Credential stuffing amenaza millones de cuentas online
ESET alertó sobre ataques masivos y reveló casos recientes de filtraciones globales. Ataques con credenciales robadas.
Por Deyanira Vázquez | Reportera
El credential stuffing se definió como un ciberataque en el que actores maliciosos utilizaron usuarios y contraseñas filtradas para iniciar sesión en servicios distintos al que sufrió la filtración. Este método funcionó gracias al hábito de reutilizar la misma clave en diferentes cuentas y plataformas. Cuando una contraseña se filtraba, los atacantes la probaban en otros sitios hasta lograr acceso.
De acuerdo con ESET, compañía especializada en detección proactiva de amenazas, estos ataques se ejecutaron con gran efectividad y sin necesidad de vulnerar sistemas. La táctica permitió a los ciberdelincuentes ingresar como si fueran usuarios legítimos, evitando alertas automáticas de seguridad. Además, las pruebas se realizaron de forma automatizada con bots que ejecutaron miles de intentos por minuto.
Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica, explicó que repetir contraseñas fue equivalente a usar la misma llave para abrir la casa, el auto, la oficina y la caja fuerte. Señaló que evitar la reutilización, activar la autenticación en dos pasos y usar gestores de contraseñas redujo el riesgo. También recomendó prácticas simples para proteger la información personal y corporativa.
El inicio de un ataque requirió que los delincuentes obtuvieran credenciales filtradas a través de brechas de datos en empresas u organizaciones reconocidas. Una vez en su poder, probaron esos accesos en múltiples plataformas, como redes sociales, servicios de streaming, banca electrónica y correo electrónico.
Casos que impactaron a miles
Uno de los casos analizados por ESET ocurrió en diciembre de 2022, cuando PayPal sufrió un ataque que comprometió alrededor de 35 mil cuentas. Los responsables obtuvieron información personal sensible como nombres, direcciones, fechas de nacimiento y números de identificación fiscal. La empresa confirmó que se trató de credential stuffing.
En otro incidente, más de 165 organizaciones fueron afectadas por el acceso a cuentas de clientes de Snowflake mediante credenciales robadas a través de malware tipo infostealer. Aunque la infraestructura no fue vulnerada, la ausencia de autenticación multifactor y el uso de contraseñas antiguas facilitó el ingreso.
ESET advirtió que las grandes filtraciones de datos se convirtieron en la principal vía para que los cibercriminales obtuvieran credenciales. El fenómeno ocurrió con más frecuencia de lo estimado, lo que incrementó la exposición de millones de usuarios.
En junio de 2025, se identificó un conjunto de bases de datos con 16 mil millones de registros expuestos en repositorios mal configurados. La información incluyó combinaciones de usuarios y contraseñas de cuentas en Google, Facebook, Meta y Apple.
Filtraciones masivas recientes
En mayo de 2025, el investigador Jeremiah Fowler reveló la exposición pública de 184 millones de credenciales pertenecientes a usuarios de todo el mundo. Entre los datos se hallaron accesos de proveedores de correo electrónico, productos de Apple, Google, Instagram, Snapchat, Roblox y múltiples entidades bancarias.
También se detectó información sensible de plataformas de atención médica y portales de gobiernos de diversos países. Estos datos pudieron ser utilizados para obtener acceso ilegítimo a servicios críticos.
ESET subrayó que estos incidentes mostraron la magnitud del riesgo cuando se ignoraban prácticas de seguridad digital. Incluso contraseñas antiguas podían ser aprovechadas para vulnerar servicios actuales si no se modificaban a tiempo.
La compañía reiteró que la educación en ciberseguridad y la adopción de herramientas de gestión de contraseñas fueron factores decisivos para reducir ataques. Recordó que la verificación periódica de credenciales filtradas ayudó a prevenir accesos no autorizados.
Medidas para prevenir ataques
Para prevenir el credential stuffing, ESET recomendó no reutilizar contraseñas en diferentes servicios y crear claves únicas y robustas para cada cuenta. Sugirió el uso de gestores de contraseñas que permitieran generar combinaciones complejas y almacenarlas de forma segura.
Otra medida clave fue activar el doble factor de autenticación en todos los servicios disponibles. Esta capa adicional de seguridad impidió que los atacantes accedieran a cuentas incluso con la contraseña en su poder.
La verificación constante de filtraciones mediante plataformas como haveibeenpwned.com permitió detectar compromisos de credenciales y actuar de inmediato. El cambio preventivo de contraseñas fue considerado fundamental en entornos corporativos y personales.
El informe de ESET concluyó que el credential stuffing representó una amenaza persistente y creciente para millones de usuarios en todo el mundo. La combinación de conciencia, educación y tecnología fue considerada la estrategia más efectiva para combatirlo. –sn–
Manos en computadora¡Conéctate con Sociedad Noticias! Suscríbete a nuestro canal de YouTube y activa las notificaciones, o bien, síguenos en las redes sociales: Facebook, Twitter e Instagram.
También, te invitamos a que te sumes a nuestro canal de información en tiempo real a través de Telegram.
#ataquesInformáticos #autenticaciónDeDosFactores #Cdmx #Ciberseguridad #contraseñasSeguras #credentialStuffing #datosPersonales #ESET #filtraciónDeDatos #filtraciones2025 #gestoresDeContraseñas #Información #InformaciónMéxico #México #Morena #noticia #noticias #NoticiasMéxico #NoticiasSociedad #PayPal #protecciónDeCuentas #protecciónDigital #roboDeCredenciales #RoboDeIdentidad #seguridadInformática #SN #Snowflake #Sociedad #SociedadNoticias #SociedadNoticiasCom #sociedadNoticias #SociedadNoticiasCom
Nuestro recorrido de abril a julio: incidencia internacional 2025
De abril a julio, tuvimos una agenda internacional bastante movida: estuvimos recorriendo diferentes regiones y eventos, llevando nuestras preocupaciones y demandas por la defensa de los derechos digitales de todas las personas.
https://www.tedic.org/nuestro-recorrido-de-abril-a-julio-incidencia-internacional-2025/
#Blog #ciberseguridad #DatosPersonales #DerechosDigitales #EconomaDePlataformas #LibertadDePrensa #SKR
Nuestro recorrido de mayo a julio: incidencia nacional 2025
En TEDIC creemos que la defensa de los derechos humanos en entornos digitales requiere un trabajo sostenido, articulado y profundamente comprometido con la comunidad. Por eso, durante los meses de mayo a julio de 2025, reforzamos nuestra presencia en espacios insti
https://www.tedic.org/nuestro-recorrido-de-mayo-a-julio-incidencia-nacional-2025/
#Blog #DatosPersonales #DerechosDigitales #Gnero #LibertadDeExpresin #Paraguay
Sacramento’s power company and law enforcement agencies have been running an illegal mass surveillance scheme for years, using our power meters as home-mounted spies. The Electronic Frontier Foundation (EFF) is seeking to end Sacramento’s dragnet surveillance of energy customers and have asked for a court order to stop this practice for good.
Qué dice la ley
En su denuncia, FACUA señala que este fallo habría vulnerado varios preceptos del Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, 27 abril 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de #datospersonales y a la libre circulación de estos datos #RGPD
Por todo ello, FACUA Euskadi ha pedido a la Agencia Española de Protección de Datos q abra una investigación para determinar si #GrupoIndigo ha hecho todas las actuaciones
/Telecos y privacidad
Nuestras acciones |
#FACUA denuncia a la cadena de #parkings #Indigo ante la AEPD por la filtración masiva de #datospersonales de sus clientes
La empresa ha sido víctima de un incidente de ciberseguridad en el que ha quedado expuesta #informaciónsensible de los usuarios de estos aparcamientos
ENTER.CO
Sociedad Noticias
Dra. PhD Johanna C. FALIERO 🇦🇷🇮🇹 
TEDIC
Electronic Frontier Foundation
STOPDISINFORMATION