¿Qué es un Fraude de Apropiación de Cuenta?
La apropiación de cuenta (ATO) es una forma de fraude en la que los estafadores acceden y toman el control ilícitamente de las cuentas de los usuarios. Una vez que el estafador obtiene el control de una cuenta, puede participar en una serie de actividades, que incluyen transacciones financieras no autorizadas, cambios en la configuración de la cuenta para excluir al propietario legítimo, acceso a información personal sensible o incluso usar la cuenta comprometida para hacerse pasar por el propietario en actividades fraudulentas adicionales.
El fraude de ATO representa una amenaza significativa tanto para individuos como para empresas, ya que puede provocar pérdidas financieras, robo de identidad y varias otras formas de delitos cibernéticos.
¿Cómo funciona el Account Takeover?
La clave para un ataque de apropiación de cuenta exitoso es obtener los detalles de inicio de sesión de una cuenta o ganar acceso remoto a los dispositivos de los usuarios. Aquí hay algunas de las tácticas que los estafadores utilizan para llevar a cabo ATO:
Explotando permisos de accesibilidad: Esto implica aprovechar las características diseñadas para ayudar a los usuarios en los teléfonos inteligentes, especialmente aquellos con discapacidades. Estas características requieren que los usuarios otorguen permisos de accesibilidad, dando a las aplicaciones un amplio acceso a sus dispositivos. Aunque esenciales para algunos usuarios, estos permisos pueden ser mal utilizados por los estafadores para actividades maliciosas. Esto les permite tomar el control del dispositivo, pudiendo monitorear la pantalla del dispositivo de forma remota, lo que el usuario escribe, además de tener acceso a todas las aplicaciones instaladas. Durante este control, el estafador accede a la lista de aplicaciones disponibles en el teléfono de la víctima, recopilando datos que el usuario escribe o muestra, como credenciales de inicio de sesión, contraseñas y números de tarjetas de crédito. El estafador también intercepta códigos de autenticación. Armado con esta información, el estafador se infiltra en la cuenta bancaria de la víctima, realizando transacciones fraudulentas y robando fondos.
Ataques de Ingeniería Social: Los estafadores manipulan a los usuarios para que compartan sus credenciales de inicio de sesión, siendo la forma más común de ingeniería social el phishing o spear-phishing. En estos ataques, los delincuentes envían mensajes o correos electrónicos que parecen ser de fuentes legítimas, como bancos u organizaciones de confianza. Estos mensajes a menudo contienen enlaces a sitios/aplicaciones falsos creados para recopilar información confidencial o para engañar al usuario para que instale malware. Armado con las credenciales de la víctima, el estafador toma el control de su cuenta bancaria.
Ataque de Fuerza Bruta: El estafador intenta violar una contraseña o nombre de usuario usando un enfoque de prueba y error y esperando que, en algún momento, sea posible adivinarla. También pueden usar herramientas que ayuden a automatizar el ataque;
Credential stuffing: Los estafadores usan bots para probar combinaciones de nombres de usuario y contraseñas en varios sitios. Un ejemplo: pueden probar las credenciales de una cuenta de comercio electrónico en la cuenta bancaria. Esto se debe a que las personas suelen reutilizar sus contraseñas en diferentes plataformas, lo que significa que si una cuenta es comprometida, las demás también corren riesgo.
Credential stuffing: Los estafadores usan bots para probar combinaciones de nombres de usuario y contraseñas en varios sitios. Un ejemplo: pueden probar las credenciales de una cuenta de comercio electrónico en la cuenta bancaria. Esto se debe a que las personas suelen reutilizar sus contraseñas en diferentes plataformas, lo que significa que si una cuenta es comprometida, las demás también corren riesgo.
7 Señales de Fraude de Apropiación de Cuenta
Reconocer las señales de fraude de apropiación de cuenta es crucial para proteger su ecosistema y las cuentas de sus usuarios.
Aquí hay 7 señales claras de ATO en su plataforma:
Múltiples cuentas accedidas desde un único dispositivo
Normalmente, todas las cuentas tomadas están asociadas con un solo dispositivo operado por el estafador. Según nuestra experiencia, ya sea que se trate de diez mil cuentas o solo cinco cuentas vinculadas al mismo dispositivo, este comportamiento del usuario es motivo suficiente para justificar una investigación más profunda.
Dispositivos desconocidos
La aparición repentina de dispositivos no reconocidos conectados a la misma cuenta o múltiples inicios de sesión desde diferentes ubicaciones en un corto período de tiempo indican posibles signos de un ataque de apropiación de cuenta.
Múltiples cuentas que muestran información similar
Una vez que los estafadores obtienen acceso a las credenciales, buscan tomar el control de la cuenta y evitar que los usuarios la recuperen. Para lograrlo, cambian las credenciales, números de teléfono y direcciones de correo electrónico, todo para evitar que el propietario de la cuenta sea notificado y recupere el acceso. Por ejemplo, si 20 usuarios actualizan repentinamente sus detalles de contacto al mismo número en el mismo día, esto podría indicar un posible ATO.
Actividad de cuenta inusual
Cambios repentinos e inesperados en la configuración de la cuenta, como dirección de correo electrónico, contraseña o información de contacto, representan una clara señal de un ataque de toma de cuenta.
Aquí tienes un ejemplo de cómo la actividad inusual de la cuenta puede ser un indicio de un ataque de ATO:
- El cliente actualiza los detalles de contacto;
- Dentro de 24 horas, el usuario inicia sesión desde un nuevo dispositivo;
- El cliente realiza una compra con una nueva dirección de entrega.
Comportamiento de cuenta inusual
Otro indicador de un ataque de ATO es cuando la cuenta experimenta un cambio en el comportamiento, mostrando patrones de uso distintos, actividades de compra inusuales o llevando a cabo acciones que difieren del comportamiento típico del propietario legítimo de la cuenta.
Intentos de inicio de sesión fallidos
Los múltiples intentos de inicio de sesión fallidos también pueden ser sospechosos. Las organizaciones deben investigar los intentos de inicio de sesión repetidos (y todos sin éxito) como un indicador de ATO, generalmente son estafadores que intentan probar o adivinar credenciales.
Múltiples direcciones IP
Otro indicio de un ataque de apropiación de cuenta es si hay múltiples intentos de inicio de sesión en una sola cuenta desde diferentes ubicaciones. Las empresas deben estar atentas si observan cambios rápidos en la geolocalización de un dispositivo en un corto período de tiempo.
Además, los clientes normalmente acceden a los servicios desde unas pocas ubicaciones comunes, como el hogar y el trabajo, y suelen utilizar el mismo dispositivo. Si un cliente inicia sesión desde más direcciones IP de lo habitual, generalmente es un indicador de ATO.
Detección y Prevención de Fraudes de Toma de Cuentas
Detectar ataques de toma de cuentas es un desafío para las empresas. El enfoque más efectivo implica identificar cada dispositivo físico utilizado para acceder a la plataforma, descubrir cuándo un estafador intenta ocultar la huella digital del dispositivo o restablecerlo para que parezca nuevo, y también monitorear la actividad de la cuenta y analizar el comportamiento del usuario en tiempo real. Esto subraya la necesidad de que las empresas inviertan en soluciones avanzadas de detección y prevención de fraudes capaces de:
- Identificar dispositivos y configuraciones sospechosas en tiempo real que indiquen que alguien está intentando falsificar un dispositivo para acceder a una cuenta;
- Proporcionar lo último en algoritmos de IA y aprendizaje automático, lo que permite procesar grandes cantidades de datos en tiempo real, incluidos los datos del dispositivo, de la red, datos de comportamiento y patrones históricos, para ofrecer información accionable;
- Analizar el comportamiento del usuario en tiempo real e identificar herramientas maliciosas que puedan ser utilizadas por ellos para llevar a cabo actividades fraudulentas;
- Garantizar un enfoque proactivo contra nuevos y desconocidos ataques de fraude.
Cómo SHIELD protege a las empresas y las cuentas de sus usuarios de los ataques de ATO
Proteger su aplicación y las cuentas de sus clientes contra fraudes de toma de cuentas es crucial, e implica implementar software de detección y prevención de fraudes con un enfoque proactivo para combatir la amenaza en constante evolución.
La tecnología de SHIELD, basada en dispositivos, se impulsa mediante la tecnología de huella digital de dispositivos más avanzada y los últimos algoritmos de IA y aprendizaje automático. Identifica el fraude en su raíz y analiza miles de dispositivos, redes y datos de comportamiento para proporcionar información accionable en tiempo real. La solución permite la detección de intentos de toma de cuentas mediante la combinación de las siguientes características:
SHIELD Device ID
Identifica con precisión cada dispositivo físico utilizado para acceder a su aplicación. Es extremadamente preciso y persistente, detectando cuando un estafador intenta ocultar la huella digital del dispositivo o restablecerlo para que parezca nuevo. Nuestra tecnología de huella digital de dispositivos es fundamental para detectar y eliminar ataques de ATO. Señala dispositivos y configuraciones sospechosas que indican que alguien está intentando falsificar un dispositivo para acceder a una cuenta.
SHIELD Risk Intelligence
Con SHIELD Risk Intelligence, monitoreamos continuamente cada sesión del dispositivo, identificando cuándo un buen usuario muestra signos de comportamiento fraudulento. La función detecta cuándo se están utilizando herramientas maliciosas comúnmente utilizadas para realizar ataques de toma de cuentas, como emuladores, comparticiones de pantalla y clonadores de aplicaciones.SHIELD también permite que las plataformas en línea se mantengan proactivas contra nuevos y desconocidos ataques de fraude con nuestra Red de Inteligencia Global, una biblioteca continuamente actualizada con todos los patrones de fraude que hemos visto, así como las últimas técnicas maliciosas. Nuestra IA actualiza constantemente esta biblioteca con nuevas herramientas y técnicas maliciosas, incluidos proxies, VPN, herramientas TOR, así como direcciones IP maliciosas, antes de que se vuelvan comunes, garantizando un enfoque proactivo para la prevención de fraudes.
Descubre cómo la tecnología de SHIELD puede proteger tu plataforma contra los ataques de toma de cuentas. Agende su demostración
