Los ataques de apropiación de cuentas (ATO por sus siglas en inglés) tienen como objetivo tomar el control de alguna de la cuentas o plataformas a las que tiene acceso un usuario, ya sea para realizar fraudes de forma directa o como vehículo para ingresar a información empresarial más valiosa. Para lograrlo, el delincuente hace uso de phishing, malware, llamadas telefónicas fraudulentas, keyloggers y otras. Incluso, puede llegar a comprometerse cuentas mediante troyanos de acceso remoto.
Cuando consigue robar las credenciales de la cuenta, el atacante tiene acceso a esta pero intenta enmascarar sus actividades, para que los responsables o la víctima tarden el mayor tiempo posible en darse cuenta. El cibercriminal puede llegar a utilizar las credenciales obtenidas para modificar el sistema de doble autenticación y mantener durante más tiempo el control.
De acuerdo con el CSIRT Financiero de Asobancaria de Colombia, entre las técnicas más utilizadas por los ciberdelincuentes para el robo de credenciales está la fuerza bruta, que consiste en adivinar la contraseña mediante ensayo y error hasta conseguirlo; ataques “diccionario” en los que se utiliza un software que intenta averiguar la contraseña de manera automática, probando con letras simples y luego con palabras complejas que almacena en un diccionario; phishing, con el que se engaña a la víctima haciendo que llene un formulario fraudulento que suplanta un servicio de confianza; así como los keyloggers, software que graba toda la información que se introduce usando el teclado, incluyendo nombres de usuario y contraseñas.
Durante el primer cuatrimestre de este año, en México, la Comisión Nacional para la Protección y Defensa de los Usuarios de Servicios Financieros (CONDUSEF) atendió 802 reclamaciones por posible robo de identidad, solo en el sector financiero. Por otra parte, cabe recordar que —a nivel global— en 2020, el robo de cuentas bancarias aumentó 20%, al pasar de 34% a 54% de un año a otro, de acuerdo con un reporte de Kaspersky.
La darkweb, espacio atractivo para ATO
La darkweb vuelve más atractivo este tipo de fraudes porque los delincuentes no necesitan robar directamente la información o siquiera seleccionar víctimas específicas, sino que compran en ese mercado cuentas válidas sin tener que descifrar contraseñas.
Los usuarios deben contar con una educación en ciberseguridad actualizada de forma constante para evadir este tipo de ataques. Además, es clave comunicarse con los responsables de seguridad en cuanto se detecte una alerta sospechosa.
Un ataque ATO puede involucrar el robo y el uso de identificaciones personales como la licencia de conducir o el número de afiliación al Seguro Social, cuya información empleará el atacante para tratar de tener acceso a todo tipo de cuentas.
Una vez que los delincuentes vinculan información obtenida para cristalizar el robo, pueden usar los datos para transferir dinero o hacer compras a nombre de la persona afectada, o si tienen acceso al correo electrónico empresarial, conseguir información confidencial para continuar la infiltración en los sistemas. En un contexto de negocios, esto puede impactar la productividad, la seguridad de una compañía y su reputación.
Recomendaciones
El tiempo de reacción es clave en este tipo de vulneraciones, pues los cibercriminales suelen tardar 12 horas en usar la mayoría de credenciales filtradas. Para contrarrestar este tipo de ataques se recomienda:
- Monitorear constantemente los sitios que filtran credenciales de acceso y cruzar los datos con las plataformas de la organización.
- Automatizar la generación de nuevas credenciales de acceso y establecer protocolos de identidad con privilegios mínimos para cada usuario.
- Adoptar modelos Zero-Trust, que permitan detectar con rapidez cualquier intrusión o directamente evitarlas.
- Propiciar una cultura de ciberseguridad transversal, que hasta el mismo CEO deba acatar. Muchas veces son los altos cargos los más renuentes a seguir las buenas prácticas de seguridad, algo especialmente grave, dado que suelen tener acceso a la información más valiosa de la organización.
- Establecer un Security Operations Center que mantenga un ojo vigilante el 100% del tiempo. Esto permitirá mitigar también otro tipo de amenazas, que de forma lateral pueden resultar en robos de credenciales masivas.
