acceder
Prueba gratuita

Cómo evitar los ataques de relleno de credenciales en su sitio web

captcha.eu

Los ataques de relleno de credenciales utilizan contraseñas reales robadas de violaciones anteriores, no conjeturas. Eso los hace más rápidos, más difíciles de detectar y más dañinos que la fuerza bruta. Esta guía cubre las seis defensas que los detienen, qué hacer si un ataque ya se está ejecutando y qué endpoints proteger primero.

Tiempo estimado de lectura: 16 minutos

Pruebe CAPTCHA.eu gratis - sin tarjeta de crédito
Ver todas las integraciones

De un vistazo

Qué lo hace diferente

Los ciberdelincuentes utilizan contraseñas reales que ya han funcionado en anteriores ataques, no suposiciones aleatorias. Los intentos de inicio de sesión parecen legítimos a primera vista

Por qué tiene éxito

Alrededor de 85% de los usuarios reutilizan contraseñas en múltiples servicios. Incluso una tasa de éxito del 0,1% en mil millones de credenciales arroja un millón de cuentas comprometidas.

La defensa individual más fuerte

MFA. Detiene la toma de control de cuentas incluso cuando el atacante tiene la contraseña correcta. Los datos de Microsoft muestran que bloquea más del 99% de los ataques automatizados de compromiso de cuenta.

Por qué CAPTCHA encaja aquí

Los CAPTCHA de prueba de trabajo detienen a los robots antes de que lleguen a la lógica de inicio de sesión y aumentan el coste de cada intento, independientemente de si las credenciales son válidas.

Contenido de esta guía

Cómo funciona el relleno de credenciales

Cada violación de datos importante produce un efecto secundario: una lista de nombres de usuario y contraseñas que funcionan acaba en la web oscura. Los atacantes compran estas listas a bajo precio, a veces por sólo unos pocos dólares por millón de registros, y luego las prueban automáticamente contra otros servicios. La lógica es sencilla: si alguien ha utilizado el mismo correo electrónico y la misma contraseña para un sitio de comercio minorista y para su cuenta bancaria, el atacante tiene ahora acceso a ambos.

Una campaña típica de relleno de credenciales funciona así:

  1. Adquirir credenciales. Los atacantes compran o descargan bases de datos de violaciones en mercados de la Web oscura. Las listas que contienen miles de millones de pares de nombres de usuario y contraseñas están ampliamente disponibles y son baratas.
  2. Preparar la lista. Las herramientas enriquecen los datos brutos, los deduplican y los formatean para realizar pruebas automatizadas en varios sitios de destino.
  3. Lanza intentos de inicio de sesión distribuidos. Los robots envían solicitudes de inicio de sesión a través de miles de direcciones IP simultáneamente, utilizando firmas de navegador reales para mezclarse con el tráfico normal. Cada IP envía solo un puñado de solicitudes, manteniéndose por debajo de los umbrales de limitación de velocidad.
  4. Recoger los éxitos en silencio. Cuando un inicio de sesión tiene éxito, el bot lo registra. A continuación, el atacante vende las credenciales de trabajo, toma el control de la cuenta, drena el valor almacenado o lo utiliza como punto de apoyo para otros ataques.

El detalle clave es que el atacante nunca necesita adivinar. Están reproduciendo contraseñas que ya funcionaron en otro lugar. Eso lo cambia todo sobre el aspecto del ataque y la forma de detectarlo.

Relleno de credenciales frente a fuerza bruta: ¿cuál es la diferencia?

Ambos ataques tienen como objetivo los formularios de inicio de sesión, y ambos utilizan la automatización. Más allá de eso, son problemas muy diferentes que requieren defensas distintas.

La forma más sencilla de entender la diferencia

Piense en la fuerza bruta como si un cerrajero intentara todas las combinaciones posibles de llaves en su cerradura. Lleva tiempo, hace ruido y es obvio cuando está ocurriendo. El robo de credenciales es alguien que ha encontrado tu llave en una caja de objetos perdidos y la está probando tranquilamente en tu puerta. La llave parece real porque lo es. La única pregunta es si cambiaste la cerradura después de la violación original.

ASPECTO
RELLENO DE CREDENCIALES
FUERZA BRUTA
Fuente de la contraseña
Contraseñas reales robadas en infracciones anteriores
Adivinanzas generadas: combinaciones aleatorias, diccionarios
Tasa de éxito
Bajo por intento (~0,1%), pero enorme a escala
Muy bajo; depende en gran medida de la seguridad de la contraseña
Velocidad
Muy rápido; distribuido entre miles de IP
Más lento; activa bloqueos y límites de velocidad rápidamente
Dificultad de detección
Difícil: las solicitudes parecen inicios de sesión de usuarios normales
Más fácil: destacan muchos intentos fallidos en una cuenta
¿La política de contraseñas ayuda?
No: el atacante ya dispone de una contraseña válida.
Sí: las contraseñas más largas y complejas frenan el ataque
Defensa primaria
MFA, CAPTCHA, detección de contraseñas violadas
Bloqueo de cuentas, limitación de tarifas, CAPTCHA, MFA

La fila más importante es la penúltima. Las políticas de contraseñas robustas protegen bien contra la fuerza bruta porque dificultan la adivinación. Contra el relleno de credenciales, no proporcionan casi ninguna protección, porque el atacante no está adivinando. Ya tiene tu contraseña. Esta es la razón por la que los dos ataques necesitan un pensamiento diferente, aunque compartan algunas defensas comunes.

Para más información sobre la fuerza bruta, consulte nuestra guía sobre cómo evitar los ataques de fuerza bruta.

Por qué es tan difícil detectar la suplantación de credenciales

Este es el reto principal. Cuando se ejecuta un ataque de fuerza bruta, deja rastros evidentes: docenas o cientos de intentos fallidos de inicio de sesión contra la misma cuenta desde la misma dirección IP. Sus registros se iluminan. Las herramientas de supervisión lanzan alertas.

El relleno de credenciales no deja casi ninguno de esos rastros. El atacante distribuye las peticiones entre miles de direcciones IP diferentes. Cada IP envía sólo una o dos peticiones. Las credenciales son correctas, por lo que muchos intentos tienen éxito inmediatamente. No hay fallos repetidos en la misma cuenta. El tráfico se parece exactamente al de usuarios normales que inician sesión desde distintas ubicaciones.

El resultado es que muchos ataques de relleno de credenciales pasan desapercibidos durante meses. En el caso de 23andMe, los atacantes pasaron cinco meses dentro de la plataforma antes de que la empresa descubriera lo que había ocurrido. Lo descubrieron solo porque los datos robados aparecieron a la venta en un foro de hackers, no porque la vigilancia interna detectara nada.

El coste oculto del éxito de los ataques

Según el informe de IBM Cost of a Data Breach Report 2025, las filtraciones cuestan una media de $4,44 millones en todo el mundo y se tarda una media de 241 días en identificarlas y contenerlas. Los daños financieros incluyen la reparación del fraude, la notificación a los clientes, las multas reglamentarias y el daño a la reputación, además de las pérdidas directas derivadas de las cuentas comprometidas.

Un ejemplo real: 23andMe

En octubre de 2023, la empresa de pruebas genéticas 23andMe reveló un ataque de relleno de credenciales que acabó exponiendo los datos personales de aproximadamente 6,9 millones de usuarios. La magnitud de la brecha la convierte en uno de los casos de estudio más claros de cómo el robo de credenciales puede ir mucho más allá del compromiso inicial.

Caso práctico: 23andMe (2023)

Los atacantes obtuvieron listas de credenciales de filtraciones de datos anteriores no relacionadas y las utilizaron para acceder a cuentas de 23andMe cuyos propietarios habían reutilizado contraseñas. Aproximadamente 14.000 cuentas fueron comprometidas directamente a través de este método. Sin embargo, la función “DNA Relatives” de 23andMe, que permite a los usuarios compartir datos de ascendencia genética con perfiles conectados, amplificó drásticamente la filtración. Al acceder a 14.000 cuentas, el atacante pudo obtener los datos conectados de otros 5,5 millones de perfiles y los datos del árbol genealógico de 1,4 millones más. Ninguno de esos usuarios adicionales vio sus cuentas directamente comprometidas. Sus datos quedaron expuestos simplemente porque un usuario conectado había reutilizado una contraseña.

La brecha de cinco meses en la detección (el ataque se produjo entre abril y septiembre de 2023, y sólo se descubrió cuando los datos robados aparecieron en BreachForums) pone de manifiesto el fallo de supervisión que permite que el robo de credenciales se produzca de forma silenciosa. Posteriormente, 23andMe ordenó el restablecimiento de las contraseñas e introdujo la verificación en dos pasos. La empresa tuvo que hacer frente a una demanda colectiva de $30 millones y se acogió al Capítulo 11 de la Ley de Quiebras en marzo de 2025. Los reguladores del Reino Unido y Canadá descubrieron que no existían controles de supervisión adecuados.

La filtración de 23andMe ilustra tres lecciones que se aplican a casi cualquier sitio web con cuentas de usuario. En primer lugar, las contraseñas de tus usuarios de otros sitios ponen en riesgo tu plataforma, incluso si nunca has sufrido una brecha. En segundo lugar, las funciones de la plataforma que conectan cuentas pueden multiplicar el impacto de un solo inicio de sesión comprometido. En tercer lugar, si no vigila las señales adecuadas, no sabrá que se está produciendo un ataque hasta que alguien se lo diga.

Seis defensas que funcionan

  • Autenticación multifactor

    La AMF es la defensa más eficaz contra la usurpación de credenciales. La razón es estructural: incluso si un atacante tiene el nombre de usuario y la contraseña correctos, MFA requiere un segundo paso de verificación (un código basado en el tiempo, una notificación push o una llave de hardware) que el atacante no tiene. El análisis de Microsoft de los incidentes de compromiso de cuentas descubrió que MFA habría detenido más del 99% de ellos. Esta cifra se aplica directamente al robo de credenciales, ya que todo el modelo de ataque depende de que una contraseña robada sea suficiente para iniciar sesión. Para los operadores de sitios web, la prioridad es sencilla: hacer obligatoria la AMF para las cuentas de administrador y de altos privilegios, y ofrecerla a todos los usuarios. Si no puede aplicar la AMF a todos los usuarios, aplíquela a las acciones de alto riesgo: cambios en los datos de la cuenta, flujos de pago y restablecimiento de contraseñas. Las claves de acceso FIDO2 y las aplicaciones de autenticación son ahora ampliamente compatibles y reducen la fricción que históricamente ha hecho que la AMF sea impopular entre los usuarios.

La AMF por sí sola no detiene el tráfico de ataques

La MFA evita la toma de posesión de cuentas, pero no impide que los bots envíen intentos de inicio de sesión. Miles de intentos bloqueados por MFA siguen afectando a su servidor, consumiendo recursos y generando ruido en sus registros. Por eso MFA funciona mejor combinado con las capas inferiores.

  • CAPTCHA de prueba en flujos de inicio de sesión y autenticación

    CAPTCHA actúa en un punto diferente de la cadena de ataque que MFA. En lugar de bloquear el acceso a la cuenta tras un inicio de sesión satisfactorio, CAPTCHA aumenta el coste de cada intento de inicio de sesión antes de que llegue a la lógica de autenticación. Esto es muy importante para el relleno de credenciales, donde los atacantes confían en enviar millones de solicitudes de forma barata y automática. El tipo de CAPTCHA es importante en este caso. Herramientas de resolución basadas en IA y servicios de resolución humana”. Los CAPTCHA visuales tradicionales (cuadrículas de imágenes, casillas de verificación “No soy un robot”) se ven cada vez más superados por las herramientas de resolución basadas en IA y los servicios de resolución humana. Frente a un atacante con recursos que lleve a cabo una gran campaña de relleno de credenciales, un CAPTCHA visual ofrece menos protección de lo que parece. Los CAPTCHA de prueba de trabajo son estructuralmente diferentes. En lugar de presentar un rompecabezas visual, requiere que el navegador complete un pequeño cálculo criptográfico antes de que la solicitud de inicio de sesión pueda continuar. Para un usuario real, esto ocurre de forma invisible en segundo plano. Para un bot que envía miles de intentos de inicio de sesión por minuto, cada intento requiere ahora trabajo computacional, aumentando el coste independientemente de la capacidad de resolución de imágenes del atacante. La hoja de trucos OWASP Credential Stuffing Prevention identifica CAPTCHA como uno de los controles clave para frenar los ataques de relleno de credenciales, señalando específicamente su papel en el aumento del coste y el tiempo de los intentos de inicio de sesión automatizados.

CAPTCHA.eu detiene a los bots antes de que lleguen a su lógica de inicio de sesión

Verificación invisible de la prueba de trabajo en cada intento de inicio de sesión. Sin puzles de imágenes. Sin cookies. Todos los datos se procesan en Austria conforme a la legislación de la UE. Certificado WACA Silver por TÜV Austria conforme a WCAG 2.2 AA.

Iniciar prueba gratuita
Vea cómo funciona el abuso del inicio de sesión

  • Detección de contraseñas violadas

    Esta defensa está infrautilizada y es muy eficaz. Cuando un usuario crea una cuenta o cambia su contraseña, el sistema comprueba la nueva contraseña en una base de datos de credenciales que se sabe han sido expuestas en anteriores violaciones de datos. Si encuentra una coincidencia, rechaza la contraseña y pide al usuario que elija otra. La investigación del Fiscal General del Estado de Nueva York sobre el robo de credenciales identificó la detección de contraseñas vulneradas como uno de los controles más eficaces de que disponen los operadores, sobre todo porque impide que los usuarios creen cuentas con contraseñas que ya circulan en las bases de datos de los atacantes. El servicio Have I Been Pwned ofrece una API gratuita para exactamente este propósito, lo que le permite comprobar las contraseñas con miles de millones de credenciales violadas conocidas sin transmitir la contraseña real. Este control no detiene un ataque ya en curso, pero reduce significativamente su exposición a lo largo del tiempo al eliminar sus cuentas más vulnerables antes de que los atacantes lleguen a ellas.

  • Limitación de velocidad y detección de anomalías

    La limitación de tasa estándar basada en IP (bloqueo de una IP después de un número determinado de intentos fallidos de inicio de sesión) es menos eficaz contra el relleno de credenciales que contra la fuerza bruta, porque cada IP en una campaña de relleno suele hacer sólo una o dos solicitudes. Sin embargo, la limitación de la tasa sigue teniendo un papel importante cuando se aplica cuidadosamente. El enfoque más eficaz combina los umbrales por cuenta con la detección global de anomalías. Los umbrales por cuenta señalan cuando la misma cuenta recibe intentos de inicio de sesión de muchas IP diferentes en un breve espacio de tiempo. La detección global de anomalías señala cuando el punto final de inicio de sesión recibe de repente un tráfico significativamente mayor que el de referencia, incluso si ninguna cuenta o IP individual se comporta de forma sospechosa. Juntos, estos patrones detectan campañas distribuidas que eluden la simple limitación de velocidad de IP. Señales adicionales que vale la pena monitorizar: intentos de inicio de sesión que provienen de proxies conocidos o de rangos de IP de proveedores de alojamiento, inicios de sesión desde ubicaciones geográficas inusuales para cuentas existentes, e inicios de sesión exitosos seguidos inmediatamente por cambios en los detalles de la cuenta. La hoja de trucos OWASP Credential Stuffing Cheat Sheet recomienda combinar varias señales en lugar de confiar en un único umbral.

  • Mensajes de error coherentes cuando falla el inicio de sesión

    Este es un pequeño detalle que importa más de lo que parece. Si su página de inicio de sesión devuelve mensajes diferentes para “contraseña incorrecta” frente a “la cuenta no existe”, los atacantes pueden utilizar esas diferencias para validar qué nombres de usuario de su lista son cuentas reales. Un cambio sencillo: devuelva siempre el mismo mensaje genérico independientemente de si el nombre de usuario existe o la contraseña es incorrecta. “La dirección de correo electrónico o la contraseña son incorrectas” no revela nada. “No hemos podido encontrar una cuenta con esa dirección de correo electrónico” es un regalo para un atacante que esté construyendo una lista de nombres de usuario validados. La misma lógica se aplica a los flujos de restablecimiento de contraseña. Devolver respuestas diferentes para direcciones de correo electrónico válidas y no válidas permite a los atacantes enumerar su base de usuarios sin ninguna credencial de inicio de sesión.

  • Notificación y control de usuarios

    Incluso con todo lo anterior, algunos ataques tendrán éxito. Una detección rápida limita los daños. Las señales de supervisión más eficaces para el robo de credenciales son diferentes de las de la fuerza bruta. Busque: un aumento general en el volumen de inicios de sesión sin un aumento correspondiente en los inicios de sesión exitosos, inicios de sesión exitosos desde ubicaciones geográficas o dispositivos desconocidos para cuentas establecidas, cambios en los detalles de la cuenta (dirección de correo electrónico, contraseña, dirección de envío) poco después del inicio de sesión y tasas elevadas de solicitudes de restablecimiento de contraseña. Notifique inmediatamente a los usuarios cuando inicien sesión en su cuenta desde un nuevo dispositivo o ubicación. Proporcione a los usuarios visibilidad de su historial de inicio de sesión reciente. Si pueden ver que alguien de otro país ha iniciado sesión a las 3 de la madrugada, pueden actuar antes de que el atacante cause daños duraderos. Esto también traslada parte de la carga de detección del equipo de seguridad a los usuarios, lo que resulta más eficaz que la supervisión centralizada.

Por dónde empezar: qué puntos finales proteger primero

Aplique primero estas defensas a los flujos de mayor riesgo. Los formularios de inicio de sesión son el objetivo principal, porque un inicio de sesión con relleno de credenciales exitoso da al atacante acceso completo a la cuenta de inmediato. Tras el inicio de sesión, dé prioridad a los flujos de restablecimiento de contraseñas, en los que las diferentes respuestas para direcciones de correo electrónico válidas y no válidas permiten a los agresores enumerar cuentas reales sin necesidad de credenciales. A continuación, los puntos finales de autenticación de API, que a menudo carecen de las protecciones aplicadas a los formularios de inicio de sesión web. Por último, los formularios de registro, en los que el relleno con éxito puede crear cuentas falsas o clonadas. Proteja en ese orden y cubrirá la gran mayoría de la superficie de ataque de relleno de credenciales.

Si ya se está produciendo un ataque: pasos inmediatos

Detectar un ataque de relleno de credenciales en curso requiere señales diferentes de las que cabría esperar. Dado que las solicitudes individuales parecen normales, las señales más claras son los patrones a nivel de volumen: un repentino aumento del tráfico de inicio de sesión, una proporción inusual de inicios de sesión exitosos y fallidos, o la creación de nuevas cuentas con patrones que sugieren automatización (nombres de usuario secuenciales, firmas de navegador idénticas, registros masivos en una ventana corta).

Si identificas un ataque activo, esta secuencia limita el daño:

  • Habilite o apriete CAPTCHA inmediatamente.

    Incluso desplegar CAPTCHA de prueba de trabajo a mitad del ataque aumenta el coste para los bots que siguen enviando intentos y puede ralentizar o detener la campaña en cuestión de minutos.

  • Aplique el bloqueo geográfico temporal o el bloqueo de proxy en el punto final de inicio de sesión.

    El tráfico de relleno de credenciales a menudo se dirige a través de rangos de proveedores de alojamiento y proxies abiertos. Cloudflare y servicios similares publican listas de IP para estos. Bloquearlas es imperfecto, pero permite ganar tiempo.

  • Forzar MFA o reautenticación en cuentas que muestren actividad anómala.

    Cualquier cuenta que reciba un inicio de sesión exitoso desde una ubicación o dispositivo inusual debe ser desafiada antes de que la sesión continúe.

  • Restablezca las contraseñas de las cuentas que muestren inicios de sesión sospechosos.

    Notifique a los usuarios afectados con instrucciones claras. Sea específico: explique que sus credenciales pueden haber sido expuestas en una violación anterior en otro lugar, y que no deben utilizar la misma contraseña en otros servicios.

  • Compruebe si hay actividad descendente en las cuentas comprometidas.

    Los cambios en los detalles de la cuenta, las adiciones de métodos de pago, los canjes de valores almacenados y las exportaciones de datos son las acciones que realiza un atacante después de entrar. Revíselas en la ventana que rodea al ataque.

  • Conserve sus registros durante toda la ventana de ataque.

    En virtud del GDPR y la NIS2, puede tener obligaciones de notificación si se ha accedido a datos personales. Los registros sin procesar son la base de cualquier respuesta a incidentes o presentación de informes normativos.

Añada CAPTCHA.eu a su flujo de inicio de sesión en cuestión de minutos

WordPress, TYPO3, Keycloak, Magento y pilas personalizadas. Hospedado en Austria, sin cookiel, sin rompecabezas para usuarios reales. 100 solicitudes gratuitas para empezar.

Iniciar prueba gratuita
Ver todas las integraciones

La dimensión de la UE: por qué el relleno de credenciales es un problema del GDPR

Para los operadores de sitios web europeos, un ataque exitoso de relleno de credenciales no es solo un incidente de seguridad. Con arreglo al RGPD, el acceso no autorizado a los datos personales de las cuentas de usuario constituye una violación de los datos personales y da lugar a una obligación de notificación de 72 horas a su autoridad supervisora, así como a una posible notificación a los usuarios afectados. El caso de 23andMe dio lugar a investigaciones reglamentarias por parte de la Oficina del Comisario de Información del Reino Unido y la Oficina del Comisario de Privacidad de Canadá, en parte porque el fallo de detección impidió la notificación oportuna de la violación.

Esto tiene una implicación directa en la forma de pensar sobre las defensas contra el relleno de credenciales. Implementar CAPTCHA y MFA no es solo una decisión de seguridad. También forma parte de la obligación que le impone el artículo 32 del GDPR de aplicar “medidas técnicas apropiadas” para proteger los datos personales. Si no lo hace, y posteriormente sufre una infracción, se encontrará en una posición difícil durante la revisión reglamentaria.

La elección del CAPTCHA también tiene implicaciones de cumplimiento. Los servicios CAPTCHA tradicionales suelen instalar cookies de seguimiento en las páginas de inicio de sesión, lo que activa los requisitos de consentimiento de ePrivacy y añade complejidad a su configuración de gestión del consentimiento. CAPTCHA.eu funciona sin cookies por arquitectura, lo que elimina por completo esa cuestión de conformidad para los operadores que desean protección contra bots sin sobrecarga de consentimiento en los flujos de autenticación.

Preguntas frecuentes

¿Qué es el "credential stuffing" en términos sencillos?

El robo de credenciales se produce cuando los atacantes toman nombres de usuario y contraseñas robados de un sitio web y los prueban automáticamente en otros sitios web. Funciona porque mucha gente reutiliza la misma contraseña en varios servicios. El atacante no adivina. Utilizan credenciales reales que ya funcionaban en otro sitio.

¿En qué se diferencia el relleno de credenciales de un ataque de fuerza bruta?

Los ataques de fuerza bruta adivinan las contraseñas por ensayo y error, probando combinaciones hasta que una funciona. Los ataques de relleno de credenciales utilizan contraseñas conocidas que ya han funcionado en violaciones anteriores. La fuerza bruta es fácil de detectar porque genera muchos intentos fallidos de inicio de sesión. El relleno de credenciales es mucho más difícil de detectar porque las credenciales son correctas y el tráfico parece el de usuarios legítimos que inician sesión.

¿Impide CAPTCHA la suplantación de credenciales?

Sí, pero el tipo importa. Los CAPTCHA tradicionales basados en imágenes se ven cada vez más superados por las herramientas de resolución basadas en IA. Los CAPTCHA de prueba de trabajo son más eficaces porque requieren un cálculo criptográfico para cada intento de inicio de sesión, lo que aumenta el coste de ejecutar una campaña de relleno a gran escala, independientemente de la capacidad de reconocimiento de imágenes del atacante. CAPTCHA funciona mejor como una capa entre varias, combinada con MFA y detección de anomalías.

¿Cuál es la defensa más eficaz contra el "credential stuffing"?

La AMF es el control más potente, ya que detiene la adquisición de cuentas incluso cuando el atacante tiene la contraseña correcta. Más allá de la AMF, la combinación más impactante es: CAPTCHA de prueba de trabajo en los puntos finales de inicio de sesión, detección de contraseñas violadas en el registro y el cambio de contraseña, y supervisión de anomalías para detectar patrones de inicio de sesión inusuales. Ninguna capa es suficiente por sí sola.

¿Cómo puedo saber si mi sitio web está sufriendo un ataque de relleno de credenciales?

A diferencia de la fuerza bruta, el relleno de credenciales no genera picos evidentes de inicios de sesión fallidos en cuentas individuales. Las señales más claras son: un aumento general en el volumen de inicios de sesión sin un aumento correspondiente en la actividad de la página, inicios de sesión exitosos desde ubicaciones o dispositivos inusuales para cuentas establecidas, cambios en los detalles de la cuenta poco después del inicio de sesión y elevadas tasas de solicitudes de restablecimiento de contraseña. Los paneles de control CAPTCHA modernos proporcionan datos de volumen de verificación que pueden sacar a la luz patrones de tráfico inusuales en una fase temprana.

¿Es el relleno de credenciales un problema de GDPR para los sitios web europeos?

Sí, si un ataque de suplantación de credenciales da lugar a un acceso no autorizado a los datos de una cuenta de usuario, se trata de una violación de datos personales con arreglo al RGPD. Se desencadena una obligación de notificación de 72 horas a su autoridad de supervisión y potencialmente a los usuarios afectados. El despliegue de controles técnicos adecuados, incluidos CAPTCHA y MFA, forma parte de la obligación del artículo 32 del GDPR de proteger los datos personales con medidas técnicas adecuadas.

¿Una política de contraseñas segura evita el robo de credenciales?

No. La política de contraseñas protege contra la fuerza bruta dificultando la adivinación. Contra el relleno de credenciales, no proporciona casi ninguna protección. El atacante ya tiene una contraseña que funciona. Lo que sí ayuda es la detección de contraseñas violadas (que impide a los usuarios establecer contraseñas que ya han sido expuestas en violaciones anteriores) y la AMF (que hace que una contraseña correcta sea insuficiente por sí sola).

¿Qué flujos debo priorizar para la protección contra el relleno de credenciales?

Los formularios de inicio de sesión son el objetivo principal. Pero proteja también: los flujos de restablecimiento de contraseñas (donde las respuestas diferentes para correos electrónicos válidos y no válidos permiten a los atacantes validar los nombres de usuario), los formularios de registro (donde se aplica la misma lógica) y los puntos finales de autenticación de API (que a menudo carecen de las protecciones aplicadas a los formularios de inicio de sesión web). Priorice en ese orden.

Lecturas relacionadas

Fuentes primarias

Hoja de trucos de OWASP para la prevención del relleno de credencialesRecomendaciones de defensa por capas y orientaciones de detección
Fiscal General del Estado de Nueva York: Guía empresarial para ataques de relleno de credencialesConclusiones de las investigaciones reglamentarias y recomendaciones de control
Blog de seguridad de Microsoft: MFA bloquea más del 99,9% de los ataques de compromiso de cuenta
Me han engañado: API de contraseñas pirateadasHerramienta gratuita recomendada para la detección de contraseñas infalsificadas en el momento del registro y del cambio de contraseña.
Informe de IBM sobre el coste de la filtración de datos en 2025: $4,44 millones de coste medio global de la filtración, 241 días de tiempo medio para identificar y contener la filtración.
Informe de Verizon sobre investigaciones de violaciones de datos 2025credenciales robadas implicadas en aproximadamente un tercio de todos los incidentes de violación; 88% de las violaciones dentro de los patrones de piratería informática implicaron el uso de credenciales robadas.
23andMe Form 8-K/A SEC filing, diciembre de 2023Fuente principal: 14.000 cuentas comprometidas mediante la suplantación de credenciales y 6,9 millones de usuarios afectados por la función DNA Relatives.

Entradas recientes

es_ESSpanish
en_USEnglish de_DEGerman fr_FRFrench nl_NLDutch it_ITItalian es_ESSpanish