Relleno de credenciales.

El credential stuffing aprovecha enormes combolists de credenciales robadas en brechas previas. El término fue acuñado en 2011 por Sumit Agarwal, y OWASP lo cataloga como la amenaza automatizada OAT-008. Los atacantes introducen las combolists en frameworks de automatización (Sentry MBA, OpenBullet, Snipr, scripts propios) que rotan proxies residenciales, resuelven CAPTCHAs y modulan el ritmo de las peticiones para eludir los límites de tasa. Como muchos usuarios reutilizan contraseñas entre sitios, incluso una tasa de éxito baja (a menudo 0,1–2 %) produce grandes volúmenes de tomas de cuenta, que luego se monetizan mediante fraude, blanqueo de tarjetas regalo o reventa de credenciales.

La técnica se distingue claramente de la fuerza bruta: no adivina contraseñas, sino que reproduce contraseñas que ya se sabe que son válidas en algún sitio. La brecha de 23andMe de 2023 es un caso de manual — los atacantes usaron credenciales reutilizadas para iniciar sesión en aproximadamente 14 000 cuentas y luego, a través de la función "DNA Relatives", recopilaron datos de casi 7 millones de personas, ninguna de cuyas cuentas fue comprometida directamente. Campañas similares han golpeado plataformas de streaming, comercio y finanzas durante años.

Las defensas incluyen MFA (idealmente FIDO2/passkeys resistente a phishing), filtrado de contraseñas comprometidas frente a corpus como Have I Been Pwned, huella de dispositivo, gestión de bots, detección de anomalías de viaje imposible y de velocidad, y limitación progresiva o retos de verificación reforzada en inicios de sesión sospechosos.

flowchart LR
  A[Combolists de brechas<br/>pares usuario:contraseña] --> B[Herramienta de automatización<br/>OpenBullet / Sentry MBA]
  B --> C[Rotar proxies residenciales<br/>+ resolver CAPTCHAs]
  C --> D[Reproducir inicios de sesión en<br/>muchos sitios objetivo]
  D --> E{¿Contraseña reutilizada?}
  E -->|No| F[El inicio de sesión falla]
  E -->|Sí| G[Toma de cuenta]
  G --> H[Fraude / reventa / robo de datos]