Reutilización de contraseñas
¿Qué es Reutilización de contraseñas?
Reutilización de contraseñasPráctica de usar la misma contraseña en varias cuentas o servicios, que permite que una sola brecha comprometa muchos de ellos.
La reutilización de contraseñas ocurre cuando un usuario elige la misma contraseña, o variantes triviales, para correo personal, trabajo, banca y decenas de servicios. Si cualquiera de ellos sufre una brecha y la contraseña se descifra o filtra, los atacantes pueden reproducirla en otros sitios mediante credential stuffing y tomar cuentas adicionales. Tanto los estudios como los informes de incidentes muestran que la reutilización es el principal amplificador de las brechas basadas en contraseñas. Las defensas incluyen contraseñas únicas por sitio generadas por un gestor, comprobaciones obligatorias contra listas de contraseñas filtradas, autenticación multifactor y la migración a opciones sin contraseña como passkeys, que eliminan los secretos compartidos.
● Ejemplos
- 01
Contraseña filtrada de un foro usada después para entrar al correo y al almacenamiento en la nube del mismo usuario.
- 02
Un empleado que reutiliza su contraseña personal en su cuenta corporativa de SSO.
● Preguntas frecuentes
¿Qué es Reutilización de contraseñas?
Práctica de usar la misma contraseña en varias cuentas o servicios, que permite que una sola brecha comprometa muchos de ellos. Pertenece a la categoría de Identidad y acceso en ciberseguridad.
¿Qué significa Reutilización de contraseñas?
Práctica de usar la misma contraseña en varias cuentas o servicios, que permite que una sola brecha comprometa muchos de ellos.
¿Cómo funciona Reutilización de contraseñas?
La reutilización de contraseñas ocurre cuando un usuario elige la misma contraseña, o variantes triviales, para correo personal, trabajo, banca y decenas de servicios. Si cualquiera de ellos sufre una brecha y la contraseña se descifra o filtra, los atacantes pueden reproducirla en otros sitios mediante credential stuffing y tomar cuentas adicionales. Tanto los estudios como los informes de incidentes muestran que la reutilización es el principal amplificador de las brechas basadas en contraseñas. Las defensas incluyen contraseñas únicas por sitio generadas por un gestor, comprobaciones obligatorias contra listas de contraseñas filtradas, autenticación multifactor y la migración a opciones sin contraseña como passkeys, que eliminan los secretos compartidos.
¿Cómo defenderse de Reutilización de contraseñas?
Las defensas contra Reutilización de contraseñas combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Reutilización de contraseñas?
Nombres alternativos comunes: Contraseña reutilizada, Contraseña compartida entre cuentas.
● Términos relacionados
- attacks№ 232
Relleno de credenciales
Ataque automatizado que reutiliza grandes listas de usuario/contraseña filtradas en un servicio contra otros, explotando la reutilización de contraseñas para tomar cuentas.
- identity-access№ 230
Recolección de credenciales
Captura a gran escala de usuarios, contraseñas, tokens y otros secretos de autenticación, generalmente para tomar cuentas o venderlos después.
- attacks№ 800
Pulverización de contraseñas
Ataque "low and slow" que prueba unas pocas contraseñas comunes contra muchas cuentas, manteniéndose por debajo de bloqueos y límites de tasa.
- identity-access№ 793
Passkey
Credencial FIDO2/WebAuthn resistente al phishing: un par de claves asimétricas ligado al dispositivo o sincronizable que sustituye la contraseña por un desafío-respuesta criptográfico.
- identity-access№ 797
Gestor de contraseñas
Aplicación que genera, almacena y autocompleta credenciales únicas y fuertes, protegida por una frase maestra y, cada vez más, por passkeys.