Hay una buena posibilidad de que nunca hayas escuchado el término "relleno de credenciales (credential stuffing)", pero eso no significa que no hayas sido objetivo de este generalizado y efectivo ciberataque. Aquí aprenderemos qué es el relleno de credenciales y cómo puedes protegerte fácilmente contra él.
¿Qué es el relleno de credenciales?
Hay todo tipo de vectores de ciberataques, desde los profundamente simples hasta los profundamente sofisticados. En el lado más simple de las cosas, tienes ataques como exploits de ingeniería social donde los atacantes usan habilidades sociales y la buena voluntad de otras personas para obtener acceso a inicios de sesión, información confidencial, etc. No tienen que conocer tus credenciales para lograr un ataque exitoso de ingeniería social.
En el lado más complejo de las cosas, tenemos ataques que requieren que los atacantes rompan múltiples capas de seguridad, se escapen con los datos y trabajen para desempacar esos datos más adelante.
Desempaquetar esos datos, específicamente cuando los datos son una recopilación de nombres de usuario o direcciones de correo electrónico y las contraseñas asociadas, es el primer paso para lanzar un ataque de relleno de credenciales. Así es como funciona y cómo puede afectarte personalmente.
Digamos que, como millones de otros usuarios de Internet, tienes docenas de cuentas en varios servicios. También tienes varios inicios de sesión de alto valor y riesgo, como los inicios de sesión para tu correo electrónico, banco, etc. Y tienes muchos inicios de sesión de bajo valor y bajo riesgo como, por ejemplo, el inicio de sesión para un foro de muscle car que has estado usando durante años, una cuenta que hiciste para algún sitio de cupones, y así sucesivamente.
Con suerte, tu banco y tu proveedor de correo electrónico tienen una excelente seguridad. Los objetivos de alto valor generalmente se endurecen adecuadamente y las posibilidades de que alguien ataque con éxito a Bank of America o Gmail y obtenga acceso a todos los nombres de usuario y contraseñas son bastante bajas. Pero no se puede decir lo mismo de ese foro de autos o ese sitio de cupones. ¿Qué sucede cuando alguien explota esos sitios y roba todos los datos del usuario? Ahora tienen tu nombre de usuario, muy probablemente tu correo electrónico y tu contraseña.
Los atacantes alimentarán esos datos en sistemas automatizados que visitan miles de objetivos de alto valor/alto perfil e intentan iniciar sesión utilizando las credenciales robadas, "rellenándolas" para ver dónde encajan.
Si reutilizas los mismos nombres de usuario, correo electrónico y contraseñas donde quiera que vayas en línea, estás en problemas. Una fuga en el servicio de menor riesgo que utilizas ahora se convierte en una puerta trasera en todos los servicios de alto valor que utilizas, como tu bandeja de entrada de correo electrónico y tu banco.
No hay un análogo directo en el mundo físico, pero si lo hubiera, parecería usar una clave para todo. Si perdiste tu llave o alguien hizo una copia de ella, tendrían una llave que funcionaba para tu hogar, automóvil, oficina, unidad de almacenamiento, caja de seguridad, casillero de gimnasio, etc, y todo lo demás. Incluso podría abrir la puerta de la casa de tus padres también. Claramente, eso no es ideal, y hay una razón por la que no usamos llaves físicas de esa manera.
¿Cómo puedo protegerme contra el relleno de credenciales?
El relleno de credenciales puede ser increíblemente común e increíblemente fácil de ejecutar en comparación con los ataques cibernéticos más complejos, pero también es, afortunadamente, increíblemente fácil de proteger. Veamos cómo puedes evitar ser víctima de ataques de relleno de credenciales, comenzando con los cambios más simples y fáciles y pasando a consejos que requieren un poco más de inversión y planificación.
Crear contraseñas complejas y únicas
Si hay algo que escucharás una y otra vez al aprender sobre buenas prácticas de contraseñas, es que debería usar contraseñas complejas y únicas por cada servicio que uses, y por una buena razón. Lo más eficaz que puedes hacer para superar el problema de "una llave abre todas las puertas" es, naturalmente, tener un llavero muy grande con una llave dedicada para cada puerta virtual de tu vida.
Si has estado usando la misma contraseña o un puñado de contraseñas desde que abriste tu primera cuenta de correo electrónico hace décadas, no hay tiempo como el presente para adoptar este nuevo hábito crucial de contraseñas. Cada sitio y servicio debe tener una contraseña única, sin excepciones.
Automatizar tus contraseñas con un administrador de contraseñas
Si estás usando las mismas contraseñas repetidamente, es probable que no estés usando un administrador de contraseñas. Esto significa que es posible que te hayas asustado un poco cuando leíste mi sugerencia anterior de usar una contraseña única para cada servicio. Mantener una contraseña compleja y única para docenas, y mucho menos cientos, de servicios es una tarea absurdamente difícil sin herramientas para ayudarte.
Ingresa al administrador de contraseñas. Crea una contraseña compleja pero memorable para desbloquear el administrador de contraseñas y luego deja que el administrador de contraseñas maneje el resto.
Un buen administrador de contraseñas te ayudará a generar contraseñas únicas y complejas, rastrearlas, completarlas automáticamente en los sitios cuando las visites e incluso ayudarte a actualizarlas de manera rutinaria. Si no estás utilizando un administrador de contraseñas, te estás perdiendo un sorprendente impulso de calidad de vida y una de las mejores cosas que puedes hacer para apuntalar la seguridad de sus cuentas.
Si nunca antes has usado un administrador de contraseñas, puedes consultar este artículo para comenzar con administradores de contraseñas.
Habilitar la autenticación multifactor en todas partes
Mucha gente es resistente a la autenticación multifactor porque lo ven como una molestia. Pero es una forma fantástica de agregar una capa adicional de seguridad a tus cuentas. Incluso si tienes el hábito no tan grande de reutilizar contraseñas, si todas tus cuentas críticas de alto valor tienen habilitado la autenticacion multifactor, estás protegido contra el relleno de credenciales.
El atacante podría haber obtenido tu nombre de usuario y contraseña de un sitio vulnerable, pero no tendrá acceso a tu aplicación de autenticación, teléfono u otras herramientas multifactoriales.
Eliminar cuentas antiguas para reducir el riesgo
Si no estás utilizando una cuenta, elimínala. Debido a que las cuentas en línea no tienen carácter físico (no abarrotan tu oficina ni se desbordan del cajón de basura de tu cocina), es fácil ignorar las antiguas. Pero si no estás usando una cuenta, no hay ninguna razón real para conservarla.
Cuando puedas, elimina las cuentas no utilizadas de los servicios que ya no te interesan. Y cuando no puedas, asegúrate de iniciar sesión y cambiar tu contraseña (usando el generador de contraseñas en tu práctico administrador de contraseñas, por supuesto). De esa manera, cuando el servicio no utilizado se ve comprometido, lo único que se filtra es una contraseña única y compleja que no funciona en ningún otro lugar.
Utilizar un servicio de alias de correo electrónico
No todos querrán lidiar con los pasos adicionales involucrados, pero somos firmes defensores del uso de un servicio de alias de correo electrónico para protegerse en línea. El resumen es este. En lugar de colocar tu dirección de correo electrónico principal en cada servicio que lo requiera (ya sabes, esa codiciada dirección nombre.apellido@gmail.com que obtuviste hace años), un servicio de alias le permite crear una cantidad ilimitada de direcciones de correo electrónico para alimentar servicios grandes y pequeños.
¿Necesitas registrarte en otro servicio más para la escuela de tu hijo, alguna aplicación o cualquier otro servicio que requiera una dirección de correo electrónico? Mantén privada tu dirección de correo electrónico principal y envíales un correo electrónico único.
Luego puedes tirarlo a la basura en el momento en que comiencen a enviarte spam o cuando desactives el servicio. Un servicio de alias de correo electrónico no solo es excelente para tu privacidad y para mantener tu bandeja de entrada ordenada, sino que, si el servicio al que te registraste está comprometido, no hay problema. Los hackers no obtienen nombre.apellido@gmail.com. En su lugar, obtienen somerandomstring@some-alias-provider.com, que no les proporciona ningún valor de relleno de credenciales.
Independientemente de cómo abordes el
problema, no pierdas de vista el primer y más importante consejo que compartí.
Una contraseña compleja y única para cada servicio es la forma más sencilla y
eficaz de protegerse contra el relleno de credenciales. Cuanto antes empieces a
utilizarlos, mejor.