¿Qué es la apropiación de cuenta?

¿Qué es la apropiación de cuenta?

La apropiación de cuenta, comúnmente abreviada como ATO (account takeover), es una forma de fraude en la que un delincuente obtiene acceso no autorizado a la cuenta de otra persona -- ya sea una cuenta bancaria, una cuenta de compras en línea, una cuenta de correo electrónico o cualquier otro tipo de cuenta que contenga valor o información personal. Una vez dentro, el estafador puede realizar compras, transferir fondos, cambiar los datos de la cuenta o robar información personal, todo mientras se hace pasar por el titular legítimo.

Es uno de los tipos de fraude que crece más rápido a nivel global, y no se limita a los canales en línea. La apropiación de cuenta puede ocurrir, y ocurre, a través de interacciones telefónicas, donde los estafadores llaman a las empresas haciéndose pasar por clientes para cambiar datos de la cuenta, solicitar reembolsos o realizar compras usando credenciales robadas.

Cómo ocurre la apropiación de cuenta

No hay un único método que los delincuentes utilicen para apoderarse de una cuenta. Más bien, emplean diversas técnicas, a menudo combinando varias en un solo ataque. Los métodos más comunes incluyen:

Credential stuffing (relleno de credenciales)

Cuando ocurren grandes filtraciones de datos -- y ocurren con frecuencia -- se filtran y venden en la dark web millones de combinaciones de usuario y contraseña. Mucha gente reutiliza la misma contraseña en varias cuentas. Los delincuentes aprovechan esto usando herramientas automatizadas para probar las credenciales robadas contra cientos de sitios y servicios distintos. Si usaste el mismo correo y contraseña para un foro que fue vulnerado y para tu cuenta de compras en línea, un estafador puede entrar a tu cuenta de compras sin ningún tipo de hackeo sofisticado.

Phishing e ingeniería social

Los correos, mensajes de texto y llamadas de phishing engañan a la gente para que revele sus credenciales, contraseñas de un solo uso o información personal. Estos ataques se han vuelto cada vez más sofisticados -- ya quedaron atrás los días de errores ortográficos evidentes y formatos descuidados. Los ataques de phishing modernos pueden ser casi indistinguibles de comunicaciones genuinas, y el phishing por voz (conocido como vishing) puede ser muy convincente, sobre todo cuando el atacante ya tiene cierta información personal del objetivo.

SIM swapping (intercambio de SIM)

En un ataque de SIM swap, el delincuente convence a la compañía de telefonía móvil para que transfiera el número de la víctima a una nueva tarjeta SIM. Una vez que controla el número, puede interceptar las contraseñas de un solo uso enviadas por SMS y usarlas para saltarse la autenticación de dos factores en las cuentas de la víctima. Esta técnica se ha utilizado en apropiaciones de cuenta muy mediáticas dirigidas a grandes sumas de dinero.

Malware y keyloggers

El software instalado en el dispositivo de la víctima sin su conocimiento puede capturar las credenciales mientras se escriben. Es menos común que el credential stuffing o el phishing, pero sigue siendo una amenaza real, en especial para empresas cuyos empleados acceden a sistemas sensibles desde dispositivos personales.

Por qué la apropiación de cuenta es tan dañina

Lo que hace que la apropiación de cuenta sea particularmente perjudicial es que el estafador actúa como un usuario autenticado. Desde la perspectiva del negocio, todo parece legítimo. Las credenciales son correctas, el historial de la cuenta es real y los métodos de pago registrados son genuinos. Esto vuelve al fraude por ATO extremadamente difícil de detectar con métodos tradicionales.

Para la víctima, la experiencia puede ser devastadora. Le roban dinero, se expone su información personal y el proceso de recuperar la cuenta y reparar el daño puede tomar semanas o meses. Para los negocios, los costos incluyen pérdidas financieras directas por transacciones fraudulentas, tarifas por contracargos, el gasto de investigar y resolver casos, y un grave daño reputacional cuando los clientes pierden la confianza.

Los estudios muestran de forma constante que la apropiación de cuenta es una de las formas de fraude más costosas para las empresas. El costo promedio de un incidente de ATO es varias veces mayor que el de una transacción fraudulenta típica, porque suele implicar varias compras antes de detectarse el fraude, y la investigación y la remediación son más complejas.

La apropiación de cuenta en los pagos telefónicos

El canal telefónico presenta vulnerabilidades únicas a la apropiación de cuenta. Cuando un cliente llama para hacer un pedido o gestionar su cuenta, el agente necesita verificar su identidad -- pero los métodos de verificación disponibles por teléfono son limitados. Normalmente, el agente pide información como el nombre del titular, la dirección, la fecha de nacimiento o los últimos dígitos de una tarjeta de pago. Si un estafador ha obtenido esta información (que a menudo está disponible en filtraciones de datos o redes sociales), puede pasar estas comprobaciones con facilidad.

Una vez que ha convencido al agente de que es el cliente legítimo, puede cambiar la dirección de envío, actualizar el método de pago, hacer compras o solicitar información sensible. Como la interacción ocurre en tiempo real con un agente humano, a menudo no hay un sistema automatizado que alerte sobre comportamientos inusuales como podría hacerlo una plataforma en línea.

Por eso es tan importante capacitar a los agentes de los centros de contacto para que reconozcan las señales de la apropiación de cuenta. Solicitudes inusuales, inconsistencias en la información del llamante, vacilación al responder preguntas de verificación e intentos de apurar al agente para saltarse los controles de seguridad son posibles señales de advertencia. Pero apoyarse solo en el criterio del agente no es suficiente -- las empresas necesitan enfoques sistemáticos de verificación de identidad en el canal telefónico.

Cómo protegerse contra la apropiación de cuenta

Una prevención eficaz del ATO requiere un enfoque por capas. Ninguna medida por sí sola es suficiente, pero en conjunto vuelven mucho más difícil que los estafadores tengan éxito:

• Autenticación multifactor (MFA) -- exigir al menos dos formas de verificación para acceder a la cuenta y realizar acciones sensibles. Las notificaciones push a una aplicación móvil son más seguras que los códigos SMS, que pueden interceptarse mediante SIM swapping
• Detección de anomalías -- monitorear comportamientos inusuales en la cuenta, como intentos de inicio de sesión desde ubicaciones nuevas, cambios en los datos de la cuenta o transacciones que no encajan con el patrón habitual del cliente
• Reconocimiento de dispositivo -- identificar y marcar los intentos de inicio de sesión desde dispositivos no reconocidos
• Monitoreo de credenciales -- verificar de forma proactiva si las credenciales de tus clientes han aparecido en filtraciones de datos conocidas y pedirles a los afectados que cambien sus contraseñas
• Limitación de tasa (rate limiting) -- restringir el número de intentos de inicio de sesión desde una misma dirección IP para volver impracticables los ataques de credential stuffing
• Capacitación de agentes -- para los canales telefónicos, asegurarse de que los agentes estén formados para detectar tácticas de ingeniería social y de que sigan procedimientos estrictos de verificación que no puedan saltarse por la insistencia del llamante
• Soluciones de telefonía seguras -- para los pagos por teléfono, usar sistemas que mantengan los datos sensibles fuera del alcance del agente reduce el riesgo incluso si una cuenta queda comprometida

El panorama regulatorio

La apropiación de cuenta se cruza con varios marcos regulatorios. Bajo el RGPD (y la Ley de Protección de Datos del Reino Unido de 2018), las empresas tienen la obligación de proteger los datos personales, y un ataque de ATO exitoso que exponga información del cliente puede constituir una filtración de datos que deba notificarse. Los requisitos de autenticación reforzada de cliente de la PSD2 están diseñados, en parte, para combatir el ATO al exigir autenticación multifactor en los pagos electrónicos. El cumplimiento de PCI DSS también es relevante, porque las cuentas comprometidas suelen derivar en transacciones con tarjeta no autorizadas.

Las empresas que no tomen medidas razonables para prevenir la apropiación de cuenta pueden enfrentar sanciones regulatorias, además de los costos directos del propio fraude. La dirección de la regulación apunta claramente hacia trasladar más responsabilidad a las empresas para proteger las cuentas de sus clientes.