Básicamente, el relleno de credenciales es un ciberataque en el que los delincuentes utilizan la información de inicio de sesión robada o filtrada de un servicio en línea, para intentar acceder a otro sistema no relacionado, en el que un mismo usuario también tiene una cuenta.
Funciona bajo la premisa de que las personas a menudo usan los mismos nombres de usuario y contraseñas para acceder a distintos servicios.
Es bien sabido que, durante años, se han robado o filtrado decenas de miles de nombres de usuario y contraseñas, ya sea por culpa de los propios usuarios, o como consecuencia de las malas prácticas de seguridad de distintas empresas y plataformas.
La operadora T-Mobile, ubicada en Alemania, pero con proyección a nivel internacional, sufrió una filtración de datos que dejo con el culo al aire los datos privados de más de 100 millones de usuarios.
En 2021, los datos de 700 millones de usuarios del sitio de LinkedIn se pusieron a la venta en un foro de la Dark Web.
Por no hablar del largo e infame historial de brechas de seguridad de Facebook en sus 15 años de historia.
Por poner un ejemplo, en 2019, más de 300 millones de números de teléfono, nombres e identificaciones de usuarios de esta red social quedaron pululando por la web oscura durante casi dos semanas.
Todas estas credenciales se acostumbran a vender o a subastar en los mercados underground, o en la famosa web oscura
Se pueden usar como punto de partida para ataques de relleno de credenciales, así como para muchos otros propósitos, por supuesto ninguno de ellos legítimo.
¿Cómo funciona un ataque de relleno de credenciales?
Vamos a intentar explicarlo de la forma más clara y resumida posible.
Anatomía del ataque
- El atacante obtiene nombres de usuario y contraseñas provenientes de una violación de datos, un ataque de phishing, o un volcado de contraseñas.
- Utiliza herramientas automatizadas para probar las credenciales robadas en muchos sitios web (redes sociales, banca y tiendas en línea o aplicaciones web).
- Si el inicio de sesión tiene éxito, el villano contará con un conjunto de credenciales válidas para perpetrar sus fechorías.
También pueden utilizar grandes botnets, para realizar intentos de autenticación de forma masiva.
Muchas de estas herramientas son gratuitas, de compra o de alquiler, y a menudo, vienen con configuraciones predeterminadas para que incluso los aprendices de delincuente puedan utilizarlas sin demasiados problemas.
Los ciberdelincuentes pueden aprovechar las cuentas robadas para una gran variedad de propósitos maliciosos.
- En el caso de una cuenta bancaria, puede drenarla en un plis plas.
- Si se trata de información confidencial, (números de tarjetas de crédito, imágenes o documentos) puede monetizar los datos en los mercados clandestinos.
- Las cuentas de correo electrónico robadas pueden utilizarse para enviar spam, mandar correos de phishing a los contactos de la víctima, etc.
En febrero de 2021, Bitdefender informó que una conocida plataforma de transmisión de música fue víctima de un ataque de relleno de credenciales.
Para ello, los atacantes utilizaron una base de datos filtrada, que contenía los detalles de inicio de sesión de 100.000 usuarios, que utilizaban el mismo nombre de usuario y contraseña para acceder a distintos servicios.
Cómo defenderse de un ataque de relleno de credenciales a nivel de usuario
Se puede intentar combatir esta plaga eligiendo contraseñas seguras, y cambiándolas de vez en cuando, pero un ataque exitoso de phishing, hace que una contraseña larga y complicada no sirva para nada.
Y dado que las filtraciones y fugas de datos por culpa de la mala praxis de terceros escapan a nuestro control, lo más efectivo es usar una contraseña diferente para cada sitio.
En cualquier caso, la autenticación multifactor, es la mejor defensa posible contra la mayoría de ataques relacionados con contraseñas, incluido el relleno de credenciales.
Una herramienta que nos encanta es Latch: una app gratuita para el teléfono móvil desarrollada por ElevenPaths, una compañía de ciberseguridad del Grupo Telefónica, que protege las cuentas y los servicios en línea cuando no estamos conectados a ellos.
Es una especie de interruptor que «apaga» completamente el acceso a una plataforma web, hasta que nosotros le damos al botón de encendido.
Por lo que es prácticamente imposible iniciar sesión.
Lamentablemente, (e incomprensiblemente) a diferencia de aplicaciones 2FA como Google Authenticator, YubiKey, Microsoft Authenticator o Authy, no está disponible para muchos sitios.
Para poder implementarlo, hay que buscar los servicios online con el distintivo «Latch Protected» y hacer clic en el logotipo para configurar la aplicación.
