La técnica empleada por los ciberdelincuentes consistente en probar la misma contraseña que han robado de una aplicación en otros servicios online es conocida como credential stuffing (relleno de credenciales).
Son tantas las contraseñas que las personas utilizan a diario y necesitan para acceder a los servicios digitales que, en muchas ocasiones, deciden utilizar la misma en muchos de ellos para no olvidarlas. Esta no es una buena práctica, ya que por ejemplo, si una red social sufre una brecha de seguridad y millones de cuentas de usuarios quedan expuestas, los ciberdelincuentes que aprovechen esta vulnerabilidad y roben las contraseñas almacenadas en ella, probarán suerte en otros servicios digitales. Además las recopilarán para venderlas en el mercado negro de la Dark Web.
Una amenaza mucho mayor sería que el ciberdelincuente lograra hacerse con las contraseñas de usuarios de Gmail. Este servicio de correo electrónico permite recuperar o cambiar las contraseñas de otros servicios digitales, por lo que el ciberdelincuente podría realizar estos cambios y tomar el control de dichos servicios.
Los ciberdelincuentes también obtienen las credenciales y otros datos privados de los usuarios mediante la ejecución de ataques de ingeniería social, es decir, enviando correos electrónicos, mensajes de texto SMS o realizando llamadas en las que suplantan la identidad de compañías de confianza y emplean técnicas de manipulación y engaño para intentar conseguir su información. En estas comunicaciones incluyen enlaces maliciosos que redirigen a páginas web falsas creadas por ellos.
¿Cómo protegerse de esta amenaza?
- Crear una contraseña distinta para cada servicio online. De esta forma, si uno de ellos se ve comprometido, solo se sufrirá el robo de esa credencial, la cual deberá cambiarse tan pronto como sea posible.
- Utilizar un gestor de contraseñas resulta de gran utilidad para no tener que recordarlas todas y almacenarlas de forma segura. Estos gestores son aplicaciones sencillas que guardan las claves de acceso cifradas bajo una contraseña maestra (la única que se debe recordar).
- Siempre que el servicio lo permita, es aconsejable activar el doble factor de autenticación (código obtenido a través de una aplicación o mensaje SMS que se aplica después de la contraseña) para añadir una capa extra de seguridad. Así el ciberdelincuente no podrá acceder al servicio aunque tenga las contraseñas.
- Cambiar de forma periódica las contraseñas de los principales servicios. Las contraseñas deben ser robustas y contener mayúsculas, minúsculas, números y caracteres especiales.
- En caso de sufrir un ciberataque, es importante reportarlo a las autoridades u organismos oficiales de ciberseguridad. En España, el INCIBE proporciona ayuda a las víctimas de ataques de seguridad las 24 horas del día.