El fraude de toma de control de cuentas es una amenaza global que afecta a todos en nuestro mundo siempre conectado y digital. Conocido coloquialmente como el hackeo de cuentas, es una forma de acceso no autorizado por parte de estafadores a la cuenta online de un usuario y la posterior toma de control, una forma de robo de identidad digital.

Los ataques ATO (toma de control de cuenta) han estado aumentando desde 2019 en tamaño, alcance y sofisticación, incrementándose en un 90% solo en 2021, sumando pérdidas de 11,4 mil millones de dólares, según Javelin Strategy.

Los estafadores pueden ejecutar una toma de control de cuenta (ATO) a través de diversas técnicas como la ingeniería social, el phishing, o el uso de aplicaciones maliciosas. Una vez realizada con éxito, el estafador explota la cuenta para su beneficio personal realizando diversas transacciones fraudulentas.

Las fintech y otros financieros online son particularmente vulnerables a la toma de control de cuentas debido a su dependencia en cuentas en línea a las que los usuarios acceden a distancia. La creciente popularidad de los servicios bancarios online y móviles ha hecho de la ATO un desafío de seguridad significativo, ya que una cuenta bancaria es uno de los objetivos más lucrativos para los estafadores.

En este artículo, le guiaremos a través de la amenaza de las ATO, así como de las medidas de seguridad prácticas que puede tomar, desde implementar adecuadamente la Autenticación Multi-Factor (MFA) hasta usar software anti-fraude sofisticado para proteger a sus usuarios.

Impacto de los ataques ATO

Los ataques de toma de control de cuentas tienen impactos severos y de amplio alcance en las empresas, afectando no solo a su estabilidad financiera sino también a su reputación y confianza del cliente.

A continuación, se presentan algunos impactos clave de los ataques ATO en una empresa:

• Pérdidas Financieras: Los estafadores explotan cuentas comprometidas para llevar a cabo transacciones no autorizadas, hacer compras fraudulentas o transferir fondos a sus propias cuentas.

• Daño Reputacional: Si los clientes experimentan acceso no autorizado a sus cuentas o actividades fraudulentas, pueden perder confianza en la capacidad de la empresa para proteger su información sensible. Esto puede resultar en reseñas negativas, pérdida de clientes y daño a la reputación de la empresa.

• Problemas Legales y de Cumplimiento: Dependiendo de la naturaleza del ataque y la industria, las empresas pueden estar sujetas a investigaciones regulatorias y enfrentar sanciones o multas por no proteger adecuadamente la información del cliente: según el GDPR (Reglamento General de Protección de Datos), las empresas pueden enfrentar multas de hasta 20 millones de euros o el 4% de la facturación global anual.

Interrupciones Operativas: Las organizaciones pueden necesitar invertir tiempo y recursos significativos en investigar los ataques, implementar medidas de seguridad adicionales y gestionar consultas y soporte al cliente.

Obviamente, es de su mejor interés proteger a sus usuarios del robo de identidad. Sin embargo, equivocarse en sus medidas de protección puede causar demasiada fricción para sus usuarios, lo que significa menos satisfacción del cliente y una mayor probabilidad de pérdida de clientes.

El objetivo principal de la ATO: una cuenta bancaria

Según investigaciones recientes, los inicios de sesión en banca online se están vendiendo en los mercados de la darknet por un precio promedio de 40 dólares por cuenta.

El valor de una cuenta bancaria en el mercado de la darknet puede variar según el historial de transacciones de la cuenta, el saldo de la cuenta y las prácticas de seguridad del banco.

Por ejemplo, cuentas con un saldo de 3,000 dólares de bancos importantes como Bank of America, JPMorgan Chase y Wells Fargo se vendieron por 300 dólares, mientras que los datos de inicio de sesión de otros bancos se han vendido por tan solo 5 dólares.

Como la revolución fintech ha hecho que mover dinero sea más fácil que nunca, estas cuentas financieras online se han convertido en un objetivo principal para el robo de identidad.

Para protegerse adecuadamente contra la ATO, las fintechs deben comprender los métodos que los estafadores usan para acceder a las cuentas de los usuarios. Las organizaciones que ofrecen servicios financieros en línea deben estar al tanto de las tácticas emergentes de ciberdelito, que avanzan continuamente para evadir las medidas de seguridad.

¿Cómo funciona la ATO? Un análisis más profundo

Los ataques de toma de control de cuentas se han vuelto cada vez más sofisticados y prevalentes en los últimos 5-10 años, con los estafadores evolucionando continuamente sus técnicas.

En general, el fraude de toma de control de cuentas involucra a estafadores ganando acceso no autorizado a cuentas de usuarios y tomando control de ellas con propósitos maliciosos. Estos ataques generalmente comienzan con la adquisición de credenciales de inicio de sesión mediante varios métodos como el phishing, la ingeniería social, o el uso de aplicaciones maliciosas.

Las brechas de datos también son un recurso para los ciberdelincuentes, facilitando el acceso automático a cuentas online con credenciales robadas.

Una vez que los estafadores han obtenido los detalles de inicio de sesión, los utilizan para iniciar sesión en las cuentas objetivo. En algunos casos, pueden emplear técnicas de fuerza bruta como el "relleno de credenciales" o ataques de diccionario para obtener acceso.

Los ataques de relleno de credenciales o de diccionario son una manera automatizada de abrir una gran cantidad de cuentas utilizando detalles de inicio de sesión obtenidos de varias brechas de datos, lo cual inevitablemente da resultados debido al hábito común de reutilización de contraseñas entre los usuarios.

Una vez dentro, los estafadores a menudo cambian los detalles de la cuenta, como contraseñas e información de contacto. Al hacer esto, el estafador bloquea al usuario legítimo y le dificulta recuperar el control de su cuenta.

Con el control de la cuenta online, los estafadores pueden realizar transacciones no autorizadas, explotar información personal, o incluso vender cuentas bancarias robadas y credenciales en la web oscura.

Además, los estafadores también han comenzado a utilizar técnicas avanzadas como el spear-phishing, donde adaptan su ataque a individuos u organizaciones específicas para aumentar sus posibilidades de éxito. También pueden emplear tácticas de ingeniería social, como hacerse pasar por agentes de soporte al cliente o enviar alertas de seguridad falsas para engañar a los usuarios y que revelen sus credenciales de inicio de sesión.

Ejemplo de ataque de phishing de la FTC

Ahora echemos un vistazo a algunas de las mejores prácticas en uso hoy en día, y cómo hemos evolucionado de restablecer contraseñas cada pocos meses a formas más sutiles, pero eficientes, de prevenir la toma de control de cuentas.

Prevención de la toma de control de cuentas: de contraseñas a confianza y riesgo adaptativos continuos

La evolución de la protección de cuentas de las contraseñas al modelo de confianza adaptativa continua representa un cambio en el enfoque hacia la ciberseguridad, centrado en la evaluación de riesgos en tiempo real y la toma de decisiones adaptativas.

Tradicionalmente, la protección de cuentas ha dependido enormemente de las contraseñas como el método principal de autenticación. Sin embargo, con la creciente sofisticación de las amenazas cibernéticas y las vulnerabilidades asociadas a la autenticación basada en contraseñas, han surgido nuevos enfoques para mejorar la seguridad.

El modelo de confianza adaptativa continua, también conocido como Evaluación de Riesgo y Confianza Adaptativa Continua (CARTA), enfatiza las evaluaciones de ciberseguridad continuas y la toma de decisiones contextuales basadas en evaluaciones adaptativas de riesgo y confianza.

Este modelo reconoce que los niveles de riesgo y confianza no son estáticos, sino que cambian dinámicamente según diversos factores como el comportamiento del usuario, las condiciones de la red y la inteligencia de amenazas.

En lugar de depender únicamente de las contraseñas, el modelo de confianza adaptativa continua incorpora la autenticación multifactor, el análisis de comportamiento, y algoritmos de aprendizaje automático para evaluar el riesgo y la confiabilidad de las actividades de los usuarios.

Además, las medidas de seguridad avanzadas monitorean y evalúan continuamente el comportamiento del usuario, las actividades de la red y la información contextual en tiempo real para detectar anomalías y potenciales amenazas de seguridad.

Permite a las organizaciones ajustar dinámicamente las medidas de seguridad en función de la postura de riesgo actual, lo que permite un enfoque de seguridad más proactivo y ágil.

El software anti-fraude moderno, como Oscilar permite tener en cuenta tanto los datos históricos como los datos en tiempo real para aplicar autenticación basada en riesgos a sus usuarios, equilibrando cuidadosamente entre prevenir el fraude de toma de control de cuentas sin introducir demasiada fricción para sus usuarios.

Trampas de la Autenticación Multi-Factor

La autenticación multifactor (MFA) generalmente se considera un método de autenticación más seguro en comparación con depender únicamente de contraseñas. Sin embargo, todavía existen debilidades en la MFA que los estafadores pueden explotar.

A continuación se presentan algunas debilidades comunes y ejemplos de cómo los estafadores abusan de la MFA:

• Ataques de ingeniería social: Los estafadores pueden manipular a individuos para proporcionar sus códigos MFA y eludir el proceso de autenticación. Pueden hacerse pasar por una entidad confiable y engañar a los usuarios para que revelen sus credenciales de autenticación a través de correos electrónicos de phishing, llamadas telefónicas, o sitios web maliciosos.

• Vulnerabilidades de SMS: El uso de SMS para entregar códigos MFA puede ser explotado. Los estafadores pueden interceptar mensajes SMS a través de SIM swapping, donde convencen a un operador móvil para transferir el número de teléfono de una víctima a un dispositivo bajo su control. Esto les permite recibir los códigos MFA y eludir el proceso de autenticación.

• Phishing y malware: Los estafadores pueden usar técnicas de phishing para engañar a los usuarios y que proporcionen sus credenciales MFA en sitios web fraudulentos. También pueden infectar dispositivos con malware que capture códigos MFA o registre de forma secreta las interacciones del usuario, otorgándoles acceso a las credenciales de autenticación.

• Compromisos de dispositivos: Si un dispositivo del usuario está comprometido, los estafadores pueden obtener acceso no autorizado a los códigos MFA o interceptar la comunicación entre el dispositivo y el servidor de autenticación. Esto puede hacerse a través de malware, registradores de teclas, u otras técnicas que exploten vulnerabilidades en el sistema operativo del dispositivo o aplicaciones.

• Error humano: Los usuarios pueden menoscabar sin querer la seguridad de la MFA al reutilizar contraseñas, compartir credenciales de autenticación, o no asegurar sus dispositivos adecuadamente. Estas acciones pueden proporcionar oportunidades a los estafadores para obtener acceso no autorizado.

Como ejemplo, los atacantes confían cada vez más en abusar de lo que se conoce como 'fatiga MFA', bombardeando continuamente a la víctima con notificaciones push, quien termina entregando su código al atacante solo para hacer que las notificaciones desaparezcan.

Es importante tener en cuenta estas debilidades al implementar MFA, por lo que las organizaciones e individuos deberían considerar seguir prácticas "óptimas" adicionales que han sido adoptadas en distintas industrias.

Las 4 mejores prácticas para detectar y prevenir el fraude de toma de control de cuentas

1. Implementar métodos más seguros de MFA, como tokens de hardware o aplicaciones de autenticación, que son menos susceptibles a las vulnerabilidades de SMS.

2. Educar a los usuarios sobre técnicas de ingeniería social y la importancia de verificar la autenticidad de solicitudes de códigos MFA o información personal.

3. Evitar el uso de contraseñas que se sabe están asociadas con brechas de datos.

4. Monitorear y analizar regularmente registros y alertas de seguridad para cualquier actividad sospechosa que pueda indicar intentos de toma de control de cuentas.

Además, cualquier software que utilice para prevenir tomas de control de cuentas, su equipo de riesgos o de seguridad y confianza debería estar habilitado para intervenir rápidamente cuando sea necesario.

Su motor de decisión debería permitir la modificación de los viajes del usuario basándose en señales de riesgo que se descubren en tiempo real, sin la necesidad de depender de sus equipos de ciberseguridad o de desarrolladores en un momento crítico.

La importancia de la detección y prevención de fraudes en tiempo real

Los sistemas de detección de fraudes en tiempo real desempeñan un papel crucial en la prevención del fraude de toma de control de cuentas (ATO). La ATO ocurre cuando un ciberdelincuente toma control de una cuenta legítima y la utiliza con fines maliciosos.

Los sistemas de detección de fraudes en tiempo real monitorean continuamente las actividades de los usuarios e identifican patrones que son consistentes con comportamientos fraudulentos. Pueden detectar rápidamente e impedir intentos de inicio de sesión no autorizados, evitando que los atacantes accedan a cuentas y roben información sensible.

Los sistemas de detección de fraudes en tiempo real utilizan varias técnicas para detectar actividades fraudulentas, como el reconocimiento de dispositivos, biometría de comportamiento, aprendizaje automático e inteligencia artificial.

Estas técnicas ayudan a crear un perfil integral del comportamiento legítimo del usuario e identificar desviaciones del mismo. Cuando se detecta una desviación, el sistema puede tomar medidas inmediatas para prevenir un mayor acceso no autorizado y alertar a los propietarios o administradores de la cuenta.

Uno de los principales beneficios de los sistemas de detección de fraudes en tiempo real es que reducen la ventana de exposición al fraude. Al detectar e impedir actividades fraudulentas en tiempo real, estos sistemas limitan el tiempo que los atacantes tienen para causar daño.

También proporcionan un mecanismo de defensa proactivo que puede prevenir el fraude de identidad antes de que ocurra, en lugar de depender de esfuerzos de remediación reactivos después de que el ataque ya haya tenido lugar.

Además, los sistemas de detección de fraudes en tiempo real pueden ayudar a reducir los falsos positivos y minimizar la fricción con el cliente. Al estudiar continuamente el comportamiento del usuario, estos sistemas pueden identificar intentos legítimos de inicio de sesión y diferenciarlos de actividades sospechosas.

Esto reduce la cantidad de falsos positivos y garantiza que los clientes genuinos puedan acceder a sus cuentas con mínima fricción.

En general, los sistemas de detección de fraudes en tiempo real son un componente crítico de cualquier estrategia efectiva de prevención de fraudes de toma de control de cuentas. Proporcionan una defensa proactiva contra fraudes, reducen la ventana de exposición y minimizan los falsos positivos y la fricción con el cliente.

Monitoreo de actividad de cuenta y perfilado de usuario

El monitoreo de actividad de cuenta y el perfilado de usuario son cruciales para prevenir el fraude de toma de control de cuentas, ya que ayudan a detectar comportamientos sospechosos o anormales que pueden indicar que un atacante ha accedido a una cuenta.

El monitoreo de actividad de cuenta implica el seguimiento continuo de las interacciones de usuario y el análisis de patrones para detectar cambios que puedan indicar actividad maliciosa. Por otro lado, el perfilado de usuario implica analizar el comportamiento del usuario para construir una línea base de comportamiento normal y señalar cualquier desviación de ese comportamiento.

Al implementar estas técnicas, las organizaciones pueden identificar actividades sospechosas y responder rápidamente para prevenir más accesos no autorizados.

El perfilado de usuario puede ayudar a detectar señales de advertencia tempranas de un intento de ataque de toma de control de cuenta, como cambios en los tiempos de inicio de sesión, ubicaciones geográficas inusuales, o tipos de transacciones inusuales. El monitoreo y análisis en tiempo real de la actividad del usuario también puede proporcionar información sobre actividades fraudulentas, como ataques automatizados de bots o intentos de fuerza bruta.

En general, el monitoreo de actividad de cuenta y el perfilado de usuario son esenciales para prevenir el robo de identidad y el fraude de toma de control de cuentas, proporcionando a las organizaciones la capacidad de detectar y responder rápidamente a actividades sospechosas. Aunque la implementación de tal monitoreo y perfilado puede ser compleja y requerir recursos, los beneficios de la detección temprana y la prevención superan con creces el costo.

Conclusión

El fraude de toma de control de cuentas sigue siendo una de las principales amenazas para las empresas que dependen de que sus usuarios tengan cuentas online, especialmente las fintech.

En Oscilar estamos construyendo la próxima generación de plataformas de operación de riesgo. Esta solución sin código otorga autonomía a los equipos de riesgo, permitiéndoles estar a la vanguardia en la lucha contra los estafadores y proteger las cuentas de sus usuarios.

Si tiene curiosidad por saber cómo funciona nuestra solución, considere reservar una demostración a continuación.