How do hackers get lists of username and password combinations to use in credential stuffing attacks?

Hackers obtain credential lists primarily from publicly disclosed data breaches—when companies experience security incidents, the stolen data is often shared on dark web forums or sold to other criminals. These breach databases are compiled and organized by username and password, making them valuable commodities in the cybercriminal underground. Additionally, credentials may come from malware-infected devices that logged keystrokes, purchased from other hackers, or scraped from public sources like LinkedIn profiles combined with passwords from previous breaches.

If I use a strong password, am I protected from credential stuffing attacks?

A strong password protects you only if it's unique and not already in a breach database. Credential stuffing attacks don't involve guessing—they use stolen credentials, so password strength is irrelevant if that exact username-password combination was leaked elsewhere. However, if attackers only have your username (without your password), a strong unique password becomes your actual defense. This is why both password uniqueness and strength matter: uniqueness protects against credential stuffing, and strength protects if attackers try brute-force attacks.

How quickly can a credential stuffing attack compromise my account?

Modern credential stuffing attacks can test thousands of stolen credentials per minute using automated tools and distributed servers. If your credentials are in the attacker's database, your account could be compromised within minutes to hours of the attack beginning. Attackers typically scan and organize successful logins in real-time, allowing them to identify valuable accounts immediately. This rapid timeline means you may not discover the compromise until days or weeks later when you notice suspicious account activity or receive fraud alerts.

If my password wasn't in a breach, can I still be affected by credential stuffing?

If your specific password wasn't in a breach, you're protected from credential stuffing—but most people aren't in that position. The reality is that billions of credentials from hundreds of major breaches are actively being used in credential stuffing campaigns right now. Even if you've created a strong unique password, you could still be vulnerable if any of your other accounts were breached, because attackers often test variations and mutations of known passwords. You should assume that some of your credentials are in use somewhere unless you actively monitor breach databases.

What should I do immediately if I discover my account was compromised through credential stuffing?

First, change the password for the compromised account to something completely new and unique, then enable multi-factor authentication if it's not already active. Second, check your account activity history and revoke access to any connected apps, devices, or sessions you don't recognize. Third, change the passwords for any other accounts using the same or similar credentials. Finally, monitor the compromised account and associated email for suspicious activity for the next 30-90 days, watch your credit reports for fraudulent accounts, and contact your bank and credit card companies to flag potential fraud.

High Risk Average Loss: $5,000 Typical Duration: 1-30 days

Ataques de Credential Stuffing: Cómo los Hackers Explotan Tus Contraseñas

El credential stuffing es un ataque automatizado en el que los hackers utilizan combinaciones de nombre de usuario y contraseña robadas para obtener acceso no autorizado a tus cuentas en múltiples sitios web y servicios. El ataque funciona porque muchas personas reutilizan la misma contraseña en diferentes plataformas—cuando una empresa sufre una violación de datos, los criminales recopilan las credenciales filtradas y utilizan software especializado para probar rápidamente esas mismas combinaciones de inicio de sesión en cientos de otros sitios. Según el Informe de Investigación de Violaciones de Datos 2024 de Verizon, el compromiso de credenciales está involucrado en más del 40% de las violaciones de datos, lo que lo convierte en uno de los vectores de ataque más comunes. Un único ataque de credential stuffing puede probar millones de combinaciones de inicio de sesión en cuestión de horas, con tasas de éxito entre el 0,1% y el 2% dependiendo de la calidad de la lista de contraseñas del atacante. Esto significa que en una lista de un millón de credenciales robadas, los atacantes podrían acceder exitosamente a entre 1.000 y 20.000 cuentas—y esas cuentas típicamente contienen información financiera, datos personales o acceso a sistemas más sensibles. El peligro del credential stuffing va más allá del compromiso inicial de la cuenta. Una vez que los atacantes obtienen acceso a tu cuenta de correo electrónico, pueden solicitar restablecimientos de contraseña en tus cuentas bancarias, redes sociales y criptomonedas. Si acceden a tu correo de trabajo a través de credenciales de LinkedIn, obtienen un punto de entrada para espionaje corporativo o despliegue de ransomware. El Centro de Denuncias de Delitos en Internet del FBI en 2023 recibió más de 14.000 reportes relacionados con compromiso de credenciales, resultando en pérdidas superiores a 137 millones de dólares. El ataque es particularmente insidioso porque las víctimas a menudo no se dan cuenta de que han sido comprometidas hasta que ven cargos fraudulentos en sus cuentas o notan cambios no autorizados en su información de perfil. Las violaciones a gran escala como las que afectaron a LinkedIn (700 millones de cuentas), Yahoo (3 mil millones de cuentas) y numerosas cadenas minoristas han creado enormes bases de datos de credenciales que los criminales explotan activamente.

Common Tactics How to Identify How to Protect Yourself Real-World Examples Frequently Asked Questions

Common Tactics

• Obtener listas de credenciales robadas de mercados de la dark web o de violaciones de datos anteriores, luego usar herramientas automatizadas como Sentry MBA u OpenBullet para probar rápidamente estas credenciales contra portales de inicio de sesión de bancos, proveedores de correo electrónico, plataformas de redes sociales y sitios de comercio electrónico.
• Utilizar servidores proxy rotativos y direcciones IP residenciales para distribuir solicitudes en múltiples rangos de IP, eludiendo medidas de seguridad de limitación de velocidad estándar que normalmente marcarían intentos de inicio de sesión rápidos desde una única fuente.
• Probar credenciales primero en sitios menos protegidos como cuentas de foro o minoristas antes de intentar objetivos de alto valor como cuentas de correo electrónico y bancarias, permitiéndoles verificar qué credenciales aún funcionan antes de dirigirse a cuentas financieramente valiosas.
• Implementar variaciones leves o mutaciones de contraseñas robadas durante el ataque, como agregar sufijos comunes como '123' o '!' para tener en cuenta a los usuarios que cambiaron ligeramente sus contraseñas después de una violación.
• Monitorear el acceso exitoso a cuentas para identificar qué credenciales proporcionan la información más valiosa, luego vender estas credenciales activas verificadas en la dark web o usarlas para ataques secundarios como apropiación de cuenta o robo de identidad.
• Programar ataques durante horas de menor actividad o distribuirlos en períodos extendidos para evitar activar alertas de seguridad que serían generadas por grandes números de intentos de inicio de sesión fallidos simultáneos.

How to Identify

Recibes una notificación de que alguien inició sesión en tu cuenta desde una ubicación o dispositivo desconocido, o ves actividad de inicio de sesión en momentos en que no estabas en línea.
Tu cuenta de correo electrónico contiene notificaciones de restablecimiento de contraseña o intentos de recuperación de cuenta que no iniciaste, indicando que alguien intenta acceder a tu cuenta.
Observas actividad inusual como información de perfil cambiada, compras no autorizadas, configuración de seguridad modificada, o aplicaciones o dispositivos conectados desconocidos en tu cuenta.
Las cuentas financieras muestran transacciones no autorizadas, o tu banco te alerta sobre intentos de inicio de sesión sospechosos aunque uses contraseñas sólidas y únicas.
Recibes alertas de tu proveedor de correo electrónico sobre actividad sospechosa, intentos de inicio de sesión fallidos desde múltiples ubicaciones, o solicitudes para cambiar tu contraseña de fuentes que no reconoces.
Tus cuentas de redes sociales han sido utilizadas para enviar mensajes sin solicitud o solicitudes de amistad a tus contactos, una señal de que alguien más tiene control de tus credenciales de inicio de sesión.

How to Protect Yourself

Crea contraseñas únicas y complejas para cada cuenta en línea usando un administrador de contraseñas como Bitwarden, 1Password o Dashlane—evita reutilizar contraseñas en sitios, ya que esto es lo que permite que los ataques de credential stuffing tengan éxito.
Habilita autenticación multifactor (MFA) en todas las cuentas que la soportan, especialmente en cuentas de correo electrónico, bancarias, de criptomonedas y redes sociales; usa aplicaciones de autenticación como Google Authenticator o Authy en lugar de SMS cuando sea posible, ya que SMS es vulnerable al intercambio de tarjetas SIM.
Monitorea tus cuentas regularmente para detectar actividad sospechosa y configura alertas de cuenta para inicios de sesión desde dispositivos o ubicaciones nuevas; la mayoría de las plataformas principales te permiten revisar sesiones activas y cerrar sesión en dispositivos desconocidos.
Coloca una alerta de fraude o congelación de crédito con Equifax, Experian y TransUnion para evitar que los atacantes abran nuevas cuentas a tu nombre si obtienen tu información personal durante un compromiso.
Verifica si tu dirección de correo electrónico aparece en violaciones de datos conocidas usando haveibeenpwned.com y researchbreaches.com; si se encuentra en violaciones, cambia inmediatamente la contraseña de esa cuenta y cualquier otra que use las mismas credenciales.
Mantén tus dispositivos actualizados con los últimos parches de seguridad y usa software antivirus reputado para evitar que registradores de pulsaciones o malware que robe credenciales capturen tus contraseñas antes de que lleguen al sitio web objetivo.

Real-World Examples

Las credenciales de LinkedIn de una desarrolladora de software fueron expuestas en una violación de 2021 pero no actualizó su contraseña. Meses después, los atacantes utilizaron su nombre de usuario y contraseña filtrados para acceder a su cuenta de LinkedIn, luego utilizaron el proceso de recuperación de cuenta para restablecer su contraseña de Gmail. Una vez dentro de su correo, restablecieron sus contraseñas de AWS, GitHub y banca, ganando acceso a la infraestructura en la nube de su empresa y sus ahorros personales. Descubrió la violación cuando el equipo de seguridad de su empresa detectó patrones de acceso inusuales a AWS, revelando que el ataque ya había causado 8.000 dólares en cargos fraudulentos en la nube y expuso código de proyecto confidencial.

Un gerente minorista reutilizaba la misma contraseña en su cuenta de trabajo, correo electrónico y sistema de banca personal. Cuando el minorista sufrió una violación de datos que expuso 50.000 credenciales de empleados, los atacantes inmediatamente probaron esas credenciales contra sitios bancarios populares. La cuenta bancaria del gerente fue accedida dentro de 12 horas, y los defraudadores transfirieron 4.200 dólares a intercambios de criptomonedas antes de que el sistema de detección de fraude del banco activara una retención de transacciones adicionales. La investigación reveló que los atacantes probaron las credenciales en 47 sitios web diferentes, accediendo exitosamente a su correo electrónico y cuentas de PayPal también.

Una propietaria de negocio de comercio electrónico notó contracargos inusuales en su cuenta de comerciante y descubrió que los atacantes habían obtenido acceso a su correo electrónico a través de credential stuffing. Usando su acceso al correo, iniciaron sesión en el panel de administración de su plataforma de comercio electrónico y modificaron precios de productos, redirigieron pagos de clientes a cuentas controladas por atacantes, y robaron información de pago de clientes. Durante un período de 5 días antes de que notara el fraude, los atacantes procesaron 23.000 dólares en transacciones desviadas y comprometieron datos de pago de más de 300 clientes, resultando en responsabilidad significativa y daño a la reputación.

Frequently Asked Questions

¿Cómo obtienen los hackers listas de combinaciones de nombre de usuario y contraseña para usar en ataques de credential stuffing?

Los hackers obtienen listas de credenciales principalmente de violaciones de datos divulgadas públicamente—cuando las empresas experimentan incidentes de seguridad, los datos robados a menudo se comparten en foros de la dark web o se venden a otros criminales. Estas bases de datos de violaciones se recopilan y organizan por nombre de usuario y contraseña, lo que las hace valiosas en el mercado criminal clandestino. Además, las credenciales pueden provenir de dispositivos infectados con malware que registraron pulsaciones, compradas a otros hackers, o extraídas de fuentes públicas como perfiles de LinkedIn combinadas con contraseñas de violaciones anteriores.

Si uso una contraseña segura, ¿estoy protegido contra ataques de credential stuffing?

Una contraseña segura te protege solo si es única y no está ya en una base de datos de violaciones. Los ataques de credential stuffing no implican adivinanzas—utilizan credenciales robadas, por lo que la fortaleza de la contraseña es irrelevante si esa combinación exacta de nombre de usuario-contraseña fue filtrada en otro lugar. Sin embargo, si los atacantes solo tienen tu nombre de usuario (sin tu contraseña), una contraseña única y segura se convierte en tu defensa real. Esta es la razón por la que importan tanto la unicidad como la fortaleza de la contraseña: la unicidad te protege contra credential stuffing, y la fortaleza te protege si los atacantes intentan ataques de fuerza bruta.

¿Qué tan rápido puede un ataque de credential stuffing comprometer mi cuenta?

Los ataques modernos de credential stuffing pueden probar miles de credenciales robadas por minuto utilizando herramientas automatizadas y servidores distribuidos. Si tus credenciales están en la base de datos del atacante, tu cuenta podría ser comprometida dentro de minutos a horas de que el ataque comience. Los atacantes típicamente escanean y organizan inicios de sesión exitosos en tiempo real, permitiéndoles identificar cuentas valiosas inmediatamente. Esta línea de tiempo rápida significa que podrías no descubrir el compromiso hasta días o semanas después cuando notes actividad sospechosa en la cuenta o recibas alertas de fraude.

Si mi contraseña no estaba en una violación, ¿puedo aún ser afectado por credential stuffing?

Si tu contraseña específica no estaba en una violación, estás protegido contra credential stuffing—pero la mayoría de las personas no están en esa posición. La realidad es que miles de millones de credenciales de cientos de violaciones importantes se están utilizando activamente en campañas de credential stuffing en este momento. Incluso si has creado una contraseña única y segura, podrías ser vulnerable si cualquiera de tus otras cuentas fue violada, porque los atacantes a menudo prueban variaciones y mutaciones de contraseñas conocidas. Deberías asumir que algunas de tus credenciales se están utilizando en algún lugar a menos que monitorees activamente las bases de datos de violaciones.

¿Qué debo hacer inmediatamente si descubro que mi cuenta fue comprometida a través de credential stuffing?

Primero, cambia la contraseña de la cuenta comprometida a algo completamente nuevo y único, luego habilita autenticación multifactor si no está ya activa. Segundo, verifica el historial de actividad de tu cuenta y revoca el acceso a cualquier aplicación conectada, dispositivo o sesión que no reconozcas. Tercero, cambia las contraseñas de cualquier otra cuenta usando las mismas o similares credenciales. Finalmente, monitorea la cuenta comprometida y el correo electrónico asociado para detectar actividad sospechosa durante los próximos 30-90 días, revisa tus reportes de crédito para cuentas fraudulentas, y contacta a tu banco y compañías de tarjetas de crédito para marcar posible fraude.

Empezar Aquí

Verificación de seguridad

Inteligencia

Herramientas e informes

Servicios premium

Extensión y API