El credential stuffing —o relleno de credenciales— es un ataque automatizado donde los hackers prueban millones de combinaciones de usuario y contraseña robadas en distintos servicios hasta dar con una que funcione. Si sueles reutilizar contraseñas, estás facilitando el trabajo. Cada vez que una base de datos se filtra, tus credenciales acaban en una combo list: un archivo con millones de pares email/contraseña que se vende o comparte en foros underground. Si tu contraseña filtrada en LinkedIn es la misma que usas en tu banco, el atacante no necesita hackear el banco. Solo necesita probar.
Y no, no es ciencia ficción. Es el pan de cada día en ciberseguridad. Herramientas como Have I Been Pwned superan ya los 13.000 millones de cuentas comprometidas registradas (la cifra era de 13.000 millones en marzo de 2024 según Troy Hunt y sigue creciendo). La pregunta no es si tus datos han sido filtrados, sino cuántas veces.
Cómo funciona un ataque de credential stuffing paso a paso
El proceso es más sencillo de lo que parece. Un atacante obtiene una combo list —puede comprarla por unos pocos euros o descargarla gratis en ciertos foros—. Estas listas contienen millones de combinaciones email:contraseña procedentes de filtraciones reales: Adobe, LinkedIn, Dropbox, Collection #1 (que filtró 773 millones de emails en 2019).
Con la lista en mano, usa herramientas automatizadas como OpenBullet, SentryMBA o scripts propios en Python que lanzan intentos de login masivos contra un servicio objetivo. Hablamos de miles de intentos por minuto, distribuidos a través de redes de proxies o botnets para esquivar bloqueos por IP.
El ratio de éxito suele estar entre el 0,1% y el 2%, según datos de Akamai y Shape Security. Parece poco, pero si pruebas 10 millones de credenciales, estamos hablando de entre 10.000 y 200.000 cuentas comprometidas de un solo ataque. La rentabilidad es brutal.
- Fase 1: Obtención de la combo list (filtración, compra, intercambio)
- Fase 2: Limpieza y formateo de los datos (deduplicación, normalización)
- Fase 3: Ataque automatizado contra el servicio objetivo
- Fase 4: Verificación de cuentas válidas y monetización (reventa, fraude, extorsión)
A diferencia de un ataque de fuerza bruta —que prueba combinaciones aleatorias—, el credential stuffing usa credenciales reales. Por eso funciona tan bien y por eso reutilizar contraseñas entre servicios multiplica el riesgo exponencialmente.
Casos reales: las filtraciones que alimentan las combo lists
Para entender la magnitud del problema, veamos algunos de los incidentes que han generado las combo lists más usadas en ataques de relleno de credenciales:
| Filtración | Año | Cuentas afectadas | Datos expuestos |
|---|---|---|---|
| Yahoo | 2013-2014 | 3.000 millones | Email, contraseña, preguntas de seguridad |
| 2012 (publicada en 2016) | 164 millones | Email, contraseña (SHA1 sin salt) | |
| Collection #1-5 | 2019 | 2.200 millones (aprox.) | Email, contraseña en texto plano |
| 2019 | 533 millones | Teléfono, email, nombre | |
| Naz.API | 2024 | 71 millones (emails únicos) | Email, contraseña, URL del servicio |
La filtración Naz.API, identificada por Troy Hunt en enero de 2024, contenía credenciales extraídas mediante malware de tipo infostealer (como RedLine o Raccoon). No procedía de un hackeo a un servicio concreto, sino de miles de ordenadores infectados. Esto significa que incluso contraseñas "únicas" pueden acabar en una combo list si tu equipo está comprometido — algo que conecta directamente con los riesgos del malware por USB y otros vectores de infección local.
En 2020, Nintendo confirmó que aproximadamente 300.000 cuentas fueron comprometidas mediante credential stuffing. Spotify, Zoom y Dunkin' Donuts también han sido víctimas notorias. No fueron hackeadas directamente: los atacantes simplemente usaron contraseñas filtradas de otros servicios.
Por qué tu contraseña "segura" no lo es si la repites
Imaginemos que tienes una contraseña bastante decente: Tr0mb0n_2023!. Cumple los requisitos de longitud, mayúsculas, números y símbolos. Pero la usas en tu email, en Amazon, en el foro de ciclismo y en la app de tu gimnasio.
El foro de ciclismo sufre una brecha. Almacenaba contraseñas en MD5 sin salt (sí, en pleno 2026 esto sigue pasando). Tu contraseña filtrada aparece en texto plano en una combo list en cuestión de horas. Ahora el atacante prueba esa misma combinación en Gmail, Outlook, Amazon, PayPal... Y entra.
El problema no es la fortaleza de la contraseña individual. El problema es la reutilización. Una cadena es tan fuerte como su eslabón más débil, y tu eslabón más débil es ese servicio random donde te registraste en 2018 y del que ni te acuerdas.
Las herramientas de ciberseguridad gratuitas disponibles hoy hacen que protegerte no tenga excusa. Un gestor de contraseñas como Bitwarden (gratuito y open source), 1Password o KeePassXC genera y almacena contraseñas únicas de más de 20 caracteres para cada servicio. Tú solo necesitas recordar una contraseña maestra.
Cómo protegerte del credential stuffing
Vamos al grano. Estas son las medidas concretas que puedes aplicar ahora mismo, ordenadas por impacto:
- Usa un gestor de contraseñas. Bitwarden, 1Password, KeePassXC. Genera una contraseña aleatoria única para cada servicio. Sin excepciones.
- Activa la autenticación en dos factores (2FA). Preferiblemente con una app como Authy o Google Authenticator, no por SMS (vulnerable a SIM swapping). Así, aunque tu contraseña esté en una combo list, el atacante necesita un segundo factor que no tiene.
- Comprueba si tus credenciales están filtradas. Visita Have I Been Pwned e introduce tu email. Si aparece en alguna brecha, cambia esa contraseña inmediatamente (y todas las que sean iguales).
- Usa alias de email. Servicios como SimpleLogin o la función "Ocultar mi correo" de Apple te permiten usar un email diferente en cada registro. Si ese alias se filtra, sabes exactamente de dónde vino.
- Revisa las opciones de autenticación biométrica en tus dispositivos. La biometría combinada con 2FA añade una capa que el credential stuffing simplemente no puede superar.
Si gestionas un sitio web o una aplicación, la responsabilidad también es tuya. Implementa rate limiting en los endpoints de login, CAPTCHA progresivo, detección de bots (herramientas como Cloudflare Bot Management o hCaptcha), y monitoriza patrones de login anómalos. El OWASP tiene una guía específica para prevenir el relleno de credenciales en el lado del servidor.
Credential stuffing vs. otros ataques: entiende la diferencia
Se confunde a menudo con otros tipos de ataque. Aclaremos:
| Ataque | Método | Usa credenciales reales |
|---|---|---|
| Credential stuffing | Prueba pares usuario/contraseña filtrados en otros servicios | Sí |
| Fuerza bruta | Prueba todas las combinaciones posibles | No |
| Password spraying | Prueba unas pocas contraseñas comunes (123456, password) en muchas cuentas | Parcialmente |
| Phishing | Engaña al usuario para que entregue sus credenciales | No (las obtiene en el momento) |
El credential stuffing es especialmente peligroso porque no requiere engañar a nadie ni descifrar nada. Solo necesita que hayas cometido el error de reutilizar contraseñas. Y como los ataques de phishing siguen siendo efectivos para obtener credenciales iniciales, ambas técnicas se retroalimentan en un ciclo que beneficia al atacante.
Muchas víctimas de credential stuffing ni siquiera saben que han sido comprometidas. El atacante puede entrar, recopilar datos personales, configurar un backdoor o puerta trasera y salir sin dejar rastro visible. Es silencioso por diseño.
Preguntas frecuentes
¿Cómo sé si mis contraseñas están en una combo list?
Introduce tu email en Have I Been Pwned (haveibeenpwned.com). También puedes comprobar contraseñas concretas en su sección "Pwned Passwords", que compara de forma segura sin enviar tu contraseña completa al servidor. Navegadores como Chrome y Firefox también alertan si una contraseña guardada aparece en filtraciones conocidas.
¿El credential stuffing es ilegal?
Sí. En España está tipificado en los artículos 197 y 264 del Código Penal (acceso no autorizado a sistemas informáticos y daños informáticos). En la UE, la Directiva 2013/40/UE sobre ataques contra sistemas de información lo cubre explícitamente. Eso no impide que se practique a gran escala desde jurisdicciones con poca cooperación judicial.
¿Un gestor de contraseñas es realmente seguro?
Más seguro que la alternativa de reutilizar contraseñas o anotarlas en un post-it. Los gestores como Bitwarden cifran tu bóveda con AES-256 y tu contraseña maestra nunca sale de tu dispositivo. La brecha de LastPass en 2022 demostró que ningún sistema es infalible, pero incluso en ese caso, las bóvedas cifradas con contraseñas maestras fuertes permanecieron protegidas.
¿El 2FA me protege completamente del credential stuffing?
Protege en la gran mayoría de casos, sí. Un atacante con tu usuario y contraseña no puede entrar si necesita un código de tu app de autenticación. La excepción: ataques sofisticados con reverse proxy phishing (herramientas como Evilginx2) que capturan tokens de sesión en tiempo real. Pero eso ya no es credential stuffing puro, y requiere un esfuerzo mucho mayor por parte del atacante.
El siguiente paso
Abre Have I Been Pwned ahora mismo y comprueba tu email principal. Si aparece en alguna filtración —y probablemente aparecerá—, instala Bitwarden (es gratuito), importa tus contraseñas y empieza a sustituir las repetidas por contraseñas únicas generadas automáticamente. Prioriza los servicios financieros, el email y las redes sociales. Activa 2FA en todos los que lo permitan. Son 30 minutos que pueden ahorrarte meses de problemas. Si quieres seguir profundizando, en nuestro blog de diseño web y apps también cubrimos prácticas de seguridad aplicadas al desarrollo.
