32blogby StudioMitsu

Por Qué Reutilizar Contraseñas Es Peligroso: Cómo Funciona el Credential Stuffing

Cómo el credential stuffing explota contraseñas reutilizadas, casos reales con 194K cuentas vulneradas en 1.7M intentos, las nuevas directrices de NIST y la solución del gestor de contraseñas.

8 min read
securitypasswordNordPassauthenticationprivacy

This article contains affiliate links.

Contenido

Si usas la misma contraseña para más de una cuenta, este artículo es para ti.

El 85% de las personas reutilizan contraseñas en múltiples sitios (Bitwarden 2023). El informe de SpyCloud 2024 encontró que entre usuarios que aparecen en dos o más filtraciones, el 74% seguía usando la misma contraseña. Have I Been Pwned ahora contiene más de 17,500 millones de cuentas comprometidas.

La reutilización de contraseñas es peligrosa porque convierte una filtración en una llave maestra. Pero la verdadera amenaza no es solo "si una se filtra, todas caen." Es la infraestructura industrializada de ataques que hace que explotar contraseñas reutilizadas sea trivialmente barato. Este artículo explica cómo funciona el credential stuffing, casos reales de daños, por qué el consejo común de "cambiar contraseñas regularmente" está equivocado, y qué realmente soluciona el problema.

FiltraciónUn servicio se filtraFiltrarListaPares ID + contraseñaWeaponizarAtaque automatizadoProbar en otros serviciosVulnerarToma de cuentaTasa de éxito 2-4%

La Realidad de la Reutilización de Contraseñas

Podrías pensar que eres la excepción. Los datos dicen lo contrario.

FuenteHallazgo
Bitwarden (2025)72% de la Gen Z reutiliza contraseñas (vs 42% de Boomers)
SpyCloud (2024)74% de usuarios en 2+ filtraciones siguen usando la misma contraseña
Bitwarden (2023)85% reutiliza contraseñas en múltiples sitios
LastPass (2022)62% siempre o casi siempre usa la misma contraseña o variación
ProofpointMás del 80% de las brechas de apps web involucran credenciales robadas

El hallazgo de Bitwarden es particularmente llamativo: los nativos digitales — la generación más cómoda con la tecnología — tienen los peores hábitos de contraseñas. La familiaridad con la tecnología no se traduce en comportamiento seguro.

Have I Been Pwned ha catalogado más de 17,500 millones de cuentas comprometidas de 959 filtraciones. Tu dirección de email podría ya estar ahí. Verifica con "Cómo Verificar Si Tu Contraseña Ha Sido Filtrada."

Cómo Funciona el Credential Stuffing

El ataque que explota la reutilización de contraseñas se llama credential stuffing (relleno de credenciales).

El flujo del ataque

  1. Adquirir datos filtrados — los atacantes compran listas de ID/contraseña de filtraciones pasadas en la dark web. Listas con millones de credenciales se venden por unos pocos dólares
  2. Automatizar el ataque — bots especializados prueban cada combinación de usuario/contraseña contra otros servicios a escala
  3. Acceder a cuentas coincidentes — cualquier cuenta donde el usuario reutilizó la misma contraseña queda comprometida

Por qué "solo 2-4%" sigue siendo devastador

El credential stuffing tiene una tasa de éxito general de 2–4%. Suena bajo.

Pero los ataques reales involucran millones de intentos por campaña. En el incidente de PAL CLOSET (junio 2025, Japón), 1,722,379 intentos resultaron en 194,307 inicios de sesión exitosos — una tasa de éxito del 11%, muy por encima del promedio.

El costo para los atacantes es mínimo: unos pocos dólares por listas filtradas, herramientas de automatización baratas. El costo para las víctimas es enorme. El DBIR 2025 de Verizon encontró que aproximadamente el 88% de las brechas básicas de aplicaciones web involucraron credenciales robadas.

Casos Reales de Daño

Brecha de Clientes de Snowflake (Junio 2024)

La plataforma de datos en la nube Snowflake vio una ola masiva de compromisos de cuentas de clientes.

  • Empresas afectadas: 165+ (incluyendo Ticketmaster, Santander Bank)
  • Método de ataque: credential stuffing con credenciales filtradas
  • Por qué funcionó: las cuentas objetivo no tenían autenticación multifactor (MFA)

Reutilización de contraseñas + sin MFA es la combinación clásica que hace que el credential stuffing sea devastadoramente efectivo.

23andMe (2023, EE.UU.)

El servicio de pruebas de ADN 23andMe fue golpeado por credential stuffing. Los atacantes usaron contraseñas reutilizadas de otros servicios filtrados para acceder a cuentas de usuarios y robar datos genéticos. La empresa finalmente se declaró en bancarrota en 2025.

PAL CLOSET (Junio 2025, Japón)

El sitio de e-commerce del grupo de moda PAL fue objetivo de credential stuffing.

  • Intentos de inicio de sesión: 1,722,379
  • Brechas exitosas: 194,307 cuentas
  • Datos filtrados: nombres, género, fechas de nacimiento, direcciones, teléfonos
  • Respuesta: todas las contraseñas de usuarios invalidadas, restablecimiento forzado

Más de 194,000 usuarios tuvieron su información personal expuesta porque reutilizaron contraseñas que habían sido filtradas en otros sitios.

El panorama general

El informe Cost of a Data Breach 2025 de IBM sitúa el costo promedio global de una brecha de datos en $4.4 millones. Para individuos, el credential stuffing lleva a compras no autorizadas, robo de identidad y bloqueo de cuentas — daños que tardan meses en resolverse.

"Cambiar Regularmente" y "Hacerla Compleja" Están Mal

"Cambia tu contraseña cada 90 días." "Usa mayúsculas, números y símbolos." Estas reglas ya no están recomendadas.

Las Directrices Actualizadas de NIST

NIST SP 800-63B (las últimas directrices de autenticación de identidad digital) derribaron la sabiduría convencional.

Vieja "sabiduría"Nueva directriz de NIST
Cambiar contraseñas cada 90 díasNo forzar cambios periódicos a menos que haya evidencia de compromiso
Requerir mayúsculas, números, símbolosLas reglas de complejidad están prohibidas
8+ caracteres15+ caracteres recomendados para auth de factor único
Memorizar y escribir manualmenteSe recomienda el uso de gestores de contraseñas

Por qué los cambios periódicos son contraproducentes: los cambios forzados llevan a patrones predecibles como Password1Password2Password3. La seguridad realmente disminuye.

Por qué las reglas de complejidad son contraproducentes: "debe incluir mayúscula, número, símbolo" produce contraseñas como P@ssw0rd! — técnicamente cumple pero trivialmente vulnerable. La longitud importa mucho más que la complejidad.

Gestores de Contraseñas: La Solución Real

Establecer 100 contraseñas fuertes diferentes para 100 servicios. La memoria humana no puede manejar eso. Por eso existen los gestores de contraseñas.

Cómo funcionan

  • Almacenan todas las contraseñas en una bóveda cifrada
  • Solo necesitas recordar una contraseña maestra
  • Auto-generan contraseñas fuertes aleatorias por servicio
  • Auto-rellenan desde extensiones de navegador y apps móviles

Qué buscar

  • Arquitectura de conocimiento cero — ni el proveedor puede ver tus contraseñas
  • Autenticación multifactor — contraseña maestra + app de autenticación para doble protección
  • Monitoreo de filtraciones — verificaciones automáticas si las contraseñas almacenadas aparecen en bases de datos filtradas
  • Soporte de passkeys — preparación para autenticación sin contraseña

NordPass ofrece todo esto. Su función Password Health auto-detecta contraseñas reutilizadas y débiles, mientras que Data Breach Scanner verifica si tus direcciones de email han sido comprometidas.

"¿Y si el gestor de contraseñas es hackeado?"

La brecha de LastPass de 2022 es una preocupación válida. Pero con arquitectura de conocimiento cero, incluso si la bóveda es robada, los datos cifrados son inútiles sin la contraseña maestra.

El riesgo de no usar un gestor de contraseñas (misma contraseña en 100 servicios) supera enormemente el riesgo de usar uno.

3 Cosas que Hacer Ahora Mismo

1. Verificar filtraciones existentes

Descubre si tu email o contraseñas ya han sido comprometidos. Usa NordPass Data Breach Scanner o Have I Been Pwned.

Consulta "Cómo Verificar Si Tu Contraseña Ha Sido Filtrada" para pasos detallados.

2. Cambiar contraseñas de cuentas críticas primero

No necesitas cambiar todo de una vez. Prioriza:

  1. Cuentas de email — usadas para restablecer contraseñas de todos los demás servicios
  2. Banca y tarjetas de crédito — exposición financiera directa
  3. Redes sociales — riesgo de robo de identidad. Pasos de recuperación en "¿Tu Cuenta de Redes Sociales Fue Hackeada? Cómo Verificar y Recuperar"

3. Empezar a usar un gestor de contraseñas

Deja que el gestor genere y almacene nuevas contraseñas. Para servicios existentes, agrégalos al gestor a medida que inicies sesión. No necesitas cambiar todo de una vez.

Consulta "¿No Puedes Recordar Contraseñas? Ya No Tienes Que Hacerlo" para una guía de configuración.

NordPass

Gestor de contraseñas de los creadores de NordVPN

  • Gestiona contraseñas, passkeys y tarjetas de crédito en un solo lugar
  • Arquitectura de conocimiento cero
  • Escáner de filtraciones de datos integrado

Conclusión

La reutilización de contraseñas da a los atacantes su vector de ataque más barato posible.

  • 85% de las personas reutilizan contraseñas entre sitios
  • El credential stuffing tiene éxito 2-4% del tiempo. Con 1.7 millones de intentos, son 194,000 cuentas vulneradas
  • "Cambiar regularmente" y "hacerla compleja" están desactualizados — NIST ahora desaconseja ambos
  • Gestor de contraseñas + autenticación multifactor es la solución real
  • Empieza con email → banca → redes sociales

Verifica si tus contraseñas ya están comprometidas: "Cómo Verificar Si Tu Contraseña Ha Sido Filtrada." Para 2FA más fuerte, consulta "¿El SMS 2FA Sigue Siendo Seguro? Cómo Cambiar a Autenticación Segura."