿Qué hace que el relleno de credenciales sea efectivo?

A nivel estadístico, los ataques de relleno de credenciales tienen una tasa de éxito muy baja. Se estima una tasa de alrededor del 0,1 %, lo que implica que por cada mil cuentas que un atacante intente descifrar, solo tendrá éxito una vez. El gran volumen de colecciones de credenciales con las que comercian los atacantes hace que valga la pena el relleno de credenciales, pese a la baja tasa de éxito.

Estas colecciones cuentan con millones y hasta miles de millones de credenciales de inicio de sesión. Si un atacante tiene un millón de conjuntos de credenciales, se podrían llegar a descifrar alrededor de 1000 cuentas. Incluso si un pequeño porcentaje de las cuentas descifradas ofrece datos rentables (normalmente en forma de números de tarjeta de crédito o datos confidenciales que puedan usarse en ataques de phishing), el ataque vale la pena. Además de eso, el atacante puede repetir el proceso con los mismos conjuntos de credenciales en muchos servicios diferentes.

Los avances en la tecnología bot han hecho que el relleno de credenciales sea un ataque viable. Las funciones de seguridad integradas en los formularios de inicio de sesión de la aplicación web suelen incluir retrasos deliberados y la exclusión de las direcciones IP de usuarios que hayan tenido varios intentos fallidos de inicio de sesión. El software de relleno de credenciales actual evita estas protecciones con el uso de bots para intentar varios inicios de sesión a la vez, para que parezca que provienen de diferentes tipos de dispositivos y que se originan en diferentes direcciones IP. El objetivo del bot malicioso es hacer que los intentos de inicio de sesión del atacante no se puedan distinguir del tráfico de inicio de sesión habitual, y eso hace que sea muy efectivo.

A menudo, el único indicio que tiene la empresa de que está siendo atacada es el aumento en el volumen general de intentos de inicio de sesión. Incluso en ese momento, tendrán muchas dificultades para detener estos intentos sin afectar negativamente la capacidad de los usuarios legítimos para iniciar sesión en el servicio.

La principal razón por la que los ataques de relleno de credenciales son efectivos es que la gente reutiliza las contraseñas. Los estudios sugieren que la mayoría de los usuarios, según algunas estimaciones hasta el 85 %, reutilizan su credenciales de inicio de sesión para varios servicios. Mientras esto siga pasando, el relleno de credenciales seguirá teniendo éxito.

¿Cuál es la diferencia entre el relleno de credenciales y los ataques de fuerza bruta?

OWASP clasifica el relleno de credenciales como un subconjunto de ataques de fuerza bruta. Sin embargo, estrictamente hablando, el relleno de credenciales es muy diferente de los ataques de fuerza bruta tradicionales. Los ataques de fuerza bruta intentan adivinar las contraseñas sin ningún tipo contexto o pista, y utilizan caracteres al azar que muchas veces se combinan con sugerencias de contraseñas comunes. El relleno de credenciales utiliza datos expuestos, lo que reduce de forma drástica el número de posibles respuestas correctas.

Una buena defensa ante los ataques de fuerza bruta es una contraseña segura que conste de varios caracteres e incluya letras mayúsculas, números y caracteres especiales. No obstante, una contraseña más segura no protege contra el relleno de credenciales. Es indiferente lo fuerte que sea una contraseña: si se utiliza para diferentes cuentas, el relleno de credenciales puede ponerla en peligro.

¿Cómo prevenir el relleno de credenciales?

¿Cómo pueden prevenir los usuarios el relleno de credenciales?

Desde el punto de vista del usuario, la defensa contra el relleno de credenciales es bastante sencilla. Los usuarios deben usar siempre contraseñas únicas para cada servicio (esto se logra fácilmente con un administrador de contraseñas). Si un usuario usa siempre contraseñas únicas, el relleno de credenciales no funcionará en sus cuentas. Como medida adicional de seguridad, cuando esté disponible, se anima a los usuarios a habilitar siempre la autenticación en dos fases.

¿Cómo pueden prevenir las empresas el relleno de credenciales?

La detención del relleno de credenciales es un desafío más complejo para las empresas que ejecutan servicios de autenticación. El relleno de credenciales se produce como resultado de violaciones de datos en otras empresas. Una empresa que haya sufrido un ataque de relleno de credenciales puede que no haya visto comprometida su seguridad.

Una empresa puede sugerir a sus usuarios que utilicen contraseñas únicas, pero no tiene una manera efectiva de aplicar esta regla. Algunas aplicaciones pasarán una contraseña enviada por una base de datos de contraseñas comprometidas ya conocidas antes de aceptar la contraseña, como medida contra el relleno de credenciales, pero incluso esto no es infalible: el usuario podría estar reutilizando una contraseña de un servicio que todavía no haya sufrido una violación de datos.

Ofrecer funciones de seguridad de seguridad de inicio de sesión adicionales puede ayudar a mitigar el relleno de credenciales. Habilitar funciones como la autenticación en dos fases y exigir a los usuarios que rellenen captchas al iniciar sesión en ambos también ayuda en la lucha contra los bots maliciosos. Aunque estas funciones puedan incomodar a los usuarios, muchos estarían de acuerdo en que minimizar la amenaza de seguridad es algo que vale la pena.

La protección más potente ante el relleno de credenciales es un servicio de gestión de bots. La gestión de bots utiliza rate limiting, junto con una base de datos de reputación de IP, para evitar que los bots maliciosos lleven a cabo intentos de inicio de sesión sin llegar a afectar a los inicios de sesión legítimos. Cloudflare Bot Management , que recopila datos de 425 mil millones de solicitudes al día enrutadas a través de la red Cloudflare, puede identificar y detener los bots de relleno de credenciales con una alta precisión.