Glosario: Términos y definiciones de ciberseguridad

¿Qué es el fraude por account takeover (ATO)?

Obtenga información sobre el fraude por account takeover, cómo ocurre y las estrategias de detección y prevención de F5.

La apropiación de cuentas (ATO) es el ataque más frecuente y costoso dirigido contra instituciones financieras, comercio electrónico y otros servicios digitales en línea. Utilizando bots automatizados y otros métodos de delitos cibernéticos, los delincuentes utilizan credenciales robadas para obtener acceso y controlar las cuentas de los usuarios para obtener ganancias monetarias o cometer fraude. Los impactos del fraude de apropiación de cuentas son reales: Según el estudio de fraude de identidad Javelin 2022 , el 22 % de los adultos estadounidenses han sido víctimas de ATO.

¿Cuáles son las técnicas del fraude por account takeover?

El fraude de apropiación de cuentas es la culminación de una serie de actividades cibercriminales, que generalmente comienzan con credenciales robadas o comprometidas, que conducen a ataques de credential stuffing , que pueden resultar en la apropiación de las cuentas en línea de un cliente. Una vez en el control, el delincuente puede vaciar la cuenta de fondos, monetizar el valor almacenado y utilizar la cuenta para cometer más fraudes.  

La forma más básica de credential stuffing implica ataques de fuerza bruta impulsados ​​por bots, que envían combinaciones aleatorias de caracteres a formularios de inicio de sesión hasta que los atacantes encuentran una coincidencia para las credenciales de una cuenta.

¿Cómo se roban las credenciales?

Los ataques de credential stuffing más avanzados comienzan con pares de nombre de usuario y contraseña válidos que han sido robados o comprometidos durante violaciones de datos. Las credenciales robadas se compran fácilmente en mercados de la red oscura ( según Cyber Security Hub, 22 mil millones de registros de datos fueron expuestos solo en 2022).

Las credenciales también se pueden robar a través de una serie de ciberataques y otras técnicas de ciberdelincuencia:

  • Ataques de phishing, un tipo de explotación de ingeniería social en la que los delincuentes utilizan correos electrónicos, mensajes de texto o mensajes de redes sociales para engañar a las personas para que revelen información privada, como credenciales de inició de sesión, información de cuentas bancarias, números de seguro social u otros datos confidenciales.
  • Keylogging, Magecart, skimming y otras formas de malware del lado del cliente, en los que actores maliciosos roban credenciales inyectando scripts maliciosos en formularios de pago en línea. A medida que la víctima ingresa sus credenciales e información de la tarjeta de crédito, el script transmite los datos al atacante, quien puede usar la información para cometer fraude o venderla a otros delincuentes.
  • Ataques Man in the Middle (MitM), en los que los atacantes interceptan mensajes o transacciones de datos insertándose como proxy entre dos partes legítimas que participan en la comunicación de datos. Esto permite al atacante “escuchar a escondidas” la transferencia de información y datos de ambas partes y recopilar credenciales de inició de sesión u otra información personal.

Una vez que los ciberdelincuentes han acumulado varias credenciales válidas, pueden comenzar el proceso de credential stuffing, a menudo a gran escala. Debido a que alrededor de dos tercios de los consumidores reutilizan los mismos nombres de usuario y contraseñas en múltiples sitios web, los ciberdelincuentes y sus ejércitos de bots automatizados explotan fácilmente estas credenciales recicladas. Además, gran parte de las credenciales vulneradas también pueden dar acceso a cuentas en otros sitios. Una vez que los atacantes entran en las cuentas, pueden cambiar las credenciales para bloquear al propietario legítimo de la cuenta, consumir los activos y usar las cuentas para cometer otros delitos de fraude

Impactos del fraude por account takeover

Se prevé que las pérdidas por fraude digital provocadas por ataques como ATO superen los 343 mil millones de dólares a nivel mundial entre 2023 y 2027, según informes de American Banker

La account takeover también tiene efectos más allá del ámbito financiero. La marca y la reputación de una organización también pueden verse afectadas, lo que lleva a la pérdida de negocios y a una publicidad negativa por la debilidad percibida en la seguridad. Puede derivar en un daño a la marca a largo plazo, y es posible que se necesiten años para reconstruir una reputación positiva.

Las organizaciones también pueden perder la confianza y la lealtad de los clientes, lo que lleva a la terminación de las relaciones comerciales. Es comprensible que los clientes estén descontentos si las medidas de seguridad inadecuadas de una empresa dan lugar a una account takeover y a costosas actividades fraudulentas.

Las organizaciones también pueden enfrentarse a consecuencias legales y de cumplimiento por no proteger los datos de los consumidores. Las leyes y normas como el Reglamento General de Protección de Datos (RGPD) de la UE, la Ley de Protección al Consumidor de California (CCPA) y el Payment Card Industry Data Security Standard (PCI-DSS) están diseñadas para garantizar la privacidad de los datos de los consumidores e imponer grandes sanciones monetarias en caso de vulneración de datos. Entre ellos, se incluyen los ataques de ATO que exponen datos privados a bots.

Detección de fraudes por account takeover

Es importante controlar las cuentas y actividades de los usuarios para detectar signos de ATO.

  • Esté atento a cambios inesperados en la actividad de la cuenta. Estos cambios pueden incluir transacciones nuevas o no autorizadas, retiros grandes, picos aleatorios y esporádicos en el tráfico o solicitudes de cambio de contraseñas, dirección o beneficiario del pago. Estas actividades anómalas pueden ser una señal de que la cuenta está bajo ataque. En estos casos, revise la cuenta para descubrir si alguno de los datos del usuario, como la contraseña o el número de teléfono, también ha cambiado, lo que podría indicar que la cuenta ha sido secuestrada.
  • Esté atento a los intentos de inicio de sesión no reconocidos . Una serie de intentos fallidos de inicio de sesión puede indicar que un actor malicioso está intentando violar una cuenta utilizando métodos de credential stuffing . Esté especialmente alerta si los intentos de inicio de sesión provienen de una ubicación inusual o ocurren en un momento del día en que la cuenta normalmente está inactiva. 
  • Preste atención a los dispositivos nuevos o no reconocidos que acceden a una cuenta. La actividad de dispositivos nuevos o desconocidos puede indicar que una cuenta ha sido comprometida o que un estafador está intentando iniciar sesión con credenciales robadas. De manera similar, varios dispositivos que inician sesión en una sola cuenta también pueden indicar que la cuenta está siendo atacada por delincuentes.
  • Correo electrónico o mensajes de texto sospechosos. Un aumento en los correos electrónicos de phishing y correos electrónicos puede indicar que los usuarios están siendo atacados por estafadores. Recuerde a los clientes que nunca deben hacer clic en archivos adjuntos o enlaces activos en un mensaje digital de un remitente desconocido y que nunca deben proporcionar nombres de usuario, contraseñas o información personal o financiera a nadie por teléfono o Internet. Las empresas legítimas no solicitarán información de la cuenta por correo electrónico o mensaje de texto.

Evitar el fraude por account takeover

Un enfoque proactivo para prevenir ATO implica múltiples niveles de protección y estrategias. Estos incluyen metodologías de mejores prácticas, un enfoque en la educación del usuario, monitoreo de la infraestructura en tiempo real y fuertes protecciones de autenticación.

Educación y concienciación del usuario

Una de las formas más efectivas de prevenir la account takeover es a través de programas educativos que capaciten a los usuarios para identificar y resistir el riesgo. Los ataques ATO a menudo comienzan con el phishing, cuando alguien intenta engañar a los usuarios para que revelen las credenciales de su cuenta o hagan clic en enlaces maliciosos. Los correos electrónicos y textos de phishing pueden ser muy convincentes, especialmente cuando la comunicación incluye datos personales que los delincuentes pueden recopilar de las redes sociales. También asegúrese de que los usuarios comprendan la importancia de una buena gestión de las contraseñas y haga cumplir el uso de protocolos de contraseñas seguras.

Medidas de autenticación sólidas

La autenticación fuerte requiere que los usuarios presenten dos o más factores de verificación, además de un nombre de usuario y una contraseña, durante un intento de inicio de sesión. Existen varios enfoques para la autenticación fuerte.

  • La autenticación de dos factores (2FA) es un método de seguridad de gestión de acceso que requiere dos factores de verificación para establecer la identidad de uno y acceder a recursos y datos. En la práctica habitual, esto suele implicar introducir un código de acceso de un solo uso desde un correo electrónico o un mensaje de texto en un dispositivo conocido, como un teléfono inteligente o el navegador de una computadora doméstica.
  • Autenticación multifactor (MFA) es similar a 2FA, excepto que se deben proporcionar al menos tres factores de verificación para un inicio de sesión exitoso. En la mayoría de los casos, esto implica recibir un código de uso único en un dispositivo conocido, además de proporcionar alguna forma de biometría, como lectura de huellas dactilares, escaneo de retina o reconocimiento de voz. Cabe señalar que, si bien tanto 2FA como MFA siguen siendo herramientas valiosas para mejorar la seguridad de las cuentas en línea, ya no son suficientes como defensa final contra los ataques ATO, ya que pueden ser fácilmente eludidos por ataques criminales y disminuir la experiencia de uso.
  • La autenticación basada en riesgos es un método de gestión de acceso que ajusta los requisitos del proceso de autenticación al nivel de riesgo que presenta el intento de inicio de sesión. Por ejemplo, un inicio de sesión para simplemente verificar el saldo de una cuenta requeriría un proceso de autenticación menos restrictivo que un inicio de sesión para cambiar contraseñas o transferir fondos a una nueva cuenta. Básicamente, a medida que aumenta el nivel de riesgo, el proceso de autenticación se vuelve más estricto y requiere factores y supervisión adicionales.

Supervisión y auditoría de cuentas

Tanto los consumidores como las empresas deben supervisar y auditar regularmente las cuentas en busca de actividades sospechosas. Para los consumidores, esto incluye iniciar sesión regularmente en cuentas financieras y otras cuentas con valor almacenado (incluidos programas de fidelización y tarjetas de regalo) para vigilar los saldos y la actividad de la cuenta.

Las empresas y las organizaciones pueden emplear una variedad de tecnologías para automatizar la supervisión y la auditoría continuas de las cuentas, incluidos los sistemas de seguimiento de cuentas que utilizan el Machine Learning y la detección basada en IA para ayudar a prevenir el fraude al identificar actividades anómalas que no coinciden con el comportamiento habitual del usuario.

Web Application Firewall (WAF)

El WAF protege las aplicaciones web filtrando, vigilando y bloqueando todo el tráfico HTTP/S malicioso que se dirija hacia ellas e impide que salga de ellas cualquier dato no autorizado. Lo hace adhiriéndose a un conjunto de políticas que distinguen entre tráfico malicioso y seguro. Un WAF actúa como un intermediario que protege el servidor de aplicaciones web de un cliente potencialmente malicioso.

Aunque no están diseñadas específicamente para detectar la actividad de ATO, las políticas de WAF pueden estar dirigidas a ayudar a identificar y bloquear los ataques de account takeover. Los WAF también pueden ayudar a identificar actividades de bots maliciosos, que a menudo preceden a los ataques de credential stuffing por fuerza bruta.

Añadir detección y mitigación de bots a las redes

Los ejércitos de bots permiten a los delincuentes escalar sus ataques, eludir los controles de MFA y permitir el fraude. La automatización significa que los bots se pueden implementar masivamente en la búsqueda de su tarea asignada, ya sea el credential stuffing o los ataques de phishing. Las soluciones de detección de bots proporcionan visibilidad de actividades maliciosas como la creación de cuentas falsas, el acaparamiento de inventario, el scraping y el skimming digital de información de credenciales. Las soluciones de detección de bots también pueden proporcionar alertas para ataques del lado del cliente, como el robo de formularios, el skimming digital, Magecart y otras vulnerabilidades de JavaScript presentes en el navegador.

Responder a los fraudes por account takeover

Debido a la gran cantidad de credenciales robadas y comprometidas disponibles en la red oscura, es cada vez más probable que las organizaciones sufran un ciberataque, tarde o temprano. Es imperativo que las organizaciones preparen respuestas y procesos sólidos con antelación para abordar el impacto de un ciberataque tanto en la institución como en sus clientes.

Plan de respuesta a incidentes

Un plan de respuesta a incidentes define los pasos activos, los recursos disponibles y las estrategias de comunicación que se implementarán al identificar un evento de amenaza. Un plan de respuesta a incidentes debe definir los protocolos para responder al evento e identificar un equipo de respuesta a incidentes que haya sido capacitado para poner en práctica el plan.

Notificación y soporte al cliente

Es fundamental que el equipo de respuesta a incidentes notifique directamente a los clientes afectados y les explique lo que sucedió, les informe qué pasos se están tomando para protegerlos y les pida cambiar la contraseña comprometida si se usa en otras cuentas. Mantenerse en contacto con los clientes afectados es importante para reconstruir la confianza.

Investigación y reparación

Después de que se detecta un ataque, es crucial evaluar y contener el incidente, e identificar la naturaleza y el alcance del incidente y los sistemas afectados. Una vez que se identifica el punto de acceso, la organización debe eliminar el acceso no autorizado del atacante a las cuentas afectadas y reparar las cuentas comprometidas para garantizar que ya no se puedan usar maliciosamente. Como parte de la revisión de la recuperación de fraudes, analice cómo evitar que un ataque de este tipo vuelva a ocurrir.

Comunicación y transparencia

Es importante comunicar las infracciones de seguridad y los ataques con transparencia, ya que los reguladores, los medios de comunicación o los consumidores pueden percibir la falta de información como un encubrimiento y puede agravar significativamente el impacto financiero del ataque.

resumen

Hoy en día, cualquier organización que emita o acepte pagos digitales es un objetivo de la ATO y la amenaza de ataques continúa creciendo. Esto coloca a los comerciantes en línea, las instituciones financieras y las organizaciones de servicios en una paradoja: A medida que adoptan la preferencia de los clientes por servicios y aplicaciones en línea más convenientes, se exponen a un mayor riesgo de fraude y otras formas de ciberdelito.  Una vez que una cuenta se ve comprometida, un estafador puede drenar fondos, robar bienes o servicios o acceder a información de pago para usarla en otros sitios, alejando a los clientes y erosionando los ingresos.

Los controles 2FA y MFA convencionales ya no son suficientes para detener a los ciberdelincuentes que lanzan ataques de ATO cada vez más sofisticados. Para prevenir la ATO se requiere un enfoque integral de la seguridad y la prevención del fraude que evalúe la intención, agilice las experiencias digitales y detenga la ATO mediante la identificación de patrones de fraude y transacciones de riesgo antes de que se lleven a cabo.

Cómo puede ayudar F5

Las soluciones de seguridad y prevención de fraude de F5 ofrecen la protección contra account takeover más completa de la industria en una sola plataforma . Al utilizar tecnologías sofisticadas como modelado de inteligencia de amenazas y aprendizaje automático para detectar técnicas de atacantes, Distributed Cloud Bot Defense implementa contramedidas apropiadas en tiempo real para contrarrestar el fraude impulsado por bots y ATO con la máxima efectividad. Distributed Cloud Authentication Intelligence reconoce a los usuarios legítimos durante todo el recorrido del cliente, y Distributed Cloud Client-Side Defense brinda información en tiempo real sobre los ataques de robo de datos digitales del lado del cliente.

Junto con la eliminación rápida del fraude posterior al inicio de sesión a través de Distributed Cloud Account Protection , la plataforma de seguridad y prevención de fraude F5 Distributed Cloud proporciona un enfoque de extremo a extremo que evalúa la intención, optimiza las experiencias digitales y detiene los intentos de ATO que de lo contrario conducen a fraude, pérdida de ingresos y reducción de la fidelización de clientes.