Los robos de cuentas son una pesadilla para cualquiera. Que otra persona acceda a tus finanzas o a tus datos más confidenciales es extremadamente estresante y puede afectar a toda tu vida. Imagina que alguien vacía tu cuenta bancaria o saca tarjetas de crédito a tu nombre.
Las personas tienen la responsabilidad de asegurarse de que están protegidas y no caen en los ataques de relleno de credenciales. Para protegerse de los ataques, es esencial establecer contraseñas seguras y únicas y vigilar de cerca los datos.
¿Qué es el relleno de credenciales?
Los delincuentes utilizan nombres de usuario y contraseñas robados (a menudo procedentes de filtraciones de datos anteriores) para intentar entrar en cuentas en línea. Dado que muchas personas reutilizan contraseñas en distintas plataformas, un inicio de sesión suele dar acceso a varias cuentas. Eso es exactamente con lo que cuentan los piratas informáticos para sus objetivos.
Los ciberdelincuentes utilizan herramientas automatizadas o "bots" para lanzar miles de intentos de inicio de sesión a la vez, atacando tantos sitios como sea posible.
Estos bots son rápidos y están programados para imitar el comportamiento humano real, lo que dificulta su detección y bloqueo. Una sola cuenta crackeada puede dar lugar al robo de dinero y la usurpación de identidad.
Cómo funcionan los ataques de relleno de credenciales
El proceso de relleno de credenciales consiste en adquirir datos robados y utilizarlos para intentar acceder a cuentas bancarias y otros sitios seguros. Los hackers encuentran (o compran) datos personales y luego automatizan el proceso de intentos de inicio de sesión para tratar de acceder a las cuentas.
Recogida de datos
Todo empieza con datos robados. Los piratas informáticos no siempre necesitan entrar en un sitio web para conseguir contraseñas, ya que hay muchas circulando por Internet. Muchas credenciales robadas acaban en la dark web, una parte oculta de Internet donde los ciberdelincuentes pueden comprar y vender datos pirateados.
Estas credenciales de inicio de sesión suelen proceder de anteriores violaciones de datos y se intercambian o venden libremente en grandes lotes.
Algunas colecciones, como la infame "Collection #1-5", contienen miles de millones de nombres de usuario y contraseñas. Es una mina de oro para los ciberdelincuentes, y todo lo que se necesita es una coincidencia en otra plataforma.
Intentos automatizados de inicio de sesión
Una vez que los hackers tienen su alijo de credenciales robadas, el siguiente paso es probarlas. Ahí es donde entra en juego la automatización.
Los atacantes lanzan intentos de inicio de sesión a gran escala a través de múltiples sitios web, comprobando si alguna de las combinaciones robadas sigue funcionando. Estos bots son inteligentes y algunos utilizan navegadores headless (un navegador web que se ejecuta sin interfaz gráfica de usuario, en segundo plano y se controla mediante programación, normalmente para tareas automatizadas) o rotan las direcciones IP en un intento de evitar ser detectados. Incluso añaden retardos entre los intentos de inicio de sesión para engañar a los sistemas y hacerles creer que se trata de un usuario normal iniciando sesión, evitando sospechas o protocolos de seguridad.
Adquisición de cuentas
Cuando las credenciales coinciden y el inicio de sesión se realiza con éxito, los hackers obtienen el control total de la cuenta, por ejemplo la de correo electrónico.
A partir de ahí, pueden intentar vaciar cuentas bancarias, robar datos privados o incluso bloquear al verdadero propietario. Los piratas informáticos tienen diferentes enfoques en función de las cuentas de las que puedan apoderarse. Si no consiguen entrar en tu banco y vaciarlo, pueden seguir utilizando el acceso a la cuenta de correo electrónico para otros delitos, como enviar mensajes de phishing a otras cuentas para hackearlas también. También pueden vender las cuentas comprometidas a otros delincuentes. En resumen, un solo inicio de sesión con éxito puede convertirse en un lío para el usuario.
Relleno de credenciales frente a fuerza bruta frente a pulverización de contraseñas
Estos tres tipos de ataques tienen como objetivo las contraseñas, pero los métodos difieren.
Relleno de credenciales
El relleno de credenciales se basa en contraseñas reales previamente robadas. Los piratas informáticos no adivinan, sino que utilizan datos existentes. El éxito del ataque depende de cuántas personas hayan reutilizado sus contraseñas en distintas plataformas.
Ataques de fuerza bruta
La fuerza bruta es más un juego de adivinanzas. El atacante prueba combinaciones de contraseñas aleatorias una y otra vez hasta que una de ellas funciona. Está automatizado, pero es un método más lento y fácil de detectar, ya que suele implicar muchos intentos fallidos desde la misma dirección IP.
Pulverización de contraseñas
La pulverización de contraseñas es una mezcla entre fuerza bruta y relleno de credenciales. Los hackers prueban contraseñas comunes como "password123" o "123456" en un gran número de cuentas como las que han encontrado en la Colección #1. Este método es astuto porque evita los sistemas de detección que señalan los intentos fallidos repetidos en una sola cuenta.
Por qué la suplantación de credenciales es una amenaza creciente
El robo de credenciales está empeorando. Una de las razones es la enorme cantidad de credenciales robadas disponibles en línea. Colecciones como las mencionadas anteriormente ofrecen a los atacantes una fuente inagotable de posibles inicios de sesión para probar y alimentar sus sistemas. Mientras la gente siga reutilizando contraseñas, el riesgo seguirá siendo alto.
Otro problema es la tecnología que hay detrás de estos ataques. Los bots son cada vez más avanzados.
Herramientas como los navegadores headless les permiten comportarse como usuarios reales, y la suplantación de IP les ayuda a esquivar los sistemas de detección. Mediante la integración de plugins y la personalización de los navegadores, los atacantes pueden perfeccionarlos para tratar de imitar el comportamiento de los usuarios. Algunos bots pueden incluso resolver retos CAPTCHA o imitar los movimientos del ratón. Para contrarrestar esto, los sitios web pueden utilizar la huella digital de dispositivos, que rastrea el navegador, el tipo de dispositivo y los patrones de comportamiento de un usuario para detectar inicios de sesión sospechosos y bloquear los ataques automatizados.
Además, el número de cuentas en línea se ha disparado. La mayoría de nosotros tenemos docenas de nombres de usuario. Eso significa más objetivos para los atacantes y más lugares potenciales para el robo de credenciales.
Los hábitos en materia de contraseñas no se han adaptado a las amenazas. Mucha gente sigue utilizando contraseñas sencillas y fáciles de adivinar, o la misma en varios sitios. Según un estudio, el 84% de los usuarios utiliza contraseñas de riesgo para sus cuentas en Internet. Basta una brecha y, de repente, un pirata informático tiene acceso a todo, desde correos electrónicos hasta cuentas financieras.
Ejemplos reales de ataques de relleno de credenciales
El robo de credenciales no es sólo una amenaza teórica. Ya ha provocado el caos en algunos nombres importantes de diferentes sectores.
Un ejemplo muy sonado fue el del banco HSBC, donde los atacantes utilizaron nombres de usuario robados para acceder a las cuentas de los clientes. Esta brecha permitió el acceso no autorizado a datos financieros y la empresa incluso tuvo que suspender todo su proceso de inicio de sesión en línea mientras se solucionaban los problemas. Hasta 14.000 clientes se vieron afectados.
En Reddit, los usuarios se encontraron de repente con sus cuentas bloqueadas tras una oleada de ataques de relleno de credenciales que afectó a la plataforma. Reddit tuvo que pedir a los usuarios que restablecieran sus contraseñas para poder acceder a sus cuentas.
Otro caso significativo provino de TurboTax, donde los atacantes utilizaron credenciales robadas para acceder a información fiscal en un ataque de 2019. No se trataba solo de nombres de usuario y contraseñas, ya que una vez dentro, los delincuentes podían acceder a números de la Seguridad Social y otros datos personales sensibles.
Nintendo también sufrió una brecha masiva en la que se vieron comprometidas miles de cuentas Nintendo Network ID. Los atacantes consiguieron entrar en las cuentas utilizando credenciales reutilizadas, lo que provocó compras no autorizadas y problemas de privacidad para los jugadores. Se comprometieron 300.000 cuentas.
El impacto de la suplantación de credenciales
Los ataques de usurpación de credenciales pueden provocar graves problemas. Es posible que las víctimas queden bloqueadas en sus cuentas y que les roben dinero directamente o a través de otros métodos fraudulentos, como la solicitud de tarjetas de crédito con sus datos.
Pérdidas financieras
Una de las consecuencias más inmediatas y visibles de un ataque de suplantación de credenciales es el daño financiero que puede causar. Una vez que un atacante obtiene acceso a una cuenta de pago o bancaria, los fondos no tardan en empezar a desaparecer.
Las víctimas se enfrentan a menudo a semanas de idas y venidas con sus bancos o proveedores de tarjetas para resolver el lío e intentar recuperar el dinero. Esto puede causar un estrés inmenso.
Identity robo
Más allá del dinero, la suplantación de credenciales abre la puerta a algo aún más peligroso: el robo de identidad.
Si los atacantes consiguen hacerse con suficientes datos personales, pueden hacerse pasar por otra persona. Pueden solicitar nuevas cuentas o incluso cometer fraudes y otros delitos utilizando el nombre de otra persona. Los daños causados por el robo de identidad pueden perseguir a una persona durante años y a menudo se tarda mucho tiempo en desenmarañarlos por completo.
Invasión de Privacy
También está la cuestión del espacio personal. Cuando los atacantes entran en una cuenta, no sólo ven números y contraseñas, sino que acceden a detalles privados. Pueden filtrarse cosas como fotos privadas y datos personales. Es una grave invasión de la intimidad. La idea de que alguien pueda hojear conversaciones o archivos sin permiso es inquietante y perturbadora para cualquiera de los implicados.
Cómo pueden protegerse los usuarios de la suplantación de credenciales
Los usuarios necesitan protecciones sólidas contra el relleno de credenciales, incluidas contraseñas sanas y otros métodos como la autenticación de dos factores o la autenticación multifactor.
El uso de una VPN (Red Privada Virtual) puede añadir una capa adicional de seguridad al enmascarar su dirección IP, lo que dificulta a los piratas informáticos el seguimiento de su actividad en línea o los ataques de relleno de credenciales. Utilizar contraseñas únicas para cada sitio o servicio puede parecer un engorro, pero los gestores de contraseñas lo facilitan.
2FA también es posible con muchas cuentas online. Utilízalo siempre que puedas. Incluso si alguien consigue robar una contraseña, la 2FA pone un muro extra en el camino. Suele consistir en introducir un código que se envía al teléfono o al correo electrónico, lo que dificulta que los atacantes entren sin ser vistos (a menos que ya estén en tu cuenta de correo electrónico).
También ayuda a mantenerse informado. Digital footprint scanner ofrece monitorización deDark Web y mucho más para permitirte comprobar si su correo electrónico o sus credenciales han quedado expuestos en alguna filtración de datos conocida. Es una forma útil de adelantarse a las amenazas y saber cuándo es el momento de actualizar las contraseñas, y es fácil buscar su dirección de correo electrónico y ver dónde aparece en filtraciones.
Artículos relacionados:
Su número de la Seguridad Social ya está expuesto, ¿y ahora qué?
Creo que mi teléfono está hackeado | ¡Ayuda! Signos de un teléfono pirateado