Glosario

¿Qué es el fraude por account takeover (ATO)?

Obtenga información sobre el fraude por account takeover, cómo ocurre y las estrategias de detección y prevención de F5.

La account takeover (ATO) es el ataque más frecuente y costoso que va dirigido a las instituciones financieras, el comercio electrónico y otros servicios digitales en línea. Mediante el uso de bots automatizados y otros métodos de ciberdelincuencia, los delincuentes utilizan credenciales robadas para obtener acceso y controlar las cuentas de los usuarios para obtener una ganancia económica o para cometer un fraude. Los impactos de este fraude son una realidad: según el Javelin 2022 ID Fraud Study, el 22 % de los adultos estadounidenses han sido víctimas de la ATO.

¿Cuáles son las técnicas del fraude por account takeover?

El fraude por account takeover es la culminación de una serie de ciberdelitos, que generalmente comienzan con un robo o una exposición de las credenciales. Ello conduce a ataques de credential stuffing, que pueden dar lugar a la apropiación de las cuentas en línea de un cliente. Cuando consigue entrar, el delincuente puede vaciar la cuenta de fondos, monetizar el valor almacenado y utilizar la cuenta para nuevos fraudes.

La forma más básica de credential stuffing implica ataques de fuerza bruta impulsados por bots, que envían combinaciones aleatorias de caracteres a los formularios de inicio de sesión hasta que los atacantes encuentran las credenciales de una cuenta.

¿Cómo se roban las credenciales?

Los ataques de credential stuffing más avanzados comienzan utilizando nombres de usuario y contraseñas válidos que han sido robados o vulnerados en filtraciones de datos. Las credenciales robadas se compran fácilmente en la dark web (según Cyber Security Hub, solo en 2022 se expusieron 22 mil millones de registros de datos).

Las credenciales también se pueden robar a través de una serie de ciberataques y otras técnicas de ciberdelincuencia:

  • Ataques de phishing: una especie de ingeniería social en la que los delincuentes utilizan el correo electrónico, los mensajes de texto o los mensajes de las redes sociales para engañar a las personas para que revelen información privada, como las credenciales de inicio de sesión, la información de la cuenta bancaria, los números de la seguridad social u otros datos confidenciales.
  • Keylogging, Magecart, skimming y otras formas de malware del lado del cliente: los criminales roban credenciales inyectando scripts maliciosos en los formularios de pago en línea. A medida que la víctima introduce las credenciales y la información de la tarjeta de crédito, el script envía los datos al atacante, que puede utilizar la información para estafar o vendérsela a otros delincuentes.
  • Ataques Man in the Middle (MitM): los atacantes interceptan mensajes o transacciones de datos introduciéndose con proxies entre dos partes legítimas que participan en una comunicación de datos. Esto permite al atacante "espiar" la transferencia de información entre ambas partes y recopilar credenciales de inicio de sesión u otra información personal.

Una vez que los ciberdelincuentes han acumulado varias credenciales válidas, pueden comenzar el proceso de credential stuffing, a menudo a gran escala. Debido a que alrededor de dos tercios de los consumidores reutilizan los mismos nombres de usuario y contraseñas en múltiples sitios web, los ciberdelincuentes y sus ejércitos de bots automatizados explotan fácilmente estas credenciales recicladas. Además, gran parte de las credenciales vulneradas también pueden dar acceso a cuentas en otros sitios. Una vez que los atacantes entran en las cuentas, pueden cambiar las credenciales para bloquear al propietario legítimo de la cuenta, consumir los activos y usar las cuentas para cometer otros delitos de fraude

Impactos del fraude por account takeover

Se prevé que las pérdidas por fraude digital de ataques como ATO superen los 343 mil millones de dolares a nivel mundial entre 2023 y 2027, según informes en American Banker.

La account takeover también tiene efectos más allá del ámbito financiero. La marca y la reputación de una organización también pueden verse afectadas, lo que lleva a la pérdida de negocios y a una publicidad negativa por la debilidad percibida en la seguridad. Puede derivar en un daño a la marca a largo plazo, y es posible que se necesiten años para reconstruir una reputación positiva.

Las organizaciones también pueden perder la confianza y la lealtad de los clientes, lo que lleva a la terminación de las relaciones comerciales. Es comprensible que los clientes estén descontentos si las medidas de seguridad inadecuadas de una empresa dan lugar a una account takeover y a costosas actividades fraudulentas.

Las organizaciones también pueden enfrentarse a consecuencias legales y de cumplimiento por no proteger los datos de los consumidores. Las leyes y normas como el Reglamento General de Protección de Datos (RGPD) de la UE, la Ley de Protección al Consumidor de California (CCPA) y el Payment Card Industry Data Security Standard (PCI-DSS) están diseñadas para garantizar la privacidad de los datos de los consumidores e imponer grandes sanciones monetarias en caso de vulneración de datos. Entre ellos, se incluyen los ataques de ATO que exponen datos privados a bots.

Detección de fraudes por account takeover

Es importante controlar las cuentas y actividades de los usuarios para detectar signos de ATO.

  • Tenga cuidado con cambios inesperados en la actividad de la cuenta. Estos cambios pueden incluir transacciones nuevas o no autorizadas, grandes retiradas de fondos, picos aleatorios y esporádicos en el tráfico o solicitudes para cambiar contraseñas, direcciones o receptores de pagos. Estas actividades anómalas pueden ser una señal de que la cuenta está siendo atacada. En estos casos, compruebe la cuenta para descubrir si alguno de los detalles del usuario, como la contraseña o el número de teléfono, también ha cambiado, lo que podría indicar que la cuenta ha sido secuestrada.
  • Vigile los intentos de inicio de sesión no reconocidos. Una serie de intentos fallidos de inicio de sesión puede indicar que alguien está intentando vulnerar una cuenta utilizando métodos de credential stuffing. Esté particularmente alerta si los intentos de inicio de sesión provienen de una ubicación inusual o se producen en un momento del día en que la cuenta suele estar inactiva. 
  • Preste atención a los dispositivos nuevos o no reconocidos que acceden a una cuenta. La actividad de dispositivos nuevos o desconocidos puede indicar que una cuenta se ha visto comprometida o que un delincuente está intentando iniciar sesión con credenciales robadas. Del mismo modo, varios dispositivos que inician sesión en una sola cuenta también pueden indicar que la cuenta está siendo atacada por otras personas.
  • Observe si hay correos electrónicos o mensajes de texto sospechosos. Un aumento en los correos electrónicos de phishing o en los correos electrónicos en general puede indicar que los delincuentes están atacando a los usuarios. Recuerde a los clientes que nunca hagan clic en archivos adjuntos o enlaces en un mensaje digital de un remitente desconocido, y nunca proporcionen nombres de usuario, contraseñas o información personal o financiera a nadie por teléfono o Internet. Las empresas legítimas no solicitarán información de la cuenta por correo electrónico o mensaje de texto.

Evitar el fraude por account takeover

Un enfoque proactivo para prevenir la ATO implica múltiples niveles de protección y estrategias. Estos incluyen metodologías de mejores prácticas, un enfoque en la educación del usuario, control de la infraestructura en tiempo real y fuertes protecciones de autenticación.

Educación y concienciación del usuario

Una de las formas más efectivas de prevenir la account takeover es a través de programas educativos que capaciten a los usuarios para identificar y resistir el riesgo. Los ataques ATO a menudo comienzan con el phishing, cuando alguien intenta engañar a los usuarios para que revelen las credenciales de su cuenta o hagan clic en enlaces maliciosos. Los correos electrónicos y textos de phishing pueden ser muy convincentes, especialmente cuando la comunicación incluye datos personales que los delincuentes pueden recopilar de las redes sociales. También asegúrese de que los usuarios comprendan la importancia de una buena gestión de las contraseñas y haga cumplir el uso de protocolos de contraseñas seguras.

Medidas de autenticación sólidas

La autenticación sólida requiere que los usuarios presenten dos o más factores de verificación, más allá de un nombre de usuario y una contraseña, durante un intento de inicio de sesión. Existen varios enfoques para la autenticación sólida.

  • La autenticación de dos factores (2FA) es un método de seguridad de gestión de identidad y acceso que requiere dos factores de verificación para establecer la identidad de una persona para acceder a los recursos y datos. En la práctica común, esto a menudo implica introducir un código de acceso de un solo uso de un correo electrónico o un mensaje de texto en un dispositivo conocido, como un teléfono inteligente o un navegador en un ordenador personal.
  • La autenticación multifactor (MFA) es similar a la 2FA, pero se diferencia en que se deben proporcionar al menos tres factores de verificación para un inicio de sesión exitoso. En la mayoría de los casos, esto implica recibir un código de un solo uso en un dispositivo conocido, además de proporcionar una forma de biometría, como una lectura de huellas dactilares, un escaneo de retina o un reconocimiento de voz. Cabe señalar que, si bien tanto la 2FA como la MFA siguen siendo herramientas valiosas para mejorar la seguridad de las cuentas en línea, ya no son suficientes como defensa final contra los ataques ATO, ya que pueden ser fácilmente eludidos por los ataques criminales y menoscabar la experiencia de uso.
  • La autenticación basada en riesgos es un método de gestión de acceso que ajusta los requisitos del proceso de autenticación al nivel de riesgo presentado por el intento de inicio de sesión. Por ejemplo, un inicio de sesión para simplemente verificar el saldo de una cuenta requeriría un proceso de autenticación menos restrictivo que un inicio de sesión para cambiar contraseñas o transferir fondos a una nueva cuenta. Esencialmente, a medida que aumenta el nivel de riesgo, el proceso de autenticación se vuelve más estricto, lo que requiere factores y supervisión adicionales.

Supervisión y auditoría de cuentas

Tanto los consumidores como las empresas deben supervisar y auditar regularmente las cuentas en busca de actividades sospechosas. Para los consumidores, esto incluye iniciar sesión regularmente en cuentas financieras y otras cuentas con valor almacenado (incluidos programas de fidelización y tarjetas de regalo) para vigilar los saldos y la actividad de la cuenta.

Las empresas y las organizaciones pueden emplear una variedad de tecnologías para automatizar la supervisión y la auditoría continuas de las cuentas, incluidos los sistemas de seguimiento de cuentas que utilizan el Machine Learning y la detección basada en IA para ayudar a prevenir el fraude al identificar actividades anómalas que no coinciden con el comportamiento habitual del usuario.

Web Application Firewall (WAF)

El WAF protege las aplicaciones web filtrando, vigilando y bloqueando todo el tráfico HTTP/S malicioso que se dirija hacia ellas e impide que salga de ellas cualquier dato no autorizado. Lo hace adhiriéndose a un conjunto de políticas que distinguen entre tráfico malicioso y seguro. Un WAF actúa como un intermediario que protege el servidor de aplicaciones web de un cliente potencialmente malicioso.

Aunque no están diseñadas específicamente para detectar la actividad de ATO, las políticas de WAF pueden estar dirigidas a ayudar a identificar y bloquear los ataques de account takeover. Los WAF también pueden ayudar a identificar actividades de bots maliciosos, que a menudo preceden a los ataques de credential stuffing por fuerza bruta.

Añadir detección y mitigación de bots a las redes

Los ejércitos de bots permiten a los delincuentes escalar sus ataques, eludir los controles de MFA y permitir el fraude. La automatización significa que los bots se pueden implementar masivamente en la búsqueda de su tarea asignada, ya sea el credential stuffing o los ataques de phishing. Las soluciones de detección de bots proporcionan visibilidad de actividades maliciosas como la creación de cuentas falsas, el acaparamiento de inventario, el scraping y el skimming digital de información de credenciales. Las soluciones de detección de bots también pueden proporcionar alertas para ataques del lado del cliente, como el robo de formularios, el skimming digital, Magecart y otras vulnerabilidades de JavaScript presentes en el navegador.

Responder a los fraudes por account takeover

Debido a la multitud de credenciales robadas y comprometidas fácilmente disponibles en la dark web, es cada vez más probable que las organizaciones experimenten un ciberataque, tarde o temprano. Es imperativo que las organizaciones preparen respuestas y procesos sólidos con anticipación para abordar el impacto de un ciberataque tanto en la institución como en sus clientes.

Plan de respuesta a incidentes

Un plan de respuesta a incidentes define los pasos activos, los recursos disponibles y las estrategias de comunicación que se implementarán al identificar un evento de amenaza. Un plan de respuesta a incidentes debe definir los protocolos para responder al evento e identificar un equipo de respuesta a incidentes que haya sido capacitado para poner en práctica el plan.

Notificación y soporte al cliente

Es fundamental que el equipo de respuesta a incidentes notifique directamente a los clientes afectados y les explique lo que sucedió, les informe qué pasos se están tomando para protegerlos y les pida cambiar la contraseña comprometida si se usa en otras cuentas. Mantenerse en contacto con los clientes afectados es importante para reconstruir la confianza.

Investigación y reparación

Después de que se detecta un ataque, es crucial evaluar y contener el incidente, e identificar la naturaleza y el alcance del incidente y los sistemas afectados. Una vez que se identifica el punto de acceso, la organización debe eliminar el acceso no autorizado del atacante a las cuentas afectadas y reparar las cuentas comprometidas para garantizar que ya no se puedan usar maliciosamente. Como parte de la revisión de la recuperación de fraudes, analice cómo evitar que un ataque de este tipo vuelva a ocurrir.

Comunicación y transparencia

Es importante comunicar las infracciones de seguridad y los ataques con transparencia, ya que los reguladores, los medios de comunicación o los consumidores pueden percibir la falta de información como un encubrimiento y puede agravar significativamente el impacto financiero del ataque.

Resumen

Hoy en día, cualquier organización que emita o acepte pagos digitales es objetivo de una ATO, y la amenaza de ataque sigue creciendo. Esto coloca a los comerciantes en línea, las instituciones financieras y las organizaciones de servicios en una paradoja: A medida que adoptan las preferencias de los clientes por servicios y aplicaciones en línea más cómodos, se abren a un mayor riesgo de fraude y otras formas de ciberdelincuencia.  Una vez que una cuenta se ve comprometida, un estafador puede consumir fondos, robar bienes o servicios, o acceder a información de pago para usarla en otros sitios, embargando a los clientes y mermando sus ingresos.

Los controles 2FA y MFA convencionales ya no son suficientes para detener a los ciberdelincuentes que lanzan ataques de ATO cada vez más sofisticados. Para prevenir la ATO se requiere un enfoque integral de la seguridad y la prevención del fraude que evalúe la intención, agilice las experiencias digitales y detenga la ATO mediante la identificación de patrones de fraude y transacciones de riesgo antes de que se lleven a cabo.

Cómo F5 puede ayudarlo

Las soluciones de seguridad y prevención del fraude de F5 ofrecen la protección contra account takeover más completa del sector en una sola plataforma. Mediante el uso de tecnologías sofisticadas, como el modelado de Threat Intelligence y el Machine Learning para detectar las técnicas de los atacantes, Distributed Cloud Bot Defense utiliza contramedidas adecuadas en tiempo real que contrarrestan el fraude impulsado por bots y la ATO con la máxima eficacia. Distributed Cloud Authentication Intelligence reconoce a los usuarios legítimos a lo largo del recorrido del cliente, y Distributed Cloud Client-Side Defense proporciona información en tiempo real sobre los ataques de skimming digital del lado del cliente.

Junto con la rápida eliminación del fraude posterior al inicio de sesión a través de Distributed Cloud Account Protection, la plataforma de seguridad y prevención de fraudes de F5 Distributed Cloud proporciona un enfoque integral que evalúa la intención, agiliza las experiencias digitales y detiene los intentos de ATO conducirían al fraude, la pérdida de ingresos y la reducción de la fidelización de clientes.