Básicamente, el relleno de credenciales es un ciberataque en el que los delincuentes utilizan la información de inicio de sesión robada o filtrada de un servicio en línea, para intentar acceder a otro sistema no relacionado, en el que un mismo usuario también tiene una cuenta.
¿Cómo funciona un ataque de relleno de credenciales?
Funciona bajo la premisa de que las personas a menudo usan los mismos nombres de usuario y contraseñas para acceder a distintos servicios.
Por ejemplo:
- Tu nombre de usuario y contraseña de Netflix han sido víctimas de una violación de datos, y añadidos a una base de datos.
- Un atacante compra esa base de datos en un foro, o en la web oscura.
- Después intenta usar esas mismas credenciales para iniciar sesión en tu cuenta de correo electrónico, banca en línea, redes sociales, etc.
- Para ello utiliza herramientas automatizadas, bots, o scripts.
Muchas de las herramientas son de compra o de alquiler, y a menudo, vienen con configuraciones predeterminadas para que incluso los aprendices de delincuente puedan utilizarlas sin demasiados problemas.
Pueden manejar intentos de inicio de sesión a gran escala introduciendo rápidamente las credenciales robadas en los formularios.
Para evitar ser bloqueados después de demasiados intentos fallidos de inicio de sesión, utilizan servidores proxy o una VPN.
De esta forma, pueden ir cambiando de dirección IP.
Los ciberdelincuentes pueden aprovechar las cuentas robadas para una gran variedad de propósitos maliciosos.
- En el caso de una cuenta bancaria, puede drenarla en un plis plas.
- Si se trata de información confidencial, (números de tarjetas de crédito, imágenes o documentos) puede monetizar los datos en los mercados clandestinos.
- Las cuentas de correo electrónico robadas pueden utilizarse para enviar spam, mandar correos de phishing a los contactos de la víctima, etc.
- En el caso de las empresas, las cuentas comprometidas podrían contener información de identificación personal (PII) de sus clientes, lo que podría conducir a multas, y daño en su reputación.
En febrero de 2021, Bitdefender informó que una conocida plataforma de transmisión de música (Spotify) fue víctima de un ataque de relleno de credenciales.
Para ello, los atacantes utilizaron una base de datos filtrada, que contenía los detalles de inicio de sesión de 100.000 usuarios, que utilizaban el mismo nombre de usuario y contraseña para acceder a distintos servicios.
Cómo defenderse de un ataque de relleno de credenciales a nivel de usuario
Se puede intentar combatir esta plaga eligiendo contraseñas seguras, y cambiándolas de vez en cuando, pero un ataque exitoso de phishing, hace que una contraseña larga y complicada no sirva para nada.
Y dado que las posibles filtraciones y fugas de datos por culpa de la mala praxis de terceros escapan a nuestro control, lo más efectivo es usar una contraseña diferente para cada sitio.
En cualquier caso, la autenticación multifactor, es la mejor defensa posible contra la mayoría de ataques relacionados con contraseñas, incluido el relleno de credenciales.