Cómo evitar el ‘credential stuffing’ el método que utilizan los ciberdelincuentes para robar datos

La Agencia Estatal de Protección de Datos (AEPD) impuso el pasado marzo una multa de 3,2 millones de euros a Carrefour por infracciones de varios artículos del Reglamento General de Protección de Datos (RGPD) tras detectar cinco brechas de seguridad en su web.  La agencia apunta a que estos ciberataques pudieron realizarse a través del método credential stuffing, que utiliza credenciales robadas en otros servicios online para ejecutar nuevas filtraciones de datos. Una técnica “muy frecuente y que no es nueva”, según los expertos. 

Contexto. Los ataques a Carrefour tuvieron lugar entre el 13 de enero y el 21 de abril de 2023 y el número de afectados, según la AEPD, fue de 118.895 cuentas únicas que se vieron comprometidas y de las que el atacante pudo obtener información personal. 

• Sin embargo, la compañía francesa asegura que fueron 234 casos en los que se vio afectada la integridad de los datos personales de los clientes y 973 a la confidencialidad.

Qué es el credential stuffing. También conocido como “relleno de credenciales” por su traducción literal del inglés, es una práctica que consiste en utilizar datos robados en brechas de seguridad previas para tratar de acceder a nuevas filtraciones.

• Se prueban de forma automatizada pares de nombres de usuario y contraseña para entrar en cuentas y perfiles online, aprovechando normalmente la reutilización de credenciales de aplicaciones personales (por ejemplo, redes sociales y servicios online).

Samuel Parra, abogado especializado en el área tecnológica del derecho y experto en protección de datos, explica a Newtral.es que se trata de un tipo de ataque de los denominados de “fuerza bruta”, en el que los ciberdelincuentes ya cuentan con un nombre de usuario y contraseña válido (obtenidos ilícitamente) de una determinada persona y prueban estas credenciales en otras webs o suscripciones “por si funcionan”.

Cómo se desarrolla. El experto señala que esta práctica se divide en dos fases:

En primer lugar, los ciberdelincuentes “recopilan credenciales de acceso obtenidas mediante la brecha de seguridad de un servicio o página web”, normalmente compradas en el mercado negro. “Así, por ejemplo, los delincuentes obtienen el nombre de usuario y contraseña de acceso a una tienda online de ropa”, explica.

Posteriormente, siguiendo el ejemplo expuesto por el experto, los ciberdelincuentes “utilizan esas credenciales de la tienda online de ropa para intentar obtener acceso en otros servicios o páginas web, como suscripciones a contenidos multimedia u otras tiendas online”.

Cómo evitarlo. Desde el Instituto Nacional de Ciberseguridad (Incibe) dan las siguientes recomendaciones para evitar un ataque de relleno de credenciales:

• Habilitar la autenticación en dos factores siempre que sea posible y tener en cuenta opciones complementarias a las contraseñas escritas como huella digital o tarjetas de coordenadas.

• Usar contraseñas diferentes en cada web o servicio. En este aspecto, Parra aconseja utilizar gestores de contraseñas y que estas estén cifradas.

• Utilizar las cuentas corporativas solo para registrarse en servicios relacionados con el trabajo.