Si utilizas la misma contraseña para todo, podrías ser víctima del credential stuffing: cómo protegerte

2026-03-08 - 09:53

El mal uso de las contraseñas sigue siendo uno de los puntos más débiles para proteger nuestros datos personales o bancarios. Muchas personas utilizan la misma clave para el correo electrónico, la app del banco, redes sociales o plataformas de compra online. Puede parecer algo práctico, ya que no tenemos que memorizar o guardar muchas contraseñas, pero es algo muy peligroso. Si una de esas contraseñas queda expuesta, tenemos el riesgo de que sirva para acceder a muchos otros y, para cuando queramos rectificar, puede ser tarde. Es más, esta técnica se conoce como credential stuffing (relleno de credenciales en español) y aprovecha credenciales filtradas con anterioridad para intentar entrar en otras cuentas. Así actúa y cómo protegerse del credential stuffing Tal y como explican desde la compañía de ciberseguridad ESET, esta técnica no consiste en adivinar contraseñas al azar. En su lugar, los ciberdelincuentes utilizan combinaciones reales de usuario y contraseña que han sido robadas en incidentes previos, compradas en mercados ilegales o capturadas mediante programas maliciosos que extraen datos de dispositivos. Este proceso es completamente automático y los atacantes emplean bots junto con otras herramientas que prueban miles de credenciales en distintas páginas web. Estos sistemas pueden cambiar de dirección IP y adquirir un comportamiento como si fueran usuarios al uso para no levantar sospechas. Para lograr una mayor velocidad y reducir la posibilidad de ser detectados, también se apoyan en herramientas de inteligencia artificial. El riesgo es alto, ya que se utilizan datos auténticos. Es decir, si la persona repite la contraseña en varios servicios, cualquier mínima filtración puede convertirse en un gran problema, incluso aun no habiendo sufrido ningún ataque antes. Así que, para evitar ser víctima del credential stuffing, desde ESET recomiendan seguir los siguientes consejos. No usar la misma contraseña en diferentes servicios. Utilizar un gestor de contraseñas para crear claves únicas y seguras. Activar la autenticación en dos pasos siempre que sea posible. Comprobar si el correo electrónico ha aparecido en alguna filtración y cambiar las contraseñas si es necesario.