El credential stuffing (o relleno de credenciales) es un tipo de ciberataque en el que actores maliciosos utilizan usuarios y contraseñas filtradas para iniciar sesión en cuentas y servicios distintos al que sufrió la filtración. Estos ataques suelen tener éxito porque muchas personas reutilizan la misma contraseña en diferentes plataformas.
Cuando una contraseña se ve comprometida, los atacantes solo necesitan probarla en otros sitios donde la víctima tenga cuentas. Si hay coincidencia, obtienen acceso sin necesidad de vulnerar el sistema. Expertos en ciberseguridad explican cómo funcionan estos ataques, por qué son efectivos, sus consecuencias y las medidas para evitarlos.
“Repetir contraseñas es como usar la misma llave para abrir la casa, el automóvil, la oficina y la caja fuerte. Prestar atención y gestionarlas correctamente es tan importante como cerrar la puerta de casa con llave. Hábitos simples pueden marcar la diferencia: evitar la reutilización, activar el doble factor de autenticación y usar un gestor seguro”, señaló Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica.
El primer paso de un ataque de credential stuffing es obtener credenciales filtradas, generalmente producto de brechas de seguridad en empresas y organizaciones que exponen millones de datos. Con esa información, y mediante el uso de bots o scripts automatizados, se prueban las combinaciones en múltiples servicios (como Netflix, Gmail, bancos o redes sociales), llegando a realizar miles de intentos por minuto.
Si la contraseña coincide, el acceso es idéntico al del usuario legítimo, lo que dificulta su detección porque no se registran intentos fallidos reiterados.
Algunos casos recientes
PayPal (2022): Entre el 6 y el 8 de diciembre, un ataque comprometió cerca de 35.000 cuentas, exponiendo información como nombres, direcciones, fechas de nacimiento y números de identificación tributaria.
Snowflake: Más de 165 organizaciones fueron afectadas cuando atacantes accedieron a cuentas de clientes con credenciales robadas mediante malware. Aunque la infraestructura no fue vulnerada, se aprovechó la falta de autenticación multifactor y el uso de contraseñas antiguas.
“Las grandes filtraciones de datos son la principal vía por la que los cibercriminales obtienen credenciales, y suceden más seguido de lo que se cree”, advirtió Gutiérrez Amaya.
En junio de 2025, por ejemplo, se detectaron bases de datos con 16.000 millones de registros expuestos en repositorios mal configurados, incluyendo combinaciones de usuario y contraseña para servicios como Google, Facebook, Meta y Apple. En mayo, el investigador Jeremiah Fowler reveló otra filtración con 184 millones de credenciales que incluían información de proveedores de correo electrónico, redes sociales, bancos, servicios de salud y portales gubernamentales.
Cómo protegerse de un credential stuffing
No reutilizar contraseñas en diferentes cuentas o servicios.
Crear contraseñas seguras y únicas para cada cuenta, preferiblemente con un gestor de contraseñas que las cifre y genere combinaciones robustas.
Activar el doble factor de autenticación siempre que sea posible.
Verificar filtraciones previas de credenciales en sitios como haveibeenpwned.com y cambiarlas de inmediato si aparecen comprometidas.
