Cloudflare ha publicado un informe alarmante que revela una de las prácticas más peligrosas y extendidas en el ámbito digital: la reutilización de contraseñas. Según los datos recogidos entre septiembre y noviembre de 2024, el 41 % de los inicios de sesión exitosos en sitios web protegidos por Cloudflare se realizan utilizando contraseñas previamente filtradas en brechas de seguridad.
Este fenómeno afecta tanto a usuarios individuales como a empresas, y multiplica el riesgo de ataques de toma de cuentas (account takeover), poniendo en evidencia la fragilidad de las credenciales cuando no se gestionan adecuadamente.
Bots y credenciales filtradas: una combinación letal
El análisis de Cloudflare refleja que el 95 % de los intentos de inicio de sesión con contraseñas filtradas provienen de bots. Estos sistemas automatizados realizan ataques de credential stuffing, es decir, prueban combinaciones de usuarios y contraseñas robadas a gran escala para acceder a cuentas sin autorización.
Los gestores de contenido como WordPress, Joomla o Drupal se encuentran entre los blancos preferidos, debido a su popularidad y la facilidad con la que se pueden identificar sus formularios de acceso. El informe muestra que, en el caso de WordPress, el 76 % de los intentos de acceso con contraseñas comprometidas terminan en un inicio de sesión exitoso, y casi la mitad son ejecutados por bots.
El peligro de la falta de medidas de protección
El estudio también destaca que solo el 5 % de los intentos de acceso con contraseñas filtradas son bloqueados, lo que evidencia una falta de protección adecuada en muchos sitios web. La ausencia de medidas como la limitación de intentos (rate limiting), la gestión avanzada de bots o la autenticación multifactor (MFA) facilita el éxito de estos ataques automatizados.
Qué pueden hacer usuarios y empresas
Para los usuarios, la recomendación es clara: evitar la reutilización de contraseñas, crear combinaciones robustas y únicas para cada servicio, y habilitar MFA siempre que sea posible. Además, tecnologías emergentes como las passkeys ofrecen alternativas más seguras y resistentes al phishing.
Las empresas, por su parte, deben activar sistemas de detección de credenciales filtradas, implementar medidas de limitación de intentos, y utilizar herramientas de gestión de bots para frenar los ataques automatizados. Asimismo, es fundamental realizar auditorías periódicas para identificar patrones de uso inseguro de contraseñas y promover políticas de higiene digital entre los usuarios.
Un reto que exige acción inmediata
El informe de Cloudflare demuestra que el reciclaje de contraseñas sigue siendo un problema de gran magnitud que afecta la seguridad digital global. La combinación de contraseñas filtradas, falta de medidas de protección y ataques automatizados crea un escenario en el que la prevención y la educación son más importantes que nunca.
En un mundo cada vez más conectado, la seguridad comienza con algo tan simple —y al mismo tiempo tan crítico— como la gestión adecuada de las contraseñas.
