Saltar al contenido principal
Volver a la biblioteca
Riesgo altoAcceso· Nivel basico

Reutilización de contraseñas y credential stuffing

Los atacantes prueban credenciales filtradas de otros servicios contra tus accesos corporativos. Have I Been Pwned indexa más de 13.000 millones de credenciales comprometidas en 2025.

Qué es

Qué es

Un atacante toma listas masivas de pares email:contraseña filtradas en brechas anteriores (LinkedIn, Adobe, Dropbox, miles de foros) y las prueba automatizadamente contra otros servicios — incluyendo el correo corporativo, las VPN o los paneles SaaS.

Es barato (las listas se venden o están en abierto) y funciona por una razón simple: el 60-70 % de las personas reutiliza contraseñas.

Por qué importa

Una brecha de un servicio personal (un foro de hobbies de hace 5 años) puede regalar acceso a tu cuenta corporativa si usaste la misma contraseña. Verizon DBIR 2024 sitúa las credenciales robadas o reutilizadas como causa del acceso inicial en más del 30 % de las brechas analizadas.

Señales de que pueda estar pasando

  • Picos de intentos fallidos de login en logs (visibles desde el panel de M365/Google/IdP).
  • Alertas de MFA que no has solicitado ("¿Has intentado iniciar sesión?"). Una alerta no solicitada significa que alguien ya tiene tu contraseña.
  • Notificación de Have I Been Pwned de que tu correo aparece en una nueva filtración.
  • Reglas de reenvío automático en tu correo que tú no creaste.
Prevención

Lo único que de verdad funciona

  1. MFA en todas las cuentas críticas, preferiblemente con app authenticator o llave física (FIDO2). SMS es mejor que nada pero es vulnerable a SIM swapping.
  2. Gestor de contraseñas corporativo (Bitwarden, 1Password, Dashlane). Una contraseña distinta y aleatoria por servicio. La memoria humana no escala a 100 cuentas.
  3. Suscripción a Have I Been Pwned con dominio corporativo: alertas automáticas cuando un email del dominio aparece en una brecha.
  4. Bloqueo de contraseñas conocidas: el IdP debe rechazar contraseñas que aparezcan en listas filtradas (Azure AD, Okta, Google permiten configurarlo).
  5. Sin caducidad forzada si tienes MFA y bloqueo de débiles: NIST SP 800-63B (revisado 2024) desaconseja rotación periódica, fomenta contraseñas reutilizadas con números al final.

En cuentas personales

  • MFA en cuenta principal de Google/Apple/Microsoft, banca, redes sociales con tu nombre.
  • Gestor de contraseñas también para personal — no mezclar con corporativo.
Si ocurre

Si recibes una notificación de filtración o un MFA no solicitado

  1. Cambia la contraseña del servicio afectado y de cualquier otro donde uses la misma.
  2. Revisa los inicios de sesión recientes del servicio (M365 → Mi cuenta → Actividad reciente).
  3. Revoca tokens y sesiones activas que no reconozcas.
  4. Avisa a seguridad si es una cuenta corporativa. El equipo puede forzar logout global y revisar movimientos.
  5. Comprueba reglas de reenvío del correo y bandeja de elementos enviados (buscando correos que no enviaste tú).