Ciberseguridad: el riesgo de usar la misma contraseña en internet

La reutilización de contraseñas es uno de los mayores riesgos de ciberseguridad para usuarios y empresas, advierte ESET, empresa líder en detección proactiva de amenazas. Un nuevo informe de la compañía explica cómo el ataque conocido como credential stuffing aprovecha este hábito para comprometer múltiples cuentas a la vez, incluso después de que una sola contraseña haya sido filtrado en una brecha de datos.

El credential stuffing es un tipo de ciberataque masivo y automatizado, donde los ciberdelincuentes utilizan credenciales robadas de un servicio para probarlas en otros. Según Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica, «repetir contraseñas es como usar la misma llave para abrir la casa, el auto, la oficina y la caja fuerte. Es un hábito simple que puede marcar la diferencia entre estar protegido o ser vulnerable».

¿Cómo funciona el credential stuffing?

El ataque comienza cuando los ciberdelincuentes obtienen bases de datos con nombres de usuario y contraseñas de grandes filtraciones, muchas de las cuales contienen millones de registros. Con esta información en su poder, utilizan bots o scripts automatizados para probar combinaciones de credenciales en miles de plataformas y servicios por minuto.

Si una combinación de usuario y contraseña coincide, el atacante ingresa a la cuenta sin levantar sospechas, ya que su acceso es idéntico al de un usuario legítimo. Este método de ataque es altamente efectivo, como lo demuestran casos recientes que comprometieron miles de cuentas de grandes empresas como PayPal y Snowflake.

Casos que demuestran la vulnerabilidad

• PayPal (diciembre de 2022): Un ataque de credential stuffing comprometió miles de cuentas, exponiendo datos sensibles como nombres, direcciones y números de identificación.
• Snowflake (2025): Más de 165 organizaciones se vieron afectadas cuando los atacantes utilizaron credenciales robadas para acceder a cuentas de clientes. La falta de autenticación multifactor y el uso de contraseñas débiles fueron factores clave en esta brecha.

El problema es de escala masiva. En lo que va de 2025, se han expuesto públicamente miles de millones de credenciales en repositorios no seguros, incluyendo combinaciones de usuario y contraseña para servicios tan populares como Google, Facebook y Apple.

Cómo protegerse: los consejos de ESET

Para evitar ser víctima de un ataque de credential stuffing, ESET recomienda adoptar las siguientes medidas de seguridad:

1. No reutilizar contraseñas: Utilice una contraseña única para cada cuenta, plataforma y servicio.
2. Usar contraseñas robustas y un gestor de contraseñas: Los gestores de contraseñas son herramientas seguras que almacenan y generan contraseñas complejas, facilitando la gestión de múltiples credenciales.
3. Activar la autenticación de doble factor (2FA): Este factor adicional de seguridad es una capa de protección crítica que evita el acceso no autorizado incluso si su contraseña es comprometida.
4. Verificar si sus credenciales han sido filtradas: Existen sitios web como HaveIBeenPwned.com donde puede verificar si alguna de sus contraseñas ha sido expuesta en una brecha de datos para que pueda cambiarla de inmediato.

«Hábitos simples como estos pueden marcar la diferencia entre estar protegido o ser vulnerable», concluye Gutiérrez Amaya.