BLOG

Cómo los ciberdelincuentes se apoderan de las cuentas en línea

Miniatura de Frank Kyei-Manu
Frank Kyei-Manu
Publicado el 18 de octubre de 2022

Una amiga compartió recientemente una historia sobre un juego que jugaba con su familia cuando era niña. Durante los viajes por carretera, intentaban adivinar de dónde eran las personas que viajaban en otros vehículos. Sus conjeturas se basaban en información limitada: en el mejor de los casos, el estado que figuraba en una matrícula o en pegatinas para el parachoques.

Hoy, en cambio, nuestra información personal es extremadamente fácil de encontrar en nuestros activos digitales, y es más fácil para los actores maliciosos acceder a ella a través de tácticas de ingeniería social como el phishing y el smishing.

La psicología de un ciberdelincuente

El ciberdelito, como la mayoría de los delitos, comienza con una noción de MOM (es decir, medios, oportunidad y motivo). Es importante comprender la psicología de un ciberdelincuente y qué lo impulsa a cometer fraude cibernético:

  • Medio: La capacidad, las herramientas y los medios para cometer delitos son abundantes. Ahora, más que nunca, los delincuentes no necesitan ser expertos sofisticados para cometer fraudes, gracias a un excedente de herramientas y servicios gratuitos que pueden utilizar.
  • Oportunidad: Hay muchos objetivos potenciales. La creciente economía de las aplicação , en la que todo se digitaliza, desde el dinero hasta los registros médicos personales, significa que los cibercriminales tienen suficientes oportunidades y objetivos para cometer fraudes.
  • Motivo: Generalmente, pero no siempre, el motivo es financiero.

Supongamos que estás bajo ataque

En general, suponga que todas las aplicação de consumo y todas las cuentas digitales que usted controla serán atacadas tarde o temprano. Esto les sucede incluso a las cuentas mejor protegidas porque los atacantes se han vuelto expertos en abusar de la lógica de la aplicación para cometer fraude.

Ganar contra los ciberdelincuentes requiere trabajo en equipo. El equipo incluye titulares de cuentas individuales y desarrolladores de aplicação de instituciones, equipos contra fraudes y equipos de seguridad. El enfoque correcto también requiere un esfuerzo colectivo de las personas que usan estas aplicações y las empresas que las desarrollan, y debería comenzar con los equipos de seguridad y fraude que convergen sus defensas contra las amenazas de aplicação automatizadas para detener los ataques de bots en sentido ascendente, lo que evitará el fraude en sentido descendente.

Los bots son un arma de doble filo

La automatización, en sí misma, es algo bueno. Los bots automatizan tareas repetitivas, ayudan a las empresas a interactuar con los clientes y generar afinidad con la marca. Por ejemplo, es posible que haya interactuado con un chatbot de atención al cliente para recibir respuestas en tiempo real a sus preguntas.

Sin embargo, en las manos equivocadas, los bots y la automatización son herramientas poderosas que pueden usarse para llevar a cabo ataques maliciosos como el credential stuffing para apoderarse de cuentas y cometer fraudes.

Normalmente, los ataques de credential stuffing aprovechan credenciales previamente robadas y las prueban en numerosos dominios. Estos ataques se aprovechan del hecho de que los nombres de usuario y las contraseñas suelen reutilizarse en muchas aplicações.

De hecho, un informe reciente muestra que los empleados reutilizan sus contraseñas 13 veces en promedio. Además , incluso cuando se notifica a los consumidores que sus cuentas han sido violadas, sólo un tercio cambia sus contraseñas.

Los ciberdelincuentes aprovechan estas debilidades para cometer muchos tipos de fraude, entre ellos:

  • Fraude financiero: Los atacantes utilizan información personal robada para abrir o acceder a una cuenta a nombre de la víctima y robar su dinero. Estas cuentas también pueden respaldar otras actividades delictivas como el lavado de dinero.
  • Fraude minorista: Los atacantes utilizan información personal robada para realizar compras en tiendas minoristas o en sitios de comercio electrónico , acumular inventario y robar tarjetas de regalo que tienen un saldo positivo.
  • Fraude en la hostelería: Este tipo de fraude generalmente afecta a programas de viajes y fidelización de clientes . Los atacantes utilizan servicios fraudulentos de viajes y hotelería para recopilar sus credenciales e información de identidad para otros usos. También utilizan puntos de fidelidad, millas aéreas y puntos de recompensa previamente acumulados con el fin de reservar servicios de viaje para ellos mismos o para otros.

El problema de los ataques de credenciales

Los ataques de credenciales basados en identidad son la principal fuente de ataques web automatizados que conducen al fraude. La información de identidad se puede comprar fácilmente en foros de delitos cibernéticos. Las listas se pueden encontrar y comprar en algunas plataformas de redes sociales.

Las credenciales nuevas, como las robadas en los últimos uno o dos días, son más valiosas y a los ciberdelincuentes les cuesta más comprarlas. Las credenciales obsoletas son menos valiosas porque su probabilidad de éxito es mucho menor. Dado que se obtienen credenciales valiosas e información personal identificable a partir de violaciones de cuentas externas, estos ataques son difíciles de identificar y detener.

Veamos un ejemplo. Una vez que se roban o adquieren las credenciales, los ciberdelincuentes utilizan bots u otras herramientas automatizadas para intentar crear o acceder a las cuentas. Se pueden realizar miles (o incluso millones) de intentos. La tasa de éxito de los ataques basados en credenciales oscila entre el 0,2% y el 2% . Si bien estos porcentajes pueden parecer pequeños, los ataques de credenciales no necesitan una alta tasa de éxito porque miles de millones de credenciales están disponibles de forma gratuita o a un costo nominal.

Imagínese llegar a un millón de cuentas y obtener una tasa de éxito de entre 2.000 y 20.000. ¡Es una cifra asombrosa!

Prevención de la apropiación de cuentas y el fraude

Es importante entender que cada uno de estos esfuerzos delictivos son eslabones de una cadena de acontecimientos. El “ciclo de ataque industrializado” (ver figura a continuación) ilustra elementos críticos del ecosistema. Lamentablemente, este es un ecosistema grande y resistente, por lo que es imperativo que las personas y las organizaciones estén alertas para protegerse a sí mismos, a sus clientes y a sus socios comerciales.

Como individuos, debemos aprender a identificar ataques de phishing potencialmente dañinos, utilizar contraseñas extraordinariamente fuertes y limitar la reutilización de contraseñas en diferentes cuentas.

Al mismo tiempo, los equipos de seguridad y lucha contra el fraude deben trabajar juntos para frustrar colectivamente el ciclo de vida de los ataques industrializados.

Mire el video a continuación para saber cómo F5 ayuda a las organizaciones a protegerse contra el fraude cibernético.
 

Manténgase atento a la publicación final del blog de nuestra serie de cuatro partes para el Mes de Concientización sobre la Ciberseguridad que explora las API y por qué pueden ser un problema de seguridad. Además, asegúrese de leer nuestras publicaciones de blog anteriores, Cómo se crean e implementan las aplicaciones modernas y Cómo los actores maliciosos explotan las aplicações con ataques .