6 de marzo de 2026

Credential Stuffing: el peligro de repetir contraseñas y cómo protegerse

Nicolás Schiller 16 de agosto de 2025
stuffing

En la era digital, nuestras contraseñas son la primera línea de defensa contra ciberdelincuentes. Sin embargo, un hábito muy común —reutilizar la misma clave en diferentes cuentas— puede convertirse en una puerta abierta para ataques conocidos como credential stuffing.

La compañía de ciberseguridad ESET advierte que este tipo de ataques está en aumento y que sus consecuencias pueden ser devastadoras: desde el robo de información personal hasta el acceso indebido a servicios financieros.

¿Qué es el credential stuffing?

Se trata de una técnica en la que los atacantes utilizan combinaciones de usuario y contraseña previamente filtradas para probarlas en otros servicios. Si la víctima usa la misma clave en varias plataformas, los delincuentes pueden ingresar sin necesidad de vulnerar el sistema.

“Repetir contraseñas es como usar la misma llave para abrir la casa, el carro, la oficina y la caja fuerte”, explica Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

El proceso suele apoyarse en bots y scripts automatizados capaces de probar miles de inicios de sesión por minuto en servicios como Netflix, Gmail, bancos o redes sociales. Lo más preocupante es que el acceso parece legítimo, por lo que resulta difícil detectarlo a tiempo.

Casos recientes que muestran el alcance del problema

  • PayPal (diciembre de 2022): cerca de 35.000 cuentas comprometidas, con exposición de datos sensibles como nombres, direcciones y números fiscales.
  • Snowflake (2024): más de 165 organizaciones afectadas debido al uso de credenciales robadas mediante malware. La ausencia de autenticación multifactor fue clave para que el ataque tuviera éxito.

Y los incidentes siguen ocurriendo. Solo en 2025 se revelaron más de 16 mil millones de registros expuestos en bases de datos mal configuradas, junto con otra filtración de 184 millones de credenciales que incluían accesos a plataformas de salud, banca, redes sociales y hasta portales gubernamentales.

Cómo protegerse del credential stuffing

La buena noticia es que la prevención está al alcance de cualquier usuario. ESET recomienda adoptar estas medidas:

  • Nunca reutilizar contraseñas. Cada cuenta debe tener una clave única y robusta.
  • Usar un gestor de contraseñas. Estas herramientas almacenan y generan contraseñas seguras cifradas.
  • Activar el doble factor de autenticación (2FA). Incluso si la clave cae en manos equivocadas, el atacante no podrá acceder sin el segundo factor.
  • Verificar filtraciones. Sitios como haveibeenpwned.com permiten comprobar si tus credenciales ya fueron comprometidas.

Un reto de seguridad que no se puede ignorar

Las filtraciones masivas y la sofisticación de los ciberataques nos recuerdan que la gestión de contraseñas no es un detalle menor, sino un pilar de la seguridad digital. Implementar prácticas simples puede marcar la diferencia entre estar protegido o convertirse en víctima.

En palabras de los expertos de ESET: la ciberseguridad comienza con buenos hábitos digitales.

Más historias

hacker

Ciberseguridad en 2026: Por qué los hackers ya no «hackean» para entrar en tu empresa

Nicolás Schiller 2 de marzo de 2026
Check Point shield

IA como Caballo de Troya: Cómo los Hackers usan los Asistentes de Inteligencia Artificial para el Control de Malware

Nicolás Schiller 23 de febrero de 2026
hogar digital kaspersky

El 99% de las familias en Latinoamérica se comunica online: Guía de seguridad para el hogar digital

Nicolás Schiller 12 de febrero de 2026
PortalGeek YT
TikTok
Instagram
Lo llamamos Twitter
Facebook