Distingue el credential stuffing del password spraying, incluyendo cómo aparece cada uno en los registros.
Respuesta breve
El credential stuffing reproduce pares usuario:contraseña conocidos de brechas de terceros, apostando a la reutilización de contraseñas: alta tasa de éxito por intento, a menudo repartido entre muchas IP y dispositivos para parecer humano. El password spraying prueba una o dos contraseñas comunes (como Winter2026!) en muchas cuentas para mantenerse bajo los umbrales de bloqueo. El stuffing explota la reutilización; el spraying explota contraseñas compartidas débiles. La MFA derrota a ambos.
Ambos ataques buscan la apropiación de cuentas a través de la autenticación, pero explotan debilidades distintas y dejan huellas distintas. Los entrevistadores preguntan esto para ver si razonas sobre la economía del atacante y las señales de detección, no solo sobre «muchos inicios de sesión fallidos».
Credential stuffing
El atacante parte de pares usuario:contraseña válidos cosechados de la brecha de otra persona (las combolists que circulan de volcados pasados). Los reproduce contra tu servicio, apostando a que los usuarios reutilizan contraseñas. Como los pares son reales en otro sitio, la tasa de éxito por intento es mucho mayor que adivinar. Las campañas sofisticadas usan botnets, proxies residenciales y user agents rotativos, de modo que cada inicio de sesión parece un intento normal e individualmente válido, que es justo lo que lo hace difícil de atrapar.
Password spraying
Aquí el atacante tiene nombres de usuario pero no las contraseñas, así que adivina. Para no disparar el bloqueo de cuentas, prueba solo una o dos contraseñas muy comunes (Winter2026!, Password1) contra una gran lista de cuentas, y luego espera antes de la siguiente ronda. Cada cuenta ve solo un fallo o dos, así que las reglas ingenuas «N fallos = alerta» lo pasan por alto. La señal es la amplitud: muchas cuentas distintas fallando la misma contraseña desde el mismo origen a lo largo del tiempo.
Detección y defensa
Para el spraying, cuenta las cuentas distintas atacadas por origen en una ventana. Para el stuffing, busca velocidad imposible, picos repentinos en el volumen de inicios de sesión, dispositivo/geolocalización atípicos para una cuenta y tasas de éxito elevadas desde nueva infraestructura; los servicios de contraseñas comprometidas y de detección de bots ayudan. El control más eficaz para ambos es la MFA, respaldada por el bloqueo de contraseñas conocidas como comprometidas y la limitación de tasa.
Por qué importa
Una buena respuesta señala la causa raíz de cada uno —reutilización vs contraseñas compartidas débiles—, nombra las distintas formas en los registros y aterriza en la MFA más controles de higiene de credenciales. Eso demuestra que defiendes en la causa, no solo en el síntoma.
Posibles preguntas de seguimiento
- ¿Por qué distribuir el credential stuffing entre muchas IP lo hace difícil de detectar?
- ¿Qué control único reduce más el impacto de ambos ataques?
- ¿Cómo detectarías el credential stuffing si cada inicio de sesión parece individualmente válido?