El ataque de apropiación de cuentas: qué es y cómo combatirla

El ataque de apropiación de cuentas es un tipo de actividad cibernética maliciosa en la que una parte no autorizada obtiene control parcial o total sobre la cuenta legítima de un usuario. Y a diferencia del hacking por fuerza bruta, ATO se basa en la decepción, utilizando una combinación de información robada y vulnerabilidades del sistema para pasar desapercibida.

Es tentador pensar que el fraude de apropiación de cuentas es un problema de ciberseguridad de nicho, pero la realidad es algo diferente. Existen múltiples maneras en que ATO puede perjudicar a su organización, y todas son increíblemente dañinas:

• Los atacantes rara vez se detienen en una sola cuenta

ATO rara vez es un incidente aislado. Cuando los atacantes comprometen una cuenta determinada, a menudo utilizan la información dentro de ella para acceder a otros sistemas. De este modo, una cuenta de correo electrónico secuestrada puede revelar información lo suficientemente sensible como para descarrilar redes corporativas completas.

• El factor de monetización

Las cuentas robadas también pueden actuar fácilmente como mercancías, a menudo vendidas al por mayor en la dark web a otros delincuentes. Una vez que esto ocurre, se vuelve difícil predecir qué tipo de abuso encontrarán—los estafadores podrían desviar dinero directamente o utilizar la cuenta para lavar fondos, o incluso explotar su legitimidad para llevar a cabo estafas contra otros.

• Un arma en esquemas más amplios

Además del lavado de dinero, ATO ha sido utilizada en ataques de ransomware, espionaje corporativo y campañas de desinformación. La cuenta comprometida de un ejecutivo, por ejemplo, podría utilizarse para orquestar ataques de phishing contra sus propios empleados o filtrar propiedad intelectual sensible.

• Erosión de la confianza

Si bien la pérdida financiera suele ser el foco, no debe olvidar el daño reputacional. Cada fallo en la prevención de apropiación de cuentas desgasta la confianza en sus sistemas corporativos—algo que cualquier empresa o institución tarda años en construir.

No es ninguna sorpresa que algunas cuentas e industrias sean más propensas al fraude de apropiación de cuentas que otras. Los atacantes seleccionan cuidadosamente aquellas donde la recompensa es mayor y las defensas son más débiles—y aquí presentamos algunos ejemplos:

Como era de esperar, la apropiación de cuentas financieras es una de las más comunes, ya que ofrece la vía más directa para el robo de grandes sumas de dinero. Los actores maliciosos pueden atacar prácticamente cualquier cosa: sistemas bancarios internos, plataformas de trading, aplicaciones fintech, etc.

Preste especial atención a:

• Intercambios de criptomonedas: estas plataformas suelen registrar tasas más altas de ATO debido a sus transacciones irreversibles y a la falta de regulaciones estandarizadas.

• Servicios “compra ahora, paga después”: los atacantes explotan estos servicios relativamente nuevos, sabiendo que sus sistemas de detección del ataque de apropiación aún están madurando.

El sector minorista también es una prioridad para los ataques de apropiación debido al volumen masivo de cuentas de clientes asociadas a métodos de pago almacenados. Los hackers explotan estas cuentas para realizar pedidos fraudulentos, robar puntos de fidelidad o revender tarjetas de regalo.

Preste especial atención a:

• Picos estacionales: un aumento de ataques durante festivos o grandes eventos de venta es habitual—el incremento de tráfico dificulta la detección del fraude ATO.

• Sistemas omnicanal: integrar múltiples sistemas en uno solo crea más oportunidades de explotación si no se aplican las medidas de seguridad adecuadas.

Los historiales médicos pueden contener información con un alto valor en la internet oscura—como números de seguridad social o datos de seguros.

Preste especial atención a:

• Portales de pacientes: los atacantes los utilizan para robar identidades o cometer fraude médico.
• Ataques de ransomware: las cuentas comprometidas suelen ser el punto de entrada para desplegar ransomware, con efectos devastadores en la atención al paciente.

Las empresas tecnológicas, especialmente los proveedores de software como servicio (SaaS), corren un riesgo elevado porque los atacantes pueden—e incluso prefieren—acceder a múltiples cuentas de clientes mediante una sola brecha.

Preste especial atención a:

• Seguridad débil en APIs: dado que las plataformas SaaS se integran con otros servicios, las APIs que utilizan pueden convertirse en un objetivo atractivo.

• Cuentas de administrador: las cuentas de alto nivel suelen controlar el acceso de toda una organización, lo que hace que el impacto de una brecha sea catastrófico.

Las universidades y escuelas, con sus vastas bases de datos de estudiantes, personal e información de investigación, suelen pasarse por alto en las discusiones sobre ATO. Sin embargo, los atacantes han identificado sus vulnerabilidades y las explotan para:

• Acceder a datos de investigación o propiedad intelectual.

• Cometer robo de identidad utilizando información de estudiantes o empleados.

• Realizar fraude financiero a través de cuentas de matrícula o sistemas de nómina comprometidos.

• Suplantar a otro estudiante durante exámenes importantes.

Aunque los detalles varían, las cuentas y sectores vulnerables suelen compartir las siguientes características:

• Alto valor por cuenta: Cuanto mayor es el valor, mayor es el atractivo. Recuerde que el valor no se limita al dinero (como en la apropiación de cuentas bancarias)—también puede ser operativo o estratégico. Ejemplos comunes de esto último son las cuentas administrativas o empresariales.

• Volumen de cuentas: El acceso a millones de cuentas de usuario a la vez resulta muy tentador para los atacantes ATO.

• Autenticación débil: Los sistemas que dependen únicamente de contraseñas o métodos obsoletos (p. ej., SMS 2FA) presentan una oportunidad de ataque sencilla.

• Ecosistemas complejos: Muchos sistemas interconectados (por ejemplo, cadenas de suministro e integraciones de terceros) suelen tener dificultades para asegurar cada punto de acceso.

Ahora analicemos para qué debe prepararse exactamente.

Cada ataque de apropiación de cuentas se basa en dos componentes esenciales: la adquisición de información y la explotación del acceso.

Existen múltiples formas en que los atacantes pueden obtener información sensible en línea: brechas de datos, ingeniería social, extracción de datos y malware, entre otras.

Brechas de datos

Las brechas de datos han expuesto miles de millones de nombres de usuario, contraseñas y datos personales en los últimos años, creando un mercado clandestino en auge. Los atacantes a menudo compran grandes volúmenes de datos filtrados, buscando objetivos de alto valor o simplemente utilizándolos para ataques automatizados como el credential stuffing (que se analiza más adelante).

Sin embargo, muchos pasan por alto los peligros más sutiles de las brechas de datos:

• Correlación cruzada: Los atacantes pueden correlacionar datos filtrados de múltiples brechas para construir un perfil completo de una sola persona. Por ejemplo, podrían vincular un nombre de una filtración con información financiera de otra.

• Análisis de patrones de contraseñas: Las personas suelen reutilizar contraseñas con ligeras variaciones. Los atacantes pueden analizar las credenciales filtradas para predecir cómo los usuarios podrían modificar sus contraseñas.

Ingeniería social

Además de las brechas, los atacantes suelen engañar a los usuarios para que entreguen voluntariamente sus datos. Algunas de las técnicas modernas más comunes incluyen:

• Phishing de voz (vishing): Los estafadores llaman a las víctimas haciéndose pasar por instituciones de confianza y las convencen de revelar información sensible.

• SMiShing: En este caso, los mensajes de texto imitan comunicaciones oficiales (por ejemplo, notificaciones de entrega o alertas bancarias) y piden a los usuarios hacer clic en enlaces maliciosos o proporcionar datos personales.

• Pretexting: Esto implica escenarios cuidadosamente construidos para manipular la confianza—los atacantes pueden hacerse pasar por personal de TI y solicitar un restablecimiento de contraseña para resolver un “problema del sistema”.

Extracción de datos

Los atacantes también pueden recopilar información mediante inteligencia de fuentes abiertas (OSINT). Esto ayuda a los actores maliciosos a combinar perfiles de redes sociales y registros públicos para crear un perfil detallado de una persona. A su vez, estos conocimientos pueden hacer que los intentos de phishing sean mucho más convincentes.

Malware

Distintos tipos de malware pueden utilizarse para recopilar información de manera sigilosa. Los keyloggers pueden registrar todo lo que un usuario escribe, mientras que el spyware puede monitorear toda la actividad del usuario, capturando credenciales de inicio de sesión a medida que se introducen. El malware especializado en robo de credenciales, como Emotet y TrickBot, puede incluso operar a gran escala, infiltrándose en sistemas y extrayendo datos sin ser detectado durante semanas o meses.

Una vez que los atacantes disponen de la información necesaria, pasan a la fase de explotación. En esta etapa, utilizan las credenciales robadas o engañan a los sistemas para obtener acceso.

Analicemos en detalle algunos de los métodos más comunes.

Credential stuffing

Los atacantes utilizan herramientas automatizadas para probar miles o incluso millones de combinaciones de usuario y contraseña hasta lograr acceso. Y dado que muchas personas reutilizan sus contraseñas, incluso datos antiguos o parciales pueden ser extremadamente útiles para los actores maliciosos en sus actividades de credential stuffing.

Password spraying

Si el credential stuffing se enfoca en combinaciones específicas de nombre de usuario y contraseña, el password spraying hace lo contrario: los atacantes usan una sola contraseña (por ejemplo, password123) para múltiples cuentas. Aquí los atacantes intentan aprovechar comportamientos humanos previsibles y encuentran gran éxito en entornos con políticas débiles de prevención de apropiación de cuentas.

Secuestro de sesión

El secuestro de sesión consiste en interceptar un token de sesión activo—una credencial digital que mantiene a un usuario conectado a una plataforma. Esto puede lograrse mediante:

• Ataques de intermediario: Interceptar la comunicación entre el usuario y el servidor.

• Robo de tokens de sesión: Malware o vulnerabilidades del navegador utilizados para extraer cookies de sesión.

SIM swapping

Los atacantes pueden hacerse pasar por la víctima y convencer a los operadores móviles de transferir su número a una nueva tarjeta SIM. Una vez que toman el control, pueden interceptar códigos de autenticación de dos factores (2FA) y obtener acceso a cuentas que dependen exclusivamente de la verificación por SMS.

Entonces, ¿cómo prevenir la apropiación de cuentas? Ahora que sabemos qué esperar de los actores maliciosos, es momento de analizar las medidas necesarias para hacer que sus entornos sean resistentes a los ataques ATO.

Existe una amplia gama de soluciones de MFA que proporcionan protección adicional contra la apropiación de cuentas además de las contraseñas.

Naturalmente, existe la verificación basada en SMS, que utiliza mensajes de texto para entregar un código de autenticación de un solo uso, pero, como acabamos de comentar, puede ser vulnerable al SIM swapping. Como posible mejora, puede utilizar contraseñas de un solo uso basadas en tiempo (TOTP) a través de aplicaciones como Authy o tokens de hardware que proporcionan una seguridad más fuerte que los SMS.

Alternativamente, puede implementar sistemas que evalúen diferentes factores contextuales (ubicación, tipo de dispositivo, patrones de comportamiento) y ajusten la verificación en consecuencia. De esta manera, un intento de inicio de sesión desde un dispositivo nuevo podría activar una comprobación más rigurosa.

Aunque tener una contraseña segura es indispensable, esta no es la única práctica de protección contra la apropiación de cuentas que puede aplicar a este elemento de seguridad.

Debe fomentar cambios frecuentes de contraseña que generen de manera consistente contraseñas nuevas y completamente únicas. Si sus usuarios comienzan a mostrar patrones predecibles, incluso los cambios regulares harán muy poco.

Además, puede adoptar gestores de contraseñas que ayuden a los usuarios a generar contraseñas aleatorias y fuertes sin esfuerzo adicional de su parte.

Y asegúrese de implementar bloqueos de cuenta después de varios intentos fallidos de inicio de sesión.

La amenaza persistente de la apropiación de cuentas significa que debe autenticar y monitorear continuamente incluso a los usuarios y dispositivos internos, pero aún queda mucho por hacer.

Por ejemplo, puede microsegmentar sus redes de modo que, incluso si un segmento es vulnerado, el atacante no pueda acceder a todo su sistema. También debe procurar limitar los permisos de acceso a un modelo de “mínimo privilegio”, lo que significa que los usuarios solo pueden acceder a lo absolutamente necesario para su papel.

Además, existe un enfoque de zero trust para dispositivos móviles que exige que todos los dispositivos móviles sean examinados más exhaustivamente que cualquier otro. Cada vez que alguien solicite acceso a un sistema desde una aplicación móvil, dichas solicitudes deben ser verificadas minuciosamente.

Asegúrese también de implementar sistemas automatizados que suspendan temporalmente cualquier cuenta si se sospecha que ha sido comprometida, hasta que el usuario pueda verificar su identidad.

Para completar el conjunto de medidas de protección contra la apropiación de control de cuentas, debe incluir la comprobación de los rostros. Esta tecnología le permitirá confirmar la identidad de una persona comparando su rostro con las imágenes que haya recopilado previamente.

Con la ayuda de un motor de comparación biométrica preciso, no necesitará depender completamente de datos estáticos como contraseñas o códigos de autenticación. Y software como Regula Face SDK puede proporcionarle dicho motor. El sistema también está diseñado para manejar variaciones en la calidad de la imagen y las condiciones de iluminación, de modo que solo se acepte una transmisión en vivo genuina, con casi ninguna incidencia de falsos negativos.

Además, si los atacantes intentan explotar imágenes robadas, videos o incluso máscaras impresas en 3D, volverán a fracasar. La prueba de vida de Regula asegura que el usuario esté físicamente presente durante el proceso de autenticación. Puede examinar señales sutiles, como la reflexión de la luz en la piel o micro-movimientos naturales, para confirmar la presencia de un ser humano vivo.