Nueva Zelanda ha lanzado un marco de confianza para la identidad digital, un paso crucial hacia la transformación digital del país.
Empoderando a las empresas con estrategias de prevención de ATO
El 96% de los bancos confiesa que la apropiación de cuentas (ATO, Account Takeover) es un fraude que está entre sus principales preocupaciones. No es casualidad que el mercado de prevención del ATO tenga previsto un crecimiento mayúsculo en el próximo lustro: de un 60% según los últimos estudios.
L
a apropiación de cuentas (ATO, por sus siglas en inglés), es un tipo de fraude cibernético en el que un atacante obtiene acceso no autorizado a la cuenta en línea de un usuario. Esto puede suceder de diversas maneras, como, por ejemplo, mediante el robo de credenciales (nombre de usuario y contraseña), ataques de fuerza bruta, phishing u otros métodos que detallaremos más adelante.
El ATO sigue siendo una amenaza rampante para cualquier industria que opere en entornos digitales, si bien bancos y fintech sufren sus consecuencias por encima de cualquier.
La apropiación de la cuenta es solo el principio del problema. Una vez que el atacante tiene acceso, puede realizar diversas acciones fraudulentas, como:
- Robo de información personal y financiera: El atacante puede acceder a datos confidenciales como el nombre completo, la dirección, el número de teléfono, la información de la tarjeta de crédito, información médica o datos bancarios de la víctima.
- Realizar compras no autorizadas: Los datos de la tarjeta de crédito o la información bancaria de la víctima podría utilizarse para realizar compras en línea o en tiendas físicas.
- Enviar correos electrónicos fraudulentos: Como en un efecto cadena, el atacante podría utilizar la cuenta de email robada para enviar correos electrónicos de phishing a otros usuarios, con el fin de obtener más información personal o financiera.
- Dañar la reputación de la víctima: Otro peligro al que se enfrentan las víctimas es ublicar contenido falso o difamatorio en las redes sociales de la víctima o en otros sitios web.
ATO: una amalgama de fraudes que pone en riesgo la seguridad de las transacciones digitales
La apropiación de cuentas utiliza una variedad de técnicas cada vez más sofisticadas y masivas. Es crucial comprender la diversidad del fenómeno ATO para poder implementar estrategias de seguridad efectivas que protejan a los usuarios.
- Relleno de credenciales (credential stuffing): Es un método automatizado de ATO que consiste en probar credenciales robadas o filtradas en múltiples sitios web. Los atacantes obtienen estas credenciales a través de filtraciones de datos, ataques de malware o mediante la compra de bases de datos en la dark web. Estas filtraciones son más habituales de lo que pensamos y afectan a grandes empresas que invierten cantidades ingentes en seguridad. Muestra de ello son los ataques que sufrieron en mayo gigantes como Telefónica, Iberdrola, Santander y Ticketmaster, que dejaron millones de datos al descubierto. Cuando los atacantes tienen una lista de credenciales, usan herramientas automáticas para probarlas en diferentes sitios web. Gracias a estas herramientas pueden probar millones de combinaciones en poco tiempo. Si una combinación de nombre de usuario y contraseña funciona en un sitio web, el atacante obtiene acceso a la cuenta del usuario. El credential stuffing es un método de ATO muy eficaz porque es rápido y fácil de llevar a cabo. Para evitarlo, se imponen métodos que van más a allá de las contraseñas: autenticación biométrica, basada en dispositivos, etc.
- Phishing: Este conocido método consiste en engañar a los usuarios para que revelen sus credenciales o información personal. Los atacantes suelen enviar correos electrónicos o mensajes de texto falsos que parecen provenir de una empresa u organización legítima. Estos correos electrónicos o mensajes de texto suelen contener un enlace a un sitio web falso que se parece al sitio web real de la empresa u organización. Cuando el usuario hace clic en el enlace y accede al sitio web falso, se le pide que introduzca sus credenciales o información personal. Entonces, el atacante la captura y la usa para acceder a la cuenta del usuario. El phishing es un método de ATO muy eficaz porque se basa en la ingeniería social. Los atacantes suelen crear correos electrónicos o mensajes de texto muy convincentes que pueden engañar a los usuarios para que revelen su información personal.
- SIM Swapping: Consiste en transferir el número de teléfono de la víctima a una nueva tarjeta SIM controlada por el atacante. Una vez que el atacante tiene control del número de teléfono, puede interceptar los códigos de autenticación de dos factores (2FA) y otros mensajes de texto enviados a la víctima. Esto permite al atacante acceder a las cuentas de la víctima.
- Malware: El malware es un software malicioso que se puede instalar en el dispositivo de la víctima sin su conocimiento. Existen diferentes tipos de malware que se pueden utilizar para realizar ataques de ATO, como por ejemplo los keyloggers, que registran las pulsaciones del teclado de la víctima, lo que permite al atacante capturar las credenciales de la víctima cuando las introduce en un sitio web, o los troyanos, programas maliciosos que se disfrazan de software legítimo para, una vez instalados en los equipos, robar información confidencial, incluidas las credenciales de la víctima.
- Man in the middle (MitM): Un ataque MitM se produce cuando el atacante se interpone entre la víctima y el servidor legítimo al que intenta acceder. El atacante puede interceptar el tráfico entre la víctima y el servidor, y robar datos personales y credenciales de acceso.
- Ingeniería social: Las técnicas de ingeniería social son diversas y juegan siempre con la psicología del usuario para modificar su comportamiento. Los ciberdelincuentes pueden crear un pretexto falso para ponerse en contacto con la víctima y solicitarle su información personal (por ejemplo, al hacerse pasar por un empleado de atención al cliente) o crear una sensación de urgencia. Por ejemplo, para que la víctima actúe sin pensar, envian un correo electrónico que indica que su cuenta ha sido pirateada y que debe hacer clic en un enlace para restablecer una contraseña.
- Venta y monetización de cuentas: En algunos casos, los atacantes no acceden a las cuentas de las víctimas para robar información personal o financiera. En su lugar, venden las cuentas a otros delincuentes que pueden utilizarlas para realizar actividades ilícitas, como, por ejemplo, enviar spam o lanzar ataques de denegación de servicio (DoS).
En cualquier caso, El phishing g es el factor de amenaza ATO más importante y la forma más habitual que tienen los atacantes de acceder a las cuentas de los usuarios.
Por qué la apropiación de cuentas es especialmente preocupante en la industria bancaria
Las cuentas bancarias contienen información financiera altamente confidencial, como datos bancarios, números de tarjetas de crédito y débito y el historial de transacciones. Si un atacante obtiene acceso a esta información, puede realizar diversas acciones fraudulentas, como robo de fondos, suplantación de identidad: El atacante puede utilizar la información personal de la víctima para abrir nuevas cuentas bancarias o solicitar préstamos a su nombre o venta de información a las mafias.
Un ataque de ATO exitoso puede dañar gravemente la reputación de una entidad bancaria, provocando que los clientes que se vean afectados por este tipo de fraude pierdan la confianza en la institución y contraten sus productos financieros en otro lugar. Por supuesto, generan importantes costes económicos para las entidades bancarias, que deben invertir en medidas de seguridad para proteger a sus clientes de este tipo de fraude y para asumir los costes asociados a la investigación y resolución de los casos de ATO que se produzcan.
Los fraudes contribuyen a erosionar la confianza en el sistema financiero en general, ya que, si los clientes perciben que sus datos y fondos no están seguros en las entidades bancarias, es menos probable que hagan uso de sus servicios.
Medidas tecnológicas para prevenir el ATO en banca: autenticación y prevención
Desde el punto de vista tecnológico, las entidades bancarias pueden acgivar diversas estrategias para prevenir los ataques de ATO, tanto en el ámbito de la autenticación como en la prevención.
AUTENTICACIÓN ROBUSTA
- Autenticación de dos factores (2FA): La 2FA añade una capa adicional de seguridad al proceso de autenticación al requerir que el usuario introduzca un segundo factor de autenticación, además de su contraseña. Este segundo factor puede ser un código enviado por SMS o correo electrónico, una huella digital, un reconocimiento facial o una clave de seguridad física.
- Biometría: La biometría utiliza características físicas o conductuales del usuario, como la huella digital, el reconocimiento facial o el iris, para verificar su identidad. La biometría es un método de autenticación muy seguro, ya que es difícil falsificar las características biométricas.
- Autenticación basada en riesgos: La autenticación basada en riesgos analiza el contexto de un intento de inicio de sesión para determinar si es legítimo o no. Si el sistema detecta un comportamiento sospechoso, puede solicitar al usuario que proporcione información adicional o que complete un desafío de autenticación más complejo.
PREVENCIÓN DEL FRAUDE
- Análisis de comportamiento del usuario (UBA, user behaviour analytics): El UBA monitoriza el comportamiento de los usuarios en los canales bancarios online y busca patrones anormales que podrían indicar un intento de fraude. Por ejemplo, si un usuario realiza una serie de transacciones inusuales o accede a su cuenta desde una ubicación desconocida, el sistema puede bloquear la cuenta y solicitar al usuario que verifique su identidad.
- Inteligencia de amenazas: La inteligencia de amenazas, también conocida como inteligencia de ciberamenazas (CTI, por sus siglas en inglés), es el proceso de recopilar, analizar y difundir información sobre las amenazas potenciales a la seguridad de la información. Esta información puede incluir datos sobre actores maliciosos, sus tácticas, técnicas y procedimientos (TTP), y las vulnerabilidades que explotan para llevar a cabo ataques. La inteligencia de amenazas es una herramienta esencial para las organizaciones de todos los tamaños, ya que les ayuda a protegerse de ataques cibernéticos, investigar incidentes de seguridad y priorizar las inversiones en seguridad. En en caso de las entidades bancarias, la utilización de inteligencia de amenazas les ayudará a mantenerse informadas sobre las últimas técnicas y herramientas de fraude que utilizan los atacantes y mejorar los sistemas de detección.
- Tokenización de datos: La tokenización es un proceso que consiste en reemplazar los datos sensibles, como los números de tarjetas de crédito y débito, por tokens únicos, protegiendo los datos confidenciales en caso de que se produzca una filtración de datos.
- Cifrado de datos: El cifrado de datos protege la información confidencial al codificarla de forma que solo pueda ser descifrada por los usuarios autorizados. Esto es especialmente importante en la transmisión de datos por internet o en aquellos que se almacenan en servidores.
PRÁCTICAS DE SEGURIDAD SÓLIDAS
- Mantener el software actualizado: Es importante instalar las últimas actualizaciones de seguridad para el sistema operativo y el software bancario. Estas actualizaciones suelen incluir parches para vulnerabilidades que podrían explotar los atacantes para atacar ATO.
- Segmentar las redes: La segmentación de redes consiste en dividir la red de una entidad bancaria en varias redes más pequeñas, limitando el acceso a los datos confidenciales y a conteniendo el impacto de un ataque en caso de que se produzca
- Controlar el acceso a los datos: Es importante restringir el acceso a los datos confidenciales solo a los empleados que los necesitan para realizar su trabajo. El uso de controles de acceso basados en roles (RBAC) puede ser una vía interesante para ello.
- Formar a los empleados sobre la seguridad cibernética: Los empleados de las entidades bancarias deben estar formados sobre los riesgos del ATO y sobre cómo protegerse de este tipo de fraude. Esta formación debe actualizarse periódicamente para reflejar las últimas amenazas.
La lucha contra la compleja realidad del ATO requiere una colaboración conjunta entre las entidades bancarias, las empresas de tecnología, las autoridades gubernamentales y los usuarios. Al combinar estrategias de seguridad efectivas, concienciación sobre el riesgo y un enfoque proactivo, podemos fortalecer la seguridad digital y proteger las transacciones de manera más efectiva.
Contacte con el equipo de expertos en fraude de TrustCloud y evite pérdidas económicas en su empresa