¿Qué es el fraude de adquisición de cuenta (ATO)?
La adquisición de cuenta o ATO es una problemática que está a la orden del día. En la siguiente guía te contamos qué es, cómo identificarlo y cómo protegerte.
¿Qué es la adquisición de cuenta (ATO)? ¿Cómo ocurre la adquisición de la cuenta?
Antes de nada, ¿qué es el fraude de apropiación de cuenta? La adquisición de cuenta (ATO) o account takeover permite a un atacante acceder a los datos y a los privilegios que van asociados a una cuenta que ha sido comprometida.
El hacker puede conseguir el acceso explotando ciertas vulnerabilidades con técnicas de ingeniería social, como un exploit tipo phishing. En esta técnica, el atacante se hace pasar por otra persona o empresa para engañar al propietario de la cuenta y conseguir que desvele sus datos de acceso.
El atacante también puede emplear algún que otro cebo para atraer a la víctima, obsequiando por ejemplo con una serie de recompensas si revisa los detalles de su cuenta. En el momento en el que accede captura sus datos y accede a su cuenta.
La adquisición de cuentas ha ido evolucionado conforme han pasado los años. Hace años lo más común era que el pirata adivinara las credenciales del usuario usando contraseñas sencillas como “1234” o directamente accedía por fuerza bruta para adivinar las claves. Sin embargo, esto se podía corregir con la autenticación de múltiples factores (MFA).
Claro que, MFA no es suficiente para excitar este tipo de adquisición de cuenta (ATO). Ahora el atacante sabe cómo engañar al propietario haciéndose pasar por la empresa responsable con el objetivo de acceder a la cuenta de forma instantánea.
Es una problemática que puede afectar a cuentas privadas y corporativas, que cada vez sufren más ataques ATO o de account takeover.
Tipos de account takeover
Existen distintos tipos de account takeover o ATO, a continuación desglosamos los más comunes:
- Ataque de relleno de credenciales: la realidad es que existen contraseñas filtradas en línea a la venta y que los atacantes pueden probar en distintos sitios web. Estas contraseñas provienen de sitios web que han sido hackeados, por eso es recomendable que el usuario cambie las contraseñas periódicamente y utilice diferentes password según el sitio web. Si el atacante compra listas con credenciales puede probar en distintas webs para acceder con los datos del usuario y haciéndose pasar por él.
- Intercambio de SIM: en el momento en el que un usuario compra un nuevo smartphone, el operador le puede ofrecer una SIM. El ataque llega cuando el atacante trata de transferir el número de teléfono de la víctima a una nueva SIM. Es algo que el atacante puede conseguir contactando con el operador de telefonía del usuario y se hace pasar por otra persona. ¿Por qué se utiliza este ataque? Porque muchos procesos de la banca requieren de autenticación por mensajes de texto, con lo cual podrían realizar transacciones fraudulentas.
- Phishing: es uno de los métodos más frecuentes. Puede ser en forma de adquisición de cuenta de correo o suplantación de identidad. En este método, el estafador se hace pasar por un negocio que la víctima utiliza para tratar de que haga clic en un determinado enlace fraudulento y escriba sus datos en una página de inicio de sesión falsa pero que es igual a la original. De esta forma el atacante puede capturar los datos de inicio de sesión de la víctima.
- Malware: otro tipo común pasa por instalar un software malicioso en el ordenador o móvil de la víctima. Para ello el atacante tiene que tratar de conseguir que la víctima haga clic en un archivo desconocido e instale esta aplicación. Si se trata de un keylogger podría guardar todo lo que el usuario introduzca por teclado, es decir, todas sus contraseñas (por ejemplo).
- MitM: los ataques tipo man-in-the-middle también están a la orden del día. En este ataque se puede proceder al configurar una WiFi pública que en realidad es maliciosa y a la que el usuario se conecta. En el momento en el que se conecta y transfiere sus datos usando la WiFi, el atacante está teniendo acceso a ellos y sin que la víctima lo sepa.
- Fraude del centro de llamadas: en este tipo de ataque el estafador contacta con la víctima y le pide verificar el PIN o las preguntas de seguridad. La víctima le da al estafador esta información porque cree que detrás del teléfono está un responsable de la empresa.
Conocer estos tipos de ato fraud te ayudará a evitar caer en este tipo de trampas, porque están completamente a la orden del día y le puede ocurrir a cualquier persona, particular o empresa.
¿Es la adquisición de cuenta una forma de robo de identidad?
La realidad es que el account takeover puede ser visto como una forma de robo de identidad. Esto es debido a su funcionamiento, dado que el estafador no solo obtiene acceso a las cuentas de las víctimas, sino que realiza cambios en el nombre de la víctima y se hace pasar por otra persona para conseguir sus fines.
En muchos casos, fines económicos, con lo cual supone una pérdida financiera para la víctima. El acceso a dichos datos y el robo de identidad suele llevar asociados fines bancarios, con lo cual es muy importante conocer esta información para ir un paso por delante de los estafadores.
¿Cuáles son los signos de apropiación de cuenta?
Aparte de conocer los tipos más habituales que siguen los estafadores para el ATO, es fundamental saber cómo ocurre la apropiación de una cuenta.
Lo primero que debes hacer es detectar si estás siendo una víctima de apropiación de cuenta. Esto se puede lograr con el monitoreo continuo, un sistema que permite detectar fraudes analizando la actividad del usuario antes, durante y después de una transacción.
Por ejemplo, si de repente un usuario accede, añade un nuevo beneficiario y saca dinero, puede resultar sospechoso. Al igual que si se accede en cuestión de minutos desde distintas ubicaciones muy lejanas.
Supervisar este tipo de pasos que haría el estafador nos puede ayudar a identificar patrones de comportamiento de fraude. Por lo que si existe riesgo de fraude ATO, el sistema de prevención de fraude puede requerir de una solicitud de autenticación adicional, mediante la cual el atacante ya no podría seguir.
Si se solicita un mayor nivel de autenticación en el momento en el que el sistema detecta una actividad sospechosa, se reducirá el riesgo de sufrir fraude ATO. Por ejemplo, se podría implementar un control biométrico mediante escaneo facial. Esto es algo que un estafador no podría hacer, con lo cual nos puede ayudar a parar cualquier posible intento de fraude con éxito.
¿Por qué son un riesgo para las empresas?
El ATO fraud es un riesgo para las empresas porque puede suponer pérdidas millonarias, así como la pérdida de confianza por parte de los clientes. Por eso es tan importante implementar sistemas de control biométrico que añaden un extra de seguridad y que solo la persona que es quien dice ser pueda desbloquear.
¿Qué tipos de organizaciones son el objetivo de los ataques ATO?
La realidad es que los ataques ATO pueden afectar a distintos tipos de industrias, desde la industria financiera hasta la industria hotelera, pasando por el juego, etc.
Esto no quiere decir que cualquier otra industria esté a salvo, porque es una problemática que puede afectar a nivel particular o colaborativo.
¿Cuál es la diferencia entre el robo de identidad y la apropiación de una cuenta?
El robo de identidad y el ATO tienen víctimas y utilizan su información personal para cometer dichos fraudes. Claro que, la diferencia está en que ATO se limita únicamente a la apropiación de cuentas, mientras que el robo de identidad involucra toda la vida de la persona. No solo el acceso a una determinada cuenta.
En cualquier caso, ambas problemáticas están extendidas y pueden causar un grave problema para las víctimas. Causando no solo problemas económicos, sino también de salud. Por eso es importante saber cómo mantenerse seguro de identificar posibles actividades sospechosas conociendo el modus operandi del atacante.
Pero ojo, porque no siempre tiene la culpa el individuo. Las filtraciones de datos de las empresas también pueden llevar al robo de identidad y a otro tipo de delitos. Por eso es tan importante tratar de mantener las contraseñas actualizadas y elegir sistemas de doble autenticación siempre que sea posible.
¿Cuál es el método recomendado para detectar la apropiación de una cuenta? ¿Cómo prevenirlo?
En Alice Biometrics disponemos de soluciones que te ayudan a proteger las cuentas de los usuarios y detectar el fraude de apropiación de cuentas. Lo hacemos posible con una solución de verificación de identidad para verificar nuevos usuarios.
Se trata de un software que emplea la biometría facial y que permite comprobar que el usuario es quien dice ser. Al identificarlo, se puede ir un paso por delante respecto a las contraseñas convencionales y a los códigos de acceso que puedan llegar a los móviles de los clientes.
Es un método seguro que contribuye a bloquear el acceso de los posibles estafadores a una determinada cuenta para evitar que puedan hacer ciertos cambios en la cuenta o intentar hacer un pago.
¿Te ha quedado alguna duda sobre cómo evitar la apropiación de una cuenta? Recuerda que podemos ayudarte.