Credential stuffing: por qué repetir contraseñas es una de las peores decisiones online

La más reciente alerta de expertos en ciberseguridad apunta a un viejo hábito que todavía hoy cometen millones de usuarios: reutilizar la misma contraseña en diferentes cuentas. Este comportamiento abre la puerta a uno de los ataques más comunes y peligrosos de la actualidad, conocido como credential stuffing, una técnica que no requiere vulnerar sistemas complejos y que se aprovecha simplemente de la falta de buenos hábitos digitales.

¿Qué es realmente el credential stuffing?

El credential stuffing (también llamado relleno de credenciales) consiste en que los ciberdelincuentes utilizan usuarios y contraseñas robadas en filtraciones para probarlas en otras plataformas. Si la persona tiene la mala costumbre de repetir contraseñas, el atacante obtiene acceso sin necesidad de romper ningún sistema.

La clave de este ataque es la automatización: con bots o scripts, los atacantes pueden probar miles de inicios de sesión por minuto en servicios como Netflix, Gmail, redes sociales o bancos. Y lo más peligroso: el acceso obtenido luce idéntico al de un usuario legítimo, lo que dificulta su detección.

Ejemplos sobran. En PayPal (2022), más de 35.000 cuentas fueron comprometidas en solo dos días. En el caso de Snowflake, 165 organizaciones resultaron afectadas porque los atacantes usaron contraseñas antiguas y aprovecharon la ausencia de autenticación multifactor.

¿Por qué repetir contraseñas es tan peligroso?

Reutilizar claves es como usar una sola llave para abrir tu casa, tu auto, tu oficina y hasta la caja fuerte. Si alguien la consigue, todo queda comprometido.

El problema es que las filtraciones de datos son cada vez más frecuentes y masivas. En 2025, por ejemplo, se expusieron 16 mil millones de registros con credenciales de usuarios en repositorios mal configurados. Apenas un mes antes, se habían encontrado 184 millones de cuentas filtradas de servicios como Google, Apple, Facebook, bancos y hasta portales gubernamentales.

Cada una de estas filtraciones es un nuevo terreno fértil para los atacantes. Quien repite contraseñas multiplica sus riesgos: basta con que un servicio se vea comprometido para que todas sus demás cuentas queden vulnerables. Lo más grave es que muchas víctimas ni siquiera saben que sus credenciales han sido robadas hasta que alguien accede a su información sin autorización.

¿Cuál es la mejor forma de protegerse?

La primera regla de oro es simple: no repetir contraseñas. Cada servicio debe tener una clave única, larga y compleja. Como esto es casi imposible de recordar de manera manual, lo mejor es confiar en un gestor de contraseñas, que permite almacenar credenciales de forma cifrada y generar automáticamente claves seguras.

El segundo paso es activar el doble factor de autenticación (2FA). Con este sistema, aunque un ciberdelincuente consiga tu contraseña, necesitará un segundo código para entrar. Ese segundo paso es muchas veces la diferencia entre un intento de ataque fallido y una cuenta robada.

Además, es recomendable verificar de manera periódica si tus contraseñas han sido filtradas en alguna brecha de datos y cambiarlas de inmediato si aparecen comprometidas. Existen sitios especializados que te permiten comprobarlo con facilidad.

El credential stuffing no es un ataque sofisticado, pero sí altamente efectivo, porque se apoya en el error humano. La defensa es clara: usar contraseñas únicas, activar siempre un segundo factor de autenticación y mantener la disciplina digital. Al final, proteger tu identidad online es más una cuestión de hábitos que de conocimientos técnicos avanzados.

Sigue leyendo:
• Cómo revisar las contraseñas guardadas en Google Chrome
• 3 gestores de contraseñas online que deberías probar: nunca más te olvides una
• La herramienta gratuita de Google Chrome puede ayudarte a proteger tus cuentas en línea