En un contexto donde las filtraciones de datos son cada vez más frecuentes, reutilizar la misma contraseña en varias cuentas se ha convertido en uno de los mayores riesgos de seguridad digital. Este hábito es la base de una de las técnicas más rentables para los ciberdelincuentes: el credential stuffing.

Desde ESET, compañía especializada en ciberseguridad, explican que este método no consiste en adivinar contraseñas, como ocurre en los ataques de fuerza bruta. Aquí el truco es otro: reutilizar combinaciones reales de usuario y contraseña que ya han sido filtradas anteriormente, vendidas en mercados clandestinos o robadas mediante malware infostealer que extrae datos directamente desde navegadores y dispositivos comprometidos.

Si utilizas la misma clave para todo, el problema es evidente: un único par de credenciales puede abrir la puerta a tu banca online, tu correo electrónico, tus redes sociales o tus plataformas de comercio electrónico, aunque no tengan relación entre sí.

“Este tipo de ataque funciona porque explota un hábito muy extendido: reutilizar las contraseñas. Cuando una sola clave abre varias puertas, una filtración antigua puede convertirse en un problema actual y afectar a toda la vida digital de la víctima”, señala Josep Albors, director de Investigación y Concienciación de ESET España.

Por qué este ataque sigue funcionando (y cada vez mejor)

El credential stuffing es especialmente peligroso porque los atacantes trabajan con credenciales válidas. Al tratarse de combinaciones reales, los intentos de acceso resultan mucho menos sospechosos que en un ataque tradicional.

Además, los ciberdelincuentes utilizan bots y herramientas automatizadas capaces de probar miles de combinaciones en formularios de inicio de sesión o APIs. Para evitar ser detectados, rotan direcciones IP y simulan comportamientos de usuarios legítimos.

La incorporación de scripts asistidos por inteligencia artificial ha aumentado la escala y el sigilo de estos ataques, haciéndolos todavía más difíciles de bloquear con medidas básicas.

El impacto puede ser considerable incluso cuando la empresa afectada no ha sufrido una brecha directa. Si reutilizas contraseñas filtradas en el pasado, los atacantes pueden acceder sin necesidad de vulnerar los sistemas actuales del servicio.

Cómo protegerte del ‘credential stuffing’

Desde ESET recomiendan medidas claras y directas:

No reutilizar la misma contraseña en diferentes servicios. Cada cuenta debe tener una clave única .

. Utilizar un gestor de contraseñas para generar y almacenar combinaciones robustas y distintas.

robustas y distintas. Activar la autenticación en dos pasos (2FA) siempre que esté disponible.

(2FA) siempre que esté disponible. Comprobar periódicamente si tu correo ha aparecido en alguna filtración y cambiar las contraseñas si detectas exposición.

“En un entorno en el que las filtraciones son recurrentes y las credenciales robadas circulan durante años, el credential stuffing demuestra que la comodidad puede salir cara”, concluye Albors.

La gestión adecuada de contraseñas ya no es opcional: es una práctica básica de supervivencia digital.