Los ataques de relleno de credenciales utilizan procesos automatizados para probar listas de pares de nombres de usuario y contraseñas robados y obtener acceso no autorizado a sitios web y aplicaciones. Estos ataques pueden causar daños por valor de millones de dólares. La táctica tiene éxito en parte porque, aunque se puede pedir a los usuarios que creen una contraseña más compleja, las políticas de complejidad de las contraseñas no tienen forma de tener en cuenta a las personas que utilizan las mismas credenciales en varios sitios web o servicios.
A continuación, analizaremos más de cerca qué es el relleno de credenciales, en qué se diferencia de la fuerza bruta y la pulverización de contraseñas, los tipos de fraude que pueden producirse tras una apropiación exitosa y cómo detener el relleno de credenciales mediante una defensa por capas.
Destacados
El relleno de credenciales aprovecha la reutilización de contraseñas en varias cuentas. Las políticas de contraseñas seguras no son eficaces como defensa independiente frente a este tipo de ataque.
Las plataformas de software como servicio (SaaS) y de inteligencia artificial (IA) se enfrentan al riesgo de sufrir ataques de relleno de credenciales, lo que incluye la apropiación de cuentas, el uso indebido de interfaces de programación de aplicaciones (API) y la explotación de planes gratuitos.
Una defensa eficaz requiere la creación de capas de detección de bots, la revisión de las credenciales comprometidas y el uso de señales compartidas en los puntos de conexión de inicio de sesión, creación de cuentas y API.
¿Qué es el relleno de credenciales?
El relleno de credenciales es un ciberataque en el que los delincuentes utilizan pares de nombre de usuario y contraseña filtrados de anteriores violaciones de datos y los prueban automáticamente en otros servicios. Funciona porque la reutilización de contraseñas es algo habitual. Los estudios demuestran sistemáticamente que muchas personas utilizan las mismas credenciales en varias cuentas; de hecho, el 72 % de la generación Z afirma reutilizar contraseñas.
¿Cómo funciona el relleno de credenciales?
Los atacantes que utilizan el relleno de credenciales obtienen listas de credenciales, a veces denominadas «listas combinadas», de bases de datos de filtraciones disponibles en foros delictivos y marketplaces de la dark web. Algunas de estas listas contienen cientos de millones de pares de nombres de usuario y contraseñas verificados. Carguen estas listas en un software capaz de enviar millones de solicitudes de inicio de sesión, gestionar pruebas de Turing públicas y completamente automatizadas para distinguir entre ordenadores y humanos (CAPTCHA), rotar entre direcciones IP proxy y analizar las respuestas de éxito o fracaso.
Para eludir las sencillas reglas de límite de frecuencia, los atacantes envían estas solicitudes de inicio de sesión desde miles de direcciones diferentes, a menudo proxies residenciales que imitan el tráfico legítimo de los usuarios. Cuando el inicio de sesión se realiza con éxito, la herramienta lo marca. El atacante dispone ahora de una cuenta verificada y operativa, y puede extraer los métodos de pagos almacenados, los datos personales, el acceso a la API o los créditos de la cuenta.
¿En qué se diferencia el relleno de credenciales de la fuerza bruta y la pulverización de contraseñas?
El relleno de credenciales, los ataques de fuerza bruta y el la pulverización de contraseñas están relacionados, pero son distintos en cuanto a su estructura. La contramedida adecuada para uno de ellos no detendrá necesariamente a los demás.
Aquí tienes un resumen:
Fuerza bruta: un ataque de fuerza bruta prueba sistemáticamente todas las combinaciones de contraseña posibles para una cuenta concreta. Es un proceso que requiere un gran esfuerzo computacional, es lento y, en gran medida, poco práctico frente a puntos de conexión de inicio de sesión web que cuentan con políticas de bloqueo de cuentas.
Pulverización de contraseñas: Un ataque de pulverización de contraseñas prueba una o varias contraseñas habituales (por ejemplo, Password1!, Welcome2024) en un gran número de cuentas. Está diseñado para no superar los límites de bloqueos por cuenta, al tiempo que aprovecha las contraseñas débiles. Las políticas de contraseñas pueden evitar que los usuarios utilicen estas contraseñas comunes desde el principio y constituyen una medida preventiva eficaz.
Relleno de credenciales: A veces se considera una subcategoría de los ataques de fuerza bruta, los ataques de relleno de credenciales ejecutan pares de nombre de usuario y contraseña legítimos a través de páginas de inicio de sesión no confirmadas y toman el control de las cuentas a las que acceden. Las políticas de contraseñas estándar no son de mucha ayuda contra el relleno de credenciales porque no pueden evitar que los clientes reutilicen las contraseñas en diferentes cuentas.
¿Cuáles son las primeras señales de advertencia de un ataque de relleno de credenciales?
Los ataques de relleno de credenciales rara vez aparecen como un pico espectacular. Con mayor frecuencia, son visibles como una lenta suma de señales.
Ten en cuenta lo siguiente:
Aumento de la tasa de fallos de inicio de sesión en todas las cuentas: un ataque de fuerza bruta muestra muchos fallos en una cuenta. El relleno de credenciales muestra una tasa de fallos moderada repartida por miles de cuentas simultáneamente. Si la tasa de inicio de sesión fallida de referencia es del 2 %-5 % y de repente se dispara al 15 %-20 % en todos los ámbitos, ese cambio justifica una investigación inmediata.
Una repentina afluencia de direcciones IP nuevas: las redes de proxy residenciales generan peticiones desde direcciones que parecen limpias en las listas de reputación. Sin embargo, el aumento de direcciones IP que nunca antes habían accedido a tu plataforma es una señal importante si se correlaciona con la actividad de inicio de sesión.
Distribuciones geográficas poco habituales: los inicios de sesión agrupados en regiones que no coinciden con los patrones de acceso histórico de una cuenta pueden indicar un acceso automatizado.
Cadenas de agente de usuario repetidas en numerosas solicitudes: entre los usuarios legítimos se observa una enorme variación en las huellas de navegador. En los ataques de relleno de credenciales, la misma cadena de agente de usuario suele repetirse en miles de solicitudes, lo que constituye un patrón que merece la pena señalar.
Una elevada proporción entre intentos y aciertos: los usuarios normales fallan una o dos veces, y luego o bien lo consiguen o bien reinician el proceso. Las herramientas de relleno de credenciales rara vez tienen éxito, pero generan muchos intentos por sesión.
Picos de volumen inexplicables en el punto de conexión de inicio de sesión: incluso con la rotación de direcciones IP, el propio punto de acceso registra un mayor número total de solicitudes durante los ataques de relleno de credenciales. Un aumento considerable sin que haya un evento de marketing o un lanzamiento de producto que lo justifique es una señal de alerta.
¿Por qué es peligroso el relleno de credenciales para las plataformas de IA y SaaS?
Los atacantes del relleno de credenciales comprueban si las credenciales son válidas para crear una lista de accesos. Una vez que consiguen entrar, pueden causar aún más daños.
Si gestionas una plataforma de IA o SaaS, esto es lo que debes saber:
Apropiación de cuentas y robo de datos: una vez que han accedido a la cuenta de un cliente, los atacantes pueden sustraer datos personales, datos de pagos, archivos privados o comunicaciones. Si su plataforma gestiona datos empresariales confidenciales, una sola cuenta comprometida puede provocar una exposición que vaya más allá del objetivo original del atacante.
Monetización inmediata de la cuenta: los atacantes podrían sacar provecho económico de una cuenta comprometida de inmediato. Podrían vaciar la cuenta de saldo o utilizarla para realizar compras fraudulentas, o bien revender las credenciales en foros delictivos.
Fraude a través de métodos de pagos almacenados: las cuentas con métodos de pagos guardados son objetivos muy atractivos. Los atacantes pueden realizar compras, transferir fondos o desviar pagos, lo que supone un riesgo financiero directo tanto para la plataforma como para sus usuarios.
Fraude con cuentas nuevas: una vez que han comprobado que tu plataforma ofrece valor, los atacantes suelen empezar a crear más cuentas fraudulentas. Las pruebas gratuitas, los bonos de creación de cuenta y el acceso a la API vinculado a las cuentas nuevas son todos objetivos potenciales.
Abuso de las pruebas gratuitas y acumulación de créditos en el nivel gratuito: el relleno de credenciales puede derivar en otros tipos de fraude. Los atacantes pueden ir alternando el acceso al nivel gratuito en numerosas cuentas para eludir los límites de consumo. Esto supone un problema financiero importante para las plataformas de IA, ya que regalar llamadas a la API y créditos de inferencia supone un coste directo para la plataforma.
Uso indebido de la API: las cuentas en las plataformas de IA suelen incluir acceso a la API y cuotas de consumo. Los atacantes que se hacen con el control de las cuentas pueden agotar esas cuotas, revender el acceso o utilizar los recursos informáticos para sus propios fines. Todo ello genera costes de infraestructura para la plataforma.
Carga de soporte: los clientes cuyas cuentas han sido vulneradas requieren mucha asistencia. Los restablecimientos de contraseñas, las disputas por fraude y los procesos de recuperación de cuentas consumen tiempo, dinero y otros recursos.
Daño a la reputación: los usuarios cuyas cuentas se vean comprometidas en tu plataforma podrían culpar a esta, independientemente de dónde se filtraran inicialmente sus credenciales.
¿Cómo pueden las plataformas combatir los ataques de relleno de credenciales sin perjudicar la experiencia de inicio de sesión?
La prevención de los ataques de relleno de credenciales se basa en la creación de múltiples capas de defensa para que cada una de ellas aumente el coste de un ataque. A continuación te presentamos algunas opciones.
Límite de frecuencia con matices
Si se establece un límite de frecuencia general por IP, los atacantes podrían eludirlo mediante la rotación de proxy. Los métodos más eficaces son los que limitan la frecuencia por cuenta (por ejemplo, ¿cuántos intentos fallidos ha tenido esta cuenta concreta en los últimos 10 minutos?), por huella digital del dispositivo o por patrón de comportamiento. Una combinación de todos ellos es aún mejor.
Detección de bots y análisis del tráfico
Implemente una solución de gestión de bots que analice señales de comportamiento (por ejemplo, patrones de movimiento del ratón, tiempo entre pulsaciones, cadencia de las solicitudes o respuestas a los desafíos de JavaScript). Herramientas como Cloudflare Bot Management o Akamai Bot Manager evalúan el tráfico incluso antes de que llegue a su lógica de autenticación.
Revisión de credenciales comprometidas
El modelo k-anonymity permite a los usuarios comprobar si su contraseña se ha visto comprometida sin revelar la contraseña completa. Servicios como la herramienta Pwned Passwords de Have I Been Pwned lo utilizan para comprobar si la contraseña de un usuario ha aparecido en bases de datos de filtraciones conocidas.
Autenticación multifactorial (MFA) condicional
En lugar de solicitarlas en cada inicio de sesión, reserva las solicitudes de MFA para señales anómalas. Si se produce un intento de inicio de sesión desde un dispositivo nuevo, un país diferente o tras un largo periodo de inactividad de la cuenta, es un buen momento para exigir un segundo factor. De este modo, se mantiene la eficiencia de la experiencia para los usuarios habituales, al tiempo que se detectan posibles situaciones de relleno de credenciales.
MFA obligatorio para acciones de alto valor
Incluso si no exiges el MFA en el inicio de sesión, es aconsejable que lo exijas antes de que un usuario pueda cambiar su dirección de correo electrónico, añadir un nuevo método de pagos o acceder a las claves de la API. Esto limita los daños en caso de que se produzca una apropiación.
Cómo puede ayudarte Stripe Radar
Stripe Radar utiliza modelos de IA, entrenados a partir de los datos de la red internacional de Stripe, para detectar y prevenir el fraude. Estos modelos se actualizan continuamente con las últimas tendencias de fraude para proteger a tu empresa frente a nuevas amenazas.
Stripe también ofrece Radar for Fraud Teams que permite a los usuarios añadir reglas personalizadas para hacer frente a situaciones de fraude específicas de sus empresas y acceder a información avanzada sobre fraudes.
Radar puede ayudar a tu empresa para:
Prevenir pérdidas por fraude: Stripe procesa más de un billón de dólares en pagos al año. Esta escala permite a Radar detectar y prevenir el fraude con precisión, lo que te ahorra dinero.
Aumenta los ingresos: los modelos de IA de Radar se entrenan con datos reales sobre disputas, información de clientes, datos de navegación y mucho más. Esto permite a Radar identificar transacciones de riesgo y reducir los falsos positivos, lo que aumenta tus ingresos.
Ahorra tiempo: Radar está integrado en Stripe y no requiere ninguna línea de código para su configuración. También puedes supervisar tu rendimiento en materia de fraude, escribir reglas y mucho más en una única plataforma, lo que aumenta la eficiencia.
Obtén más información sobre Stripe Radar o empieza hoy mismo.
El contenido de este artículo tiene solo fines informativos y educativos generales y no debe interpretarse como asesoramiento legal o fiscal. Stripe no garantiza la exactitud, la integridad, la adecuación o la vigencia de la información incluida en el artículo. Busca un abogado o un asesor fiscal profesional y con licencia para ejercer en tu jurisdicción si necesitas asesoramiento para tu situación particular.