Qué es el Credential Stuffing o Relleno de Contraseñas

Esta técnica de ataque masiva se ha vuelto sumamente efectiva y es potenciada por los innumerables data breaches o fugas de datos que ocurren constantemente en el ciberespacio. Te contamos qué es, por qué estamos en peligro y cómo protegernos de ella en este artículo. Tal vez lo hayan notado… Montones de cuentas son “hackeadas”, […]

Esta técnica de ataque masiva se ha vuelto sumamente efectiva y es potenciada por los innumerables data breaches o fugas de datos que ocurren constantemente en el ciberespacio. Te contamos qué es, por qué estamos en peligro y cómo protegernos de ella en este artículo.

Tal vez lo hayan notado… Montones de cuentas son “hackeadas”, pero las compañías insisten en que sus sistemas no han sido vulnerados. Por otro lado, en los mercados negros, se venden cuentas de servicios como Spotify por mucho menos dinero de lo que cuestan oficialmente. Esas cuentas pertenecen a otros usuarios, quienes se ven afectados por esta técnica que se alimenta de los data breaches que ocurren a diario: el Credential Stuffing.

Qué es el Credential Stuffing o Relleno de Contraseñas?

El credential stuffing o relleno de credenciales consiste en automatizar los intentos de login en sitios o servicios de internet utilizando como input las listas de usuario/contraseñas robadas en  data breaches. Esto se hace a gran escala, y no es necesario hacer fuerza bruta, ni adivinar las contraseñas, sino que simplemente se automatiza el inicio de sesión a partir de las credenciales ya obtenidas a partir de las fugas de datos.

Qué son los data breaches o fugas de datos?

Los ataques de relleno de credenciales son posibles y altamente efectivos porque muchos usuarios reutilizan la misma contraseña en diferentes sitios, a pesar de los incesantes llamados a no hacerlo. Y dado que los usuarios no tienen la costumbre de cambiar sus contraseñas a menudo, incluso data breaches antiguos sirven como un input eficaz para estos fines.

Entonces, los delincuentes encuentran credenciales en alguna fuga de datos publicada en internet y la utilizan como input para rellenar las credenciales de autenticación en cualquier otro servicio o página de internet.

Existen herramientas que asisten a los cibercriminales en esta tarea, como Selenuim, cURL o PhantomJS, y también se han creado programas específicamente diseñados para este propósito, como Sentry MBA o SNIPR. Dado que muchos sitios web tienen protección contra múltiples intentos de login viniendo de la misma dirección IP, las herramientas que asisten con el credential stuffing incorporan listas de proxies que simulan peticiones provenientes de diferentes lugares de la internet.

También pueden manipular las propiedades de las solicitudes de inicio de sesión para que parezca que provienen de una gran variedad de navegadores, ya que la mayoría de los sitios web marcarán grandes cantidades de tráfico que provienen del mismo tipo de navegador como sospechoso. Las herramientas de relleno de credenciales incluso ofrecerán integraciones con plataformas creadas para derrotar a Captchas.

Incluso, las campañas de relleno de credenciales en última instancia intentan que las solicitudes malintencionadas se mezclen con el ruido de todos los inicios de sesión legítimos que ocurren en un servicio en un momento dado, para “simular la actividad de una gran población de humanos”.

Por esto, no es necesario tener conocimientos técnicos avanzados. Basta con hacerse de una base de datos que se haya filtrado en alguna fuga de datos y hacer funcionar estas herramientas para poder tomar el control de miles o millones de cuentas.

Se estima que, por lo general, los atacantes encuentran coincidencias entre sus credenciales de prueba y una cuenta en la plataforma a la que atacan entre el 0,1 y el 2 por ciento del tiempo, razón por la cual necesitan cientos de miles o millones de pares de credenciales para que los ataques de relleno de credenciales valgan la pena.

Una vez que han ingresado en algunas cuentas, los atacantes encuentran la forma de monetizar lo que encuentran allí, ya sea robando más datos personales, dinero, saldos de tarjetas de regalo, números de tarjetas de crédito, etc.

Si este riesgo te parece lejano, debes saber, por ejemplo, que inmediatamente después de que se liberó la gigantesca colección de credenciales Collection #1 – Collection #5, se observó una gran actividad relacionada al relleno de contraseñas. “De hecho, vimos algunos de los ataques de relleno de credenciales más grandes entre varios clientes en solo esa semana. Y eso tiene sentido porque tienes todos estos nombres de usuario y contraseñas de texto plano disponibles a través de un torrent. Esto democratiza el relleno de credenciales”.

Cómo nos podemos proteger contra el credential stuffing o relleno de contraseñas?

Como usuarios, son las mismas recomendaciones de siempre:

• Nunca reutilices tus contraseñas
• Utiliza un gestor de contraseñas o password manager para ayudarte en esta tarea
• Habilita 2FA o autenticación de dos factores
• Verifica si tus contraseñas o cuentas han sido filtradas

Por el lado de las compañías, es más bien difícil protegernos del credential stuffing. Ellas pueden activamente chequear si tus credenciales han sido comprometidas,, como lo está comenzando a hacer Google, pero deben hacerlo sin comprometer los intentos legítimos de autenticación.

Pueden también rastrear los intentos de login que resulten en fraude para poner en una lista negra o blacklist a las direcciones IP, finalmente limitando la efectividad de los proxies utilizados para estos fines.

A estas alturas, todas los servicios de internet deberían habilitar la autenticación de dos factores, que, a pesar de no ser infalible, sí se convierte en una barrera para este tipo de ataques.

Lo cierto es que estas medidas la pueden aplicar sólo grandes empresas, y, finalmente, la responsabilidad de protegerse de estos ataques se encuentra en la mano de los usuarios. Es tu responsabilidad que tus credenciales no sean el relleno de este tipo de ataques!