¿Qué es el relleno de credenciales? |Relleno de credenciales versus ataques de fuerza bruta

En un ataque de relleno de credenciales, las colecciones de credenciales de inicio de sesión robadas de un servicio se utilizan para intentar ingresar a las cuentas de otros servicios diversos.

Share facebook icon linkedin icon twitter icon email icon

Relleno de credenciales

Metas de aprendizaje

Después de leer este artículo usted podrá:

  • Definir el relleno de credenciales
  • Diferenciar entre el relleno de credenciales y los ataques de fuerza bruta
  • Entender las estrategias para mitigar el relleno de credenciales

¿Qué es el relleno de credenciales?

El relleno de credenciales es un ataque cibernético en el que las credenciales obtenidas de una violación de datos en un servicio se utilizan para intentar iniciar sesión en otro servicio no relacionado.

Credential Stuffing Example

Por ejemplo, un atacante puede tomar una lista de nombres de usuario y contraseñas obtenida de una violación de una tienda por departamentos importante, y usar las mismas credenciales de inicio de sesión para intentar iniciar sesión en el sitio de un banco nacional. El atacante espera que una fracción de esos clientes de tiendas por departamento también tenga una cuenta en ese banco y que reutilice los mismos nombres de usuario y contraseñas para ambos servicios.

A partir de 2019, el relleno de credenciales ha ido en aumento gracias a las listas masivas de credenciales violadas que se comercializan y venden en el mercado negro. La proliferación de estas listas, combinada con los avances en las herramientas de relleno de credenciales que usan bots para eludir las protecciones de inicio de sesión tradicionales, han convertido el relleno de credenciales en un popular vector de ataque.

¿Qué hace que el relleno de credenciales sea efectivo?

Estadísticamente hablando, los ataques de relleno de credenciales tienen una tasa muy baja de éxito. Muchas estimaciones tienen esta tasa en aproximadamente 0.1 %, lo que significa que por cada mil cuentas que un atacante intenta descifrar, tendrá éxito aproximadamente una vez. El gran volumen de las colecciones de credenciales que intercambian los atacantes hace que valga la pena el relleno de credenciales, a pesar de la baja tasa de éxito.

Estas colecciones contienen millones y, en algunos casos, miles de millones de credenciales de inicio de sesión. Si un atacante tiene un millón de conjuntos de credenciales, esto podría generar alrededor de 1000 cuentas exitosamente descifradas. Si incluso un pequeño porcentaje de las cuentas descifradas arroja datos rentables (a menudo en forma de números de tarjeta de crédito o datos confidenciales que pueden usarse en ataques de phishing), entonces el ataque vale la pena. Además de eso, el atacante puede repetir el proceso al usar los mismos conjuntos de credenciales en numerosos servicios diferentes.

Los avances en la tecnología de bots también hacen que el relleno de credenciales sea un ataque viable. Las características de seguridad integradas en los formularios de inicio de sesión de la aplicación web a menudo incluyen retrasos deliberados y el acceso denegado a direcciones IP de los usuarios que han repetido intentos fallidos de inicio de sesión. El software de relleno de credenciales moderno elude estas protecciones mediante el uso de bots para intentar simultáneamente varios inicios de sesión que parecen provenir de una variedad de tipos de dispositivos y se originan en diferentes direcciones IP. El objetivo del bot malicioso es hacer que los intentos de inicio de sesión del atacante sean indistinguibles del tráfico de inicio de sesión típico y es muy efectivo.

Muchas veces, el único indicio que la empresa que ha sido víctima tiene de que está siendo atacada es el aumento en el volumen general de intentos de inicio de sesión. Aun así, la empresa víctima tendrá dificultades para detener estos intentos sin afectar la capacidad de los usuarios legítimos para iniciar sesión en el servicio.

La razón principal por la que los ataques de relleno de credenciales son efectivos es que las personas reutilizan las contraseñas. Algunos estudios sugieren que la mayoría de los usuarios, según algunas estimaciones de hasta el 85 %, reutilizan las mismas credenciales de inicio de sesión para múltiples servicios. Mientras que esta práctica continúe, el relleno de credenciales seguirá siendo fructífero.

¿Cuál es la diferencia entre el relleno de credenciales y los ataques de fuerza bruta?

OWASP clasifica el relleno de credenciales como un subconjunto de ataques de fuerza bruta. Pero, estrictamente hablando, el relleno de credenciales es muy diferente de los ataques de fuerza bruta tradicionales. Los ataques de fuerza bruta intentan adivinar las contraseñas sin contexto o pistas al usar caracteres al azar y a veces combinados con sugerencias de contraseñas comunes. El relleno de credenciales utiliza datos expuestos, lo que reduce drásticamente el número de posibles respuestas correctas.

Una buena defensa contra los ataques de fuerza bruta es una contraseña segura que conste de varios caracteres e incluye letras mayúsculas, números y caracteres especiales. Sin embargo, la seguridad de la contraseña no protege contra el relleno de credenciales. No importa cuán fuerte sea una contraseña: si se comparte entre diferentes cuentas, el relleno de credenciales puede comprometerla.

Cómo evitar el relleno de credenciales

Cómo pueden los usuarios evitar el relleno de credenciales

Desde el punto de vista del usuario, defenderse contra el relleno de credenciales es bastante sencillo. Los usuarios siempre deben usar contraseñas únicas para cada servicio diferente (una manera fácil de lograr esto es con un administrador de contraseñas). Si un usuario siempre usa contraseñas únicas, el relleno de credenciales no funcionará en sus cuentas. Como medida adicional de seguridad, se alienta a los usuarios a habilitar siempre la autenticación de dos factores cuando la opción esté disponible.

Cómo pueden las empresas evitar el relleno de credenciales

Detener el relleno de credenciales es un desafío más complejo para las empresas que ejecutan servicios de autenticación. El relleno de credenciales ocurre como resultado de violaciones de datos en otras empresas. Una empresa víctima de un ataque de relleno de credenciales no necesariamente ha comprometido su seguridad.

Una empresa puede sugerir que sus usuarios proporcionen contraseñas únicas, pero no pueden aplicar esto de manera efectiva como regla. Algunas aplicaciones compararán una contraseña contra una base de datos de contraseñas comprometidas conocidas antes de aceptar la contraseña como medida contra el relleno de credenciales, pero esto no es infalible: el usuario podría estar reutilizando una contraseña de un servicio que aún no ha sido violado.

Proporcionar características de seguridad de inicio de sesión adicionales puede ayudar a mitigar el relleno de credenciales. Habilitar características como la autenticación de dos factores y exigir a los usuarios que completen captchas al iniciar sesión en ambos también ayuda a detener los bots maliciosos. Aunque estas son características que incomodan a los usuarios, muchos estarían de acuerdo en que minimizar la amenaza de seguridad vale la pena.

La protección más fuerte contra el relleno de credenciales es un servicio de gestión de bots. La gestión de bots utiliza la limitación de velocidad combinada con una base de datos de reputación de IP para evitar que los robots maliciosos realicen intentos de inicio de sesión sin afectar los inicios de sesión legítimos. La gestión de bots de Cloudflare, que recopila datos de 425 mil millones de solicitudes redirigidas a través de la red Cloudflare cada día, puede identificar y detener los bots de relleno de credenciales con una precisión muy alta.