Dentro de la amenaza: Explorando los 6 tipos principales de fraude de toma de cuentas

Las técnicas que usan los estafadores se están volviendo cada vez más complejas, con múltiples medios para que los criminales tomen control de una cuenta. Los tipos de fraude de suplantación de cuentas que el atacante elija dependerán de su objetivo y de los recursos que tenga disponibles.

No pierdas la oportunidad de explorar las últimas tendencias y obtener información valiosa esencial para combatir el fraude y proteger tu negocio. ¡Descarga nuestro Informe sobre Fraude de Identidad 2024 hoy!

El fraude por apropiación de cuentas (ATO) es una de las mayores amenazas que enfrentan las empresas en línea hoy en día. No solo puede costarle a las empresas enormes sumas de dinero, sino que también puede sobrecargar a los equipos de TI y de atención al cliente y arruinar la reputación de su negocio. No es de extrañar que la detección de fraudes sea ahora una prioridad clave para las organizaciones de todo el mundo. 

Para ayudarte a protegerte contra la amenaza de esta forma de fraude en rápido crecimiento, en esta guía abordaremos los principales tipos de fraude por apropiación de cuentas y los pasos que puedes seguir para detener a los defraudadores.

1. Entendiendo ATO: definición y descripción

El fraude por apropiación de cuentas es una forma de robo de identidad. Ocurre cuando un actor malintencionado toma control de la cuenta de un usuario sin su permiso para cometer fraude.

El proceso de apoderarse de una cuenta implica dos pasos. Primero, el estafador robará o comprará las credenciales de un usuario en la dark web. Luego, podrá iniciar sesión en la cuenta de un usuario.

Durante la segunda etapa del proceso, realizará una serie de cambios no monetarios en la cuenta, como cambiar la contraseña o alterar la información personal identificable de la víctima.

Una vez que se completen estos dos pasos, el estafador habrá ganado el control completo de la cuenta y habrá bloqueado al usuario original. Ahora realizará una serie de transacciones monetarias o venderá la cuenta a otra persona.

El estafador intentará luego replicar su éxito tomando el control de otras cuentas de un usuario. Esto se vuelve posible si han utilizado la misma contraseña e información de inicio de sesión para múltiples cuentas.

2. ¿Por qué es una amenaza tan grande?

Hay varias razones por las que el fraude de toma de cuentas es una de las mayores amenazas que enfrentan las empresas hoy en día. Primero, los métodos empleados por los estafadores que intentan apoderarse de cuentas se están volviendo cada vez más sofisticados y difíciles de detectar. Por esta razón, las empresas que no toman en serio la amenaza de ATO pronto podrían convertirse en el objetivo de estafadores.

Si un estafador obtiene acceso a la cuenta de un usuario y usa esa cuenta para realizar compras, es probable que el cliente culpe a su negocio por la violación de seguridad (incluso si la falta de seguridad fue su responsabilidad). Por esta razón, un ataque de ATO puede dañar irreparablemente la relación entre un negocio y sus clientes y causar un daño reputacional más amplio.

Pero el costo del fraude por apropiación de cuentas no es solo reputacional. Después de todo, si un criminal obtiene acceso a detalles de inicio de sesión robados a través de una apropiación de cuenta, puede tener repercusiones financieras significativas para un negocio. IBM informa que la violación corporativa típica cuesta cerca de $5 millones. Las organizaciones más grandes son particularmente propensas a intentos de apropiación de cuentas, ya que son objetivos más atractivos para los cibercriminales.

Además, los ataques de ATO impactan casi todos los departamentos de un negocio. Esto se debe a que las consecuencias de una violación de seguridad significan:

• Su equipo de TI debe investigar cualquier hackeo y la solidez de su sistema de seguridad
• Su equipo de finanzas debe luchar contra las devoluciones de cargos cuando los estafadores reclaman un reembolso de un producto mediante medios fraudulentos, reteniendo el artículo.
• Su equipo de atención al cliente estará abrumado por los clientes que intentan recuperar sus cuentas

3. ¿Quién es vulnerable al fraude de toma de cuentas?

Account takeover fraud is growing all the time for one reason – almost everyone is vulnerable. This is because fraudsters can deploy the same techniques across a range of different accounts.

Algunos objetivos comunes del fraude por apropiación de cuentas incluyen cuentas de depósito, cuentas de beneficios del gobierno, cuentas corrientes, cuentas de juegos en línea, tarjetas de lealtad de tiendas, tarjetas de crédito y cuentas de correo electrónico.

Si los estafadores tienen éxito, hay varias formas en que pueden usar la información pirateada. Por ejemplo, podrían solicitar una nueva tarjeta a la compañía de tarjetas de crédito del usuario, utilizándola para realizar compras fraudulentas. Quizás podrían vender la información verificada en la dark web o redirigir cualquier beneficio recibido.

Cualquiera que sea el uso indebido preciso de una cuenta, una cosa está clara: debe ser detenido a tiempo.

4. Tipos de toma de cuentas

Los tipos de fraude de toma de cuentas elegidos por el atacante dependerán de su objetivo y de los recursos disponibles.

Los principales tipos de fraude de toma de cuentas incluyen:

Robo de credenciales

Para llevar a cabo un ataque de llenado de credenciales, un defraudador generalmente comprará una lista de credenciales filtradas en línea, a menudo a través de un gran volcado de datos. Usando esta información, probarán combinaciones de nombres de usuario y contraseñas en varios sitios web hasta que logren acceder a una cuenta.

Lamentablemente, las credenciales filtradas están ampliamente disponibles en la dark web. Debido a que muchos usuarios eligen contraseñas débiles o las reutilizan, este tipo de fraude de toma de cuentas tiene una alta tasa de éxito.

Intercambio de SIM

La autenticación de dos factores proporciona beneficios significativos de seguridad. Los clientes acceden a sus cuentas no solo a través de una contraseña, sino también utilizando un método secundario: empleando un código de un solo uso enviado a su número de móvil, que es un enfoque común.

Con una estafa de intercambio de SIM, los defraudadores buscan superar esta técnica transfiriendo el número de teléfono de un usuario a otra tarjeta SIM; luego pueden usarlo para obtener códigos de autenticación destinados a tu número. Pueden usar esto para acceder a tus cuentas bancarias, cuentas de redes sociales y más, según los gigantes tecnológicos Microsoft.

Los criminales logran esto a través de varias formas de ‘ingeniería social’: por ejemplo, utilizando las redes sociales para recopilar datos e información personal (como el apellido de soltera de su madre) que luego pueden usar para engañar a una compañía telefónica para que transfiera su número de móvil a ellos.

Una vez que este proceso esté completo, el estafador puede intentar iniciar sesión en la aplicación bancaria del usuario. Si los procesos de autenticación del banco incluyen mensajes de texto como un medio para entregar contraseñas de un solo uso, entonces el estafador puede acceder a la cuenta del usuario y realizar transacciones fraudulentas, añadir beneficiarios o realizar otras operaciones durante una sesión bancaria.

Estafas de phishing

El phishing es un común flagelo de seguridad en línea que se presenta en varias formas. Quizás, el tipo más conocido ve a atacantes enviar correos electrónicos – o mensajes de texto u otro método de comunicación – con enlaces fraudulentos. Estos enlaces podrían presentar malware peligroso diseñado para dañar los sistemas.

El phishing también podría buscar reunir información. Si el usuario hace clic en el enlace, lo llevan a una página de inicio de sesión falsa donde se les pide que ingresen sus credenciales de inicio de sesión. Esta información se captura y puede ser explotada por el estafador. Los ataques de phishing pueden ser increíblemente dañinos, ya que un estafador puede dirigirse a miles de usuarios al mismo tiempo.

Otro peligro es el spear phishing, que es un ataque mucho más dirigido. Los criminales utilizan ingeniería social e investigación de antecedentes para dirigirse a un individuo específico en lugar de miles de personas.

Por ejemplo, un criminal podría utilizar la dirección de correo electrónico de un usuario para encontrar una cuenta de Facebook vinculada. Usando la información en esta cuenta, podrían descubrir que este usuario tiene una hermana. A continuación, crearían un alias para que el correo electrónico de spear phishing parezca un mensaje genuino de la hermana del usuario pidiendo información sensible.

Malware

Con un ataque de malware, un estafador toma el control de una cuenta bancaria instalando un software malicioso (conocido como malware) en la computadora o teléfono móvil de la víctima.

Esto ocurre cuando el usuario descarga una aplicación, un software o una actualización no verificada de una fuente no confiable. Algunas formas de malware, conocidos como keyloggers, interceptarán y guardarán todo lo que el usuario escribe, incluidos sus detalles de banca en línea.

Ataques de hombre en el medio (MITM)

Durante un ataque MITM, los estafadores se posicionan entre la institución financiera y el cliente. Esto les permite interceptar, editar y enviar y recibir comunicaciones sin aviso.

Los ataques MITM explotan cómo se comparten los datos entre un sitio web y el dispositivo de un usuario, ya sea su computadora, teléfono o tableta. Comúnmente establecerán una red Wi-Fi pública maliciosa a la que un usuario accederá sin darse cuenta.

Por ejemplo, una cafetería puede establecer una red Wi-Fi llamada 'Wi-Fi gratuito de cafetería' o algo similar. Un usuario que busca aprovecharse del Wi-Fi público transferirá sus datos de pago a través de la red, que está controlada por el criminal.

Fraude de centro de llamadas

El fraude de centro de llamadas es común en la industria bancaria. Antes de intentar acceder a una cuenta bancaria, un estafador contactará a la víctima y le pedirá que verifique su PIN, preguntas de seguridad y pruebas de autenticación multifactor. La víctima luego proporciona inadvertidamente al estafador toda la información que necesita para acceder a su cuenta.

5. ¿Dónde está su negocio en riesgo?

Los estafadores apuntan a empresas que dependen de sistemas de seguridad laxos y medidas de prevención de fraudes inadecuadas. Para prevenir el fraude de toma de cuentas, las empresas deben implementar medidas de seguridad.

Tales medidas de seguridad deben incluir tanto procesos de seguridad internos como procesos de seguridad orientados al cliente. Siguiendo las mejores prácticas de ciberseguridad y protección de datos, una empresa puede asegurarse de que no será la causa de una violación de datos. Estos procesos y mejores prácticas deberían incluir cosas como notificaciones automáticas cuando algo cambia en la cuenta de un cliente, verificación multifactor y herramientas de detección.

Las empresas deberían invertir en sistemas que les ayuden a verificar con precisión la identidad de los usuarios antes de que se les permita acceder a sus cuentas. Al reducir la dependencia de contraseñas estáticas y priorizar en su lugar los identificadores biométricos, una empresa puede bloquear a los estafadores fuera de una cuenta antes de que puedan hacer cambios.

De manera similar, las empresas deberían tener sistemas que ayuden a detectar actividad sospechosa en caso de que un estafador logre tomar el control de una cuenta. Estas señales sospechosas podrían incluir un alto número de intentos de autenticación en diferentes cuentas desde la misma dirección IP, solicitudes masivas de restablecimiento de contraseña y múltiples cambios en una cuenta al mismo tiempo.

Además, las empresas deben asegurarse de que sus clientes mantengan sus datos privados y seguros. Deben alentar a sus usuarios a:

• Infórmate sobre cómo vencer y detectar el fraude de identidad.
• Conocer más sobre las técnicas utilizadas por los estafadores
• Crear contraseñas únicas para cada una de sus cuentas
• Nunca hacer clic en enlaces sospechosos
• Implementar autenticación multifactor en sus cuentas
• Nunca compartir sus datos y contraseñas con otros

6. Cómo recuperarse de un ataque de toma de cuenta

Para recuperarte de una apropiación de cuentas, tu organización debe tomar cuatro pasos clave.

• Primero, asegure todas las cuentas de clientes afectadas, evitando que los estafadores causen más daño
• Segundo, las cuentas deben ser recuperadas y devueltas a los clientes afectados. Esta etapa requiere comunicación directa con los clientes para explicar lo sucedido; se les debe invitar a cambiar su contraseña y confirmar todas las credenciales asociadas.
• Tercero, realice una revisión exhaustiva que describa cómo sucedieron las tomas y qué tan bien respondió su organización
• Y finalmente, analice cómo puede evitar que ocurra un ataque similar nuevamente, mejorando las medidas de seguridad y fortaleciendo sus capacidades de detección de fraude

La autenticación biométrica facial puede ayudar a tu organización a prevenir el ATO. Usar las características faciales únicas de un individuo para acceder a su cuenta la hace más segura y ofrece una mejor experiencia al usuario.

7. ¿Cómo ayuda Veriff?

En Veriff, estamos orgullosos de ofrecer una gama de soluciones de clase líder que pueden ayudarte a asegurar las cuentas de los usuarios y bloquear a actores malintencionados. Nuestra solución de verificación de identidad y solución de AML y KYC pueden ayudarte a verificar nuevos usuarios en el proceso de incorporación, mientras que nuestra solución de autenticación biométrica puede ser utilizada para autenticar a usuarios que regresan y prevenir el fraude por apropiación de cuentas.

Esta solución es mucho más confiable que las contraseñas y los códigos de un solo uso y es perfecta para asegurar las cuentas de los usuarios. También le permite bloquear a los estafadores fuera de una cuenta antes de que puedan cambiar los datos de un cliente o intentar realizar una compra.

No solo es segura nuestra autenticación biométrica, sino que también acelera el proceso de autenticación del usuario. Utilizando biometría facial (a través del uso de una selfie) para hacer coincidir al usuario que regresa, se compara la imagen con nuestros datos de sesión existentes y se identifica rápidamente al usuario. Como resultado, se elimina la fricción y se facilita una experiencia de usuario más fluida.

Impulsado por una potente automatización, nuestro software puede autenticar la identidad de cualquier usuario en solo un segundo.

8. Hable con los expertos en prevención de fraudes de Veriff

Su negocio debe implementar los procesos de detección correctos para prevenir el fraude. Estos procesos y sistemas pueden detener a los estafadores antes de que puedan acceder a la cuenta de un usuario y pueden ser utilizados para resistir todos los tipos importantes de fraude de toma de cuentas.

Si quieres descubrir más sobre cómo nuestras soluciones de clase líder pueden ayudar a un negocio de servicios financieros como el tuyo, habla con nuestros expertos en prevención de fraudes hoy. Nos encantaría ofrecerte una demostración personalizada que muestre exactamente cómo nuestras soluciones pueden ayudar a proteger tu negocio y clientes. Ofrecemos una variedad de planes para ayudarte a construir tus defensas y ver hacia el futuro.