usurpación de cuentas

La usurpación de cuentas (ATO) es una forma de robo de identidad y fraude en la que un tercero malicioso logra acceder a las credenciales de la cuenta de un usuario.

Al hacerse pasar por el usuario real, los ciberdelincuentes pueden modificar los detalles de la cuenta, enviar correos electrónicos de phishing, sustraer información financiera o datos sensibles, o utilizar información robada para acceder a otras cuentas dentro de la organización.

Si bien la proliferación de la comunicación digital ha hecho que todos los empleados sean vulnerables a la usurpación de cuentas (un estudio reciente de Javelin informó de más de 13 000 millones de dólares en pérdidas asociadas con la usurpación de cuentas solo en 2023), los departamentos que corren mayor riesgo son TI, recursos humanos y alta dirección. Estos equipos tienen acceso directo a datos sensibles, información financiera e infraestructura de seguridad.

Los ataques de usurpación de cuentas no discriminan a las empresas por su tamaño, sector o ubicación. Tradicionalmente, los atacantes se han dirigido principalmente a organizaciones más grandes, pero la creciente ubicuidad de la información digital y la facilidad para distribuir tecnología de seguridad ilegal hacen que la clásica «red de seguridad» de las pequeñas empresas ya no sea una realidad. De hecho, debido a que las empresas más pequeñas a veces son menos vigilantes con la actividad inusual al iniciar sesión, crear una cuenta o restablecer la contraseña, pueden ser un objetivo más atractivo que las corporaciones más grandes. Esto significa que es importante que todas las organizaciones sean proactivas para prevenir problemas graves de usurpación de cuentas.

El crecimiento de la comunicación digital y el almacenamiento de datos implica que los ciberdelincuentes tienen más puntos de acceso al intentar obtener la información personal de los usuarios. Además, dado que las personas no siempre son diligentes al usar contraseñas robustas, los ciberdelincuentes no necesitan información muy sensible para acceder satisfactoriamente a una cuenta. El análisis de 2023 realizado por NordPass reveló que las cinco contraseñas más utilizadas eran alguna combinación de números secuenciales (es decir, «123456») o simplemente «admin». 

Los atacantes buscarán el punto de entrada más sencillo y crearán la usurpación de cuentas a partir de ahí. Puede comenzar con cualquier dato personal utilizado al iniciar sesión, como una dirección de correo electrónico, nombre completo, fecha de nacimiento o ciudad de residencia, todos los cuales se pueden encontrar con una investigación mínima.

Una vez que un hacker toma control del canal de comunicación principal de un usuario, puede modificar todo a lo que la cuenta le da acceso, como las preguntas de seguridad, las contraseñas, la configuración del cifrado y los nombres de usuario. Este bloqueo completo puede incluso hacer que el usuario legítimo parezca sospechoso al intentar resolver el problema, ya que ya no conoce la información actualizada asociada con la cuenta.

Malware

Los hackers utilizan malware para la usurpación de cuentas mediante la implementación de varios tipos de software malicioso que se infiltran en el dispositivo o la red del usuario. Este malware puede adoptar la forma de keyloggers que registran las pulsaciones de teclas, spyware que supervisa la actividad del usuario, o programas más complejos que interceptan el tráfico de la red. Una vez instalado, el malware recopila información sensible, como las credenciales de inicio de sesión, ya sea capturándolas directamente a medida que se introducen, robándolas de ubicaciones almacenadas o interceptándolas durante la transmisión.

Phishing

Uno de los 13 tipos de amenazas de correo electrónico más populares, los ciberdelincuentes utilizan correos electrónicos de phishing para engañar a los usuarios y hacer que revelen su información personal. Aunque los correos electrónicos de phishing pueden automatizarse y son más fáciles de detectar, los correos de spear phishing están altamente dirigidos y son más engañosos.

Relleno de credenciales

Esta técnica aprovecha el hábito de las personas de reutilizar contraseñas. Los ciberdelincuentes obtienen credenciales robadas o filtradas de varias empresas (o compradas en la dark web). Luego prueban esas credenciales en múltiples sitios web con la esperanza de encontrar instancias en las que la víctima use la misma información de inicio de sesión en varias cuentas.

Cookies

Los hackers utilizan cookies para la usurpación de cuentas mediante la explotación de cookies de sesión, que son pequeños fragmentos de datos almacenados en el dispositivo de un usuario para mantener su estado de inicio de sesión en los sitios web.

Cuando un usuario inicia sesión en un sitio, el servidor genera una cookie de sesión que se almacena en el navegador del usuario. Los Hackers pueden robar estas cookies mediante varios métodos, como los ataques de cross-site scripting (XSS) y la inyección de scripts maliciosos en páginas web que capturan cookies cuando los usuarios visitan la página. Otro método es a través de ataques de intermediario (MitM), que los hackers utilizan para interceptar y robar cookies durante la transmisión por redes no seguras.

Una vez que el hacker obtiene la cookie de sesión, puede hacerse pasar por el usuario inyectando la cookie robada en su navegador, obteniendo efectivamente acceso a la cuenta del usuario sin conocer las credenciales de inicio de sesión reales. Esto les permite realizar acciones como si fueran el usuario legítimo, lo que podría llevar al robo de datos, fraude financiero y otras actividades maliciosas.

Vulnerabilidades de las aplicaciones

Los Hackers explotan las vulnerabilidades de las aplicaciones web para la usurpación de cuentas, atacando las debilidades en las aplicaciones web y sus sistemas subyacentes. Las técnicas comunes incluyen la inyección SQL para eludir la autenticación y acceder a los datos de usuario directamente desde las bases de datos, XSS para robar tokens de sesión, y la explotación de mecanismos de autenticación rotos para adivinar o forzar contraseñas. También pueden explotar referencias directas a objetos inseguras, configuraciones de seguridad incorrectas, validación insuficiente de entradas y vulnerabilidades en las API.

Estos métodos permiten a los atacantes eludir las medidas de seguridad habituales, sustraer credenciales, manipular datos de cuentas u obtener acceso no autorizado a cuentas de usuario. El objetivo final es tomar el control de las cuentas de usuarios legítimos, lo que abre la puerta al robo de datos, al fraude financiero y a otros actos maliciosos.

Botnets

Los hackers implementan bots para hackear las cuentas de los clientes. Estos bots pueden introducir contraseñas y nombres de usuario de uso común para realizar ataques rápidos y de gran volumen y apoderarse del máximo número de cuentas, todo ello mientras permanecen ocultos a la vista inmediata. Debido a que los bots se implementan desde múltiples ubicaciones, resulta más complicado identificar las direcciones IP maliciosas al iniciar sesión.

Ingeniería social

En los ataques de social engineering, los perpetradores de la usurpación de cuentas investigan bases de datos abiertas y redes sociales, buscando información pertinente como el nombre, la ubicación, el número de teléfono o los nombres de los miembros de la familia, cualquier cosa que ayude a adivinar una contraseña.

La mayoría de los ataques de usurpación de cuentas buscan acceder a datos sensibles e información financiera. Por lo tanto, es fundamental que los departamentos de TI, Recursos Humanos y dirección estén al tanto de los riesgos asociados a sus responsabilidades.

• El departamento de TI gestiona la infraestructura técnica, que incluye la seguridad y la gestión de datos; una cuenta de TI comprometida podría resultar en una red comprometida o un robo grave de datos.
• RR. HH. tiene acceso a información confidencial de los empleados y es responsable de gestionar las nóminas y otros datos financieros, que son muy valiosos para los ciberdelincuentes.
• Los directivos de alto nivel tienen acceso y autoridad sobre las partes principales de una organización; el acceso a sus cuentas podría llevar a fraude financiero o robo de datos.

Objetivos populares de usurpación de cuentas

A continuación, ofrecemos una mirada más detallada a los tipos de organizaciones en riesgo de usurpación de cuentas:

Pequeñas y medianas empresas (PYMES)

Las pymes pueden ser objetivos principales de los ataques de usurpación de cuentas debido a sus vulnerabilidades únicas. Estas organizaciones suelen tener menos recursos de ciberseguridad y pueden carecer de la experiencia técnica necesaria para implementar medidas de seguridad sólidas, con un 51 % de pequeñas empresas que no implementa ningún tipo de medida de ciberseguridad.

A menudo utilizan múltiples plataformas en línea para diversas operaciones comerciales, creando una mayor superficie de ataque para los ciberdelincuentes.

Instituciones financieras

Los bancos, las cooperativas de crédito y otras instituciones financieras son objetivos atractivos para los ataques de usurpación de cuentas. Ellos almacenan grandes cantidades de datos personales y financieros sensibles de sus clientes, lo que hace que las infracciones satisfactorias sean extremadamente lucrativas.

Los bancos regionales más pequeños pueden ser especialmente vulnerables si cuentan con medidas de seguridad obsoletas. Además, los estrictos requisitos de cumplimiento normativo que deben cumplir a veces pueden crear vulnerabilidades relacionadas con el cumplimiento que los atacantes pueden explotar, ya que las agencias reguladoras pueden necesitar acceso a los datos para evaluar las prácticas de gestión y protección.

Sitios de comercio electrónico

Las plataformas de comercio electrónico son frecuentemente objetivo de ataques (representando el 64 % de los ciberataques) debido a los valiosos datos de clientes que almacenan, como nombres, direcciones e información de pago. Estos sitios procesan grandes volúmenes de transacciones, proporcionando a los atacantes un amplio grupo de objetivos potenciales.

Muchos clientes reutilizan contraseñas en varias cuentas, lo que aumenta el riesgo de usurpaciones de cuentas generalizadas si se vulnera un sitio. Los sitios de comercio electrónico son especialmente vulnerables durante los periodos de mayor actividad de compras, cuando los altos volúmenes de tráfico pueden ocultar actividades maliciosas.

Las empresas de comercio electrónico también son vulnerables a métodos de fraude minorista más tradicionales, como las compras no autorizadas y el fraude con tarjetas regalo mediante cuentas comprometidas. Las cuentas de clientes en este sector a menudo se venden en la dark web, proporcionando a los ciberdelincuentes acceso a información personal y detalles de pago almacenados.

Sector de medios de comunicación y entretenimiento

Los atacantes a menudo se dirigen al sector de medios de comunicación y entretenimiento. Por ejemplo, 1 de cada 10 personas han tenido sus cuentas de streaming pirateadas. Los ciberdelincuentes pueden vender información de inicio de sesión robada, lo que permite el acceso no autorizado a estos servicios. Esto no solo resulta en pérdidas financieras para las empresas, sino que también degrada la experiencia del usuario para los clientes legítimos.

Sector hotelero

Los hoteles, las aerolíneas y otras empresas del sector hotelero suelen ser objeto de ataques por sus cuentas de programas de fidelización y sus saldos de recompensas. Estas cuentas a menudo contienen información personal valiosa que los atacantes pueden explotar para el robo de identidad o el fraude. Además, la naturaleza transitoria de los servicios de hostelería puede dificultar la detección y la respuesta rápida a la usurpación de cuentas.

Sector del deporte

Las organizaciones deportivas poseen información sensible, como las negociaciones de los atletas y los registros médicos, lo que las convierte en objetivos atractivos. Los documentos de propiedad intelectual y estrategia en este sector pueden ser extremadamente valiosos, ya que pueden influir en los resultados de los partidos o proporcionar información privilegiada para fines de apuestas.

Sector de los videojuegos

El sector de los videojuegos es un objetivo por la información de pagos en el juego y los activos virtuales, que pueden tener un valor monetario en el mundo real. Las cuentas de juego comprometidas también se utilizan frecuentemente para llevar a cabo estafas de phishing dirigidas a otros jugadores, aprovechando la confianza dentro de las comunidades de jugadores.

Empresas de tecnología

Las empresas tecnológicas son objetivos principales debido a la valiosa propiedad intelectual y los datos de los usuarios que poseen. El acceso a sus sistemas puede provocar infracciones de seguridad generalizadas, que podrían afectar a millones de usuarios y causar daños significativos a la reputación.

Organizaciones de salud

Las instituciones de atención sanitaria almacenan registros médicos e información personal altamente confidencial, lo que las convierte en objetivos atractivos para los ciberdelincuentes. La estricta normativa que rige este sector implica que las infracciones pueden resultar en severas sanciones financieras y pérdida de confianza por parte de los pacientes.

Instituciones educativas

Las escuelas y universidades a menudo tienen grandes redes con bases de usuarios diversas, lo que hace que su seguridad sea un desafío. Pueden contener datos de investigación valiosos e información de estudiantes que podrían ser explotada para diversos fines maliciosos.

Agencias gubernamentales

Las organizaciones gubernamentales son objetivo de ataques para obtener información confidencial y explorar oportunidades de espionaje. Las infracciones en este sector pueden tener importantes implicaciones para la seguridad nacional y pueden estar motivadas tanto por factores financieros como por factores políticos.

Exchanges de criptomonedas

Estas plataformas poseen valiosos activos digitales que pueden transferirse de forma rápida y anónima si se ven comprometidos. El potencial de obtener altas ganancias financieras los convierte en objetivos frecuentes de ciberataques sofisticados.

La usurpación de cuentas no es intrínsecamente útil para un ciberdelincuente. Lo que ocurre después de que obtengan acceso es donde se produce el daño grave. Estos impactos pueden afectar tanto a las empresas como a los individuos:

• Business
  • Venta de credenciales: algunos atacantes roban las credenciales de los empleados y las venden en la dark web.
  • Compromiso del correo electrónico empresarial: los atacantes sofisticados robarán las credenciales de empleados clave y las usarán para lanzar un ataque desde la dirección de correo electrónico del empleado real con el fin de realizar una transacción o transferencia de fondos fraudulenta.
  • Daño a la reputación: los ataques de usurpación de cuentas pueden dirigirse a múltiples usuarios finales de una organización, causando un daño duradero a la reputación de la seguridad y privacidad de datos de una empresa.
  • Consecuencias regulatorias: dependiendo del sector y la ubicación, las empresas pueden enfrentarse a multas o sanciones por no proteger adecuadamente los datos de los clientes.
  • Interrupciones operativas: hacer frente a los ataques de ATO puede interrumpir las operaciones comerciales normales, ya que se desvían recursos para abordar el problema.
• Individual
  • Usurpación de cuentas: algunos atacantes utilizan cuentas comprometidas para realizar reconocimientos y lanzar ataques personalizados.
  • Campañas de phishing: algunos atacantes intentan usar cuentas de correo electrónico comprometidas para iniciar campañas de phishing que no serán detectadas.
  • Pérdidas financieras: las víctimas de la usurpación de cuentas pueden experimentar pérdidas financieras directas si los atacantes utilizan sus cuentas para realizar compras o transferencias no autorizadas.
  • Robo de identidad: la información personal obtenida mediante fraude resultante de los ataques de usurpación de cuentas puede utilizarse para un robo de identidad más amplio, que posiblemente afecte a múltiples áreas de la vida de una persona.
  • Angustia emocional: afrontar las consecuencias de un ataque de ATO puede ser estresante y consumir mucho tiempo para las víctimas.

Existen varias medidas de seguridad disponibles para protegerse contra la usurpación de cuentas:

• Preguntas de seguridad: los usuarios deben responder a preguntas predeterminadas después de proporcionar correctamente las contraseñas. Aunque esta es una forma fundamental de aumentar la seguridad, incrementa la probabilidad de protegerse contra intentos de inicio de sesión maliciosos.
• Autenticación de dos factores (2FA): al conectar una cuenta diferente, como un número de teléfono o una dirección de correo electrónico alternativa, usted puede limitar el acceso de dispositivos o direcciones IP no reconocidos a una cuenta, incluso si tienen la contraseña.
• Bloqueo de IP: reconocer múltiples intentos de inicio de sesión desde una misma IP es una excelente señal de que alguien está intentando adivinar contraseñas mediante fuerza bruta o utilizando listas de credenciales robadas para acceder a las cuentas. Mantener una sólida lista de bloqueo de IP puede mitigar estos ataques.
• Límites de intentos de inicio de sesión: al establecer un número finito de intentos de inicio de sesión para cuentas seguras, los ciberdelincuentes no pueden enviar spam a los intentos de inicio de sesión, con la esperanza de adivinar la contraseña correcta. Esto es especialmente efectivo contra el spam de bots que se origina desde diferentes direcciones IP.
• Seguimiento de dispositivos: rastrear y mostrar las ubicaciones de inicio de sesión puede ayudar a detectar actividad sospechosa. Por ejemplo, un inicio de sesión que ocurre habitualmente a 200 kilómetros de distancia del usuario puede automáticamente alertar al departamento de TI para que congele la cuenta.
• Formación de los empleados: los empleados suelen ser la última línea de defensa contra la usurpación de cuentas, por lo que es esencial formarlos adecuadamente sobre los indicios y síntomas de una cuenta comprometida. Las herramientas de formación que muestran las interacciones de usurpación de cuentas o los correos electrónicos de phishing pueden ayudarles a proteger su identidad en línea y a evitar los trucos de social engineering.
• Sandboxing: si las cuentas han sido comprometidas, es importante que exista una funcionalidad que disuada de nuevos compromisos. Al aislar una cuenta sospechosa, se puede rastrear toda la actividad y detenerla si es maliciosa.
• Configuración de WAF: un firewall de aplicaciones web (WAF) robusto puede configurarse para reconocer y mitigar intentos de usurpación de cuentas mediante políticas específicas que identifiquen credenciales robadas, señales de ataques de fuerza bruta o sondeos de botnets.
• Detección de IA: los WAF tradicionales no siempre son capaces de identificar los ataques de usurpación de cuentas más sofisticados; las políticas estáticas pueden ser engañadas para que crean que los intentos de inicio de sesión maliciosos son legítimos. Se han aprovechado los recientes desarrollos en tecnología de IA para identificar técnicas complejas de usurpación de cuentas y pueden supervisar el tráfico de sitios web y aplicaciones web para detectar actividad sospechosa.
• Fortaleza de la contraseña: uno de los métodos más accesibles para protegerse contra ATO es crear e implementar una política de contraseñas sólida. Exigir a los empleados que creen contraseñas sólidas y que las restablezcan de manera rutinaria mantiene la información de acceso actualizada y dificulta las conjeturas de los ciberdelincuentes.
• Protección de API e inicio de sesión: los hackers que emplean el relleno de credenciales pueden realizar intentos repetidos de inicio de sesión con diferentes nombres y contraseñas, intentando adivinar el acceso a sus cuentas. Utilizar una solución de seguridad para inicio de sesión y API es una excelente manera de identificar y bloquear estos ataques.

Protección contra la suplantación de identidad de Barracuda es un potente motor de inteligencia artificial que aprende los patrones de comunicación únicos de las organizaciones para identificar y bloquear ataques de usurpación de cuentas en tiempo real. Su protección contra la usurpación de cuentas previene y mitiga los daños de la usurpación de cuentas al supervisar el tráfico de correo electrónico e identificar rápidamente las cuentas comprometidas.

La formación en concienciación sobre la seguridad de Barracuda ofrece formación en concienciación sobre la seguridad y simulaciones de última generación para evaluar la vulnerabilidad de sus empleados frente a correos electrónicos de phishing y ataques de social engineering que podrían resultar en la usurpación de cuentas. También puede explorar niveles de protección más profundos con el software Barracuda Email Protection de Barracuda.

Identificar los factores de riesgo humanos puede preparar a su empresa para detectar y eliminar ataques dirigidos lanzados desde cuentas comprometidas. Póngase en contacto con nosotros ahora si tiene alguna pregunta o desea más información sobre la protección contra la usurpación de cuentas.