Consiste en que cuando un delincuente online adivina, compra en la web oscura o roba o una contraseña para cualquier cuenta que utilices, casi inmediatamente probará la misma contraseña en otras webs con  tu nombre.

Es decir, los atacantes toman tu nombre de usuario, lo combinan con la contraseña que ya conocen y meten esas credenciales en las páginas de inicio de sesión de tantos servicios populares como se les ocurran.

Además, lo que es peor, es que a muchos servicios y plataformas les gusta utilizar tu dirección de correo electrónico como nombre de usuario, lo que hace que este proceso sea aún más sencillo.

Las formas más comunes en que las contraseñas sin cifrar caen en manos de delincuentes son:

Ataques de suplantación de identidad (phishing): tecleas la contraseña en una página web falsa que parece real y se envía tu información a los delincuentes.

Si tu ordenador está infectado con spyware, registrará tus pulsaciones y las mandará a los hackers.

Cuando las empresas de servicios online no hacen una adecuada gestión del registro del servidor y los atacantes descubren que la compañía ha registrado las contraseñas en texto plano en el disco en lugar de solo mantenerlas temporalmente en la memoria.

El malware RAM scraping: se ejecuta en servidores comprometidos y vigila patrones de datos probables que aparecen temporalmente en la memoria, como por ejemplo datos de tarjetas de crédito, números de DNI, contraseñas, etc.