Lectura de 5 minutos
·
April 13, 2023

¿Cómo te afecta el robo de cuentas?

Fernando González Paulin
Fernando G. Paulin - CEO
Experto en la generación de valor a partir de datos con experiencia en el uso de inteligencia artificial en el sector financiero para resolver problemas complejos. Especializado en detección de fraude mediante el uso de datos.

Descubre cómo funciona el robo de cuentas y cómo podemos protegernos a nosotros mismos y a nuestra empresa.

El robo de cuentas (en inglés Account Take Over “ATO”) es una temática que desafortunadamente nos resulta común, y muchas veces la pensamos como algo muy complejo de realizar, pero que en definitiva es un grupo de técnicas utilizadas por los delincuentes para acceder a cuentas bancarias, billeteras digitales, correos electrónicos, tarjetas de crédito, cuentas de whatsapp, etc, sin autorización.

Los atacantes utilizan diversos mecanismos para llevar a cabo ATOs, incluyendo phishing, ingeniería social, explotación de vulnerabilidades, uso de malware y uso de contraseñas filtradas o robadas.

En este artículo, se explorarán tácticas y técnicas utilizadas por los atacantes para robar cuentas y formas en las que personas, empresas y equipos de prevención de fraudes pueden protegerse. Analicemos primero cómo proceden los atacantes, separado por objetivo del ataque en dos grupos:

A. Ataque directo a la víctima:

  1. Phishing: Los atacantes envían correos electrónicos falsificados o mensajes a los usuarios con el fin de engañarlos para que ingresen información personal, credenciales de acceso o información financiera en sitios web falsos que parecen legítimos. Los correos electrónicos pueden parecer que provienen de fuentes legítimas, como bancos o empresas de billetera digital.
  2. Smishing: Similar al phishing solo que a través de mensajes de texto (SMS) en lugar de correos electrónicos. El objetivo del smishing es engañar a la víctima para que revele información personal, financiera o credenciales de acceso a través de mensajes de texto falsificados que parecen legítimos.
  3. Social engineering: Los atacantes buscan manipular a los usuarios para que revelen información confidencial, como contraseñas o datos de autenticación de dos factores (2FA), mediante el uso de tácticas como la persuasión o la intimidación, generalmente son llevadas a cabo mediante llamadas telefónicas con argumentos como premios, transferencias erróneas o haciéndose pasar por organismos gubernamentales. Los correos electrónicos y SMS fraudulentos también son técnicas de ingeniería social.

B. Ataque a la organización que almacena los datos de la víctima, donde también un colaborador se puede ver afectado por phishing o ingeniería social con la finalidad de extraer datos corporativos:

  1. Explotación de vulnerabilidades: Los atacantes pueden explotar vulnerabilidades en el software o hardware, incluso abusar de fallas lógicas como por ejemplo eludir mecanismos de autenticación o autorización para por ejemplo, realizar transferencias desde la cuenta de un tercero.
  2. Contraseñas filtradas o robadas: Los atacantes pueden obtener contraseñas filtradas o robadas a través de violaciones de datos o mediante el uso de sitios web de terceros que no protegen adecuadamente las contraseñas de los usuarios. Esto, vinculado a prácticas no recomendables como el uso de la misma contraseña para todo, provoca que ante la filtración de credenciales en un sitio, esas mismas credenciales puedan ser utilizadas en otras empresas, logrando entrar con el usuario y contraseña correctos pero sin autorización

C. Un apartado especial es necesario para código malicioso, ya que su alcance es bastante más abarcativo, dado que cuando un mismo actor logra infectar varios dispositivos puede conformar una botnet, veamos algunos ejemplos:

  1. Computadoras: los malwares para computadoras son los que más historia tienen, podemos mencionar Zeus, SpyEye o Emotet como icónicos con muchos años y variaciones, estos se incrustaban en programas pirateados en sitios no oficiales o dispersados en documentos de ofimática vía mail,con la finalidad de capturar credenciales, datos bancarios e información sensible. Los atacantes están a la vanguardia por lo que van actualizando sus mecanismos de infección como por ejemplo la distribución de Mekotioq solicitando pagos al gobierno mediante correos electrónicos o el reciente acceso ilimitado o descarga para Windows de ChatGPT.
  2. TPV o POS: Las terminales punto de venta son una pequeña computadora, por lo que no escapan a ser objeto de ataque desde el cual los atacantes buscan copiar los datos de las tarjetas. Dentro de los malware para estos dispositivos, podemos mencionar a PunkyPOS ya con unos años de historia o Prilex que ameritó una alerta morada de Interpol y comunicación de CONDUSEF.
  3. Mobile: Si aún tenías dudas sobre si existen malwares para smartphones que puedan robarte información financiera y personal la respuesta es sí. Por ejemplo, podemos mencionar a WireLurker, un malware para iOS que posee unos 10 años o el ya mencionado Zeus en su versión Android.
  4. ATMs: Para el caso de cajeros automáticos la mayoría de los malwares buscan dispensar efectivo de manera arbitraría como por ejemplo el caso de Ploutus. Sin embargo, existen técnicas para copiar datos de tarjetas tanto en los mecanismos de apertura de puerta como directamente en el dispositivo, esta técnica es conocida como Skimming y no necesariamente requiere de código malicioso en el cajero.

Ahora que ya conocemos algunos medios que utilizan los atacantes para hacerse de cuentas, analicemos brevemente el impacto:

Esto genera que tanto individuos como instituciones seamos conscientes de esta problemática y de manera conjunta adoptemos mecanismos de protección. Tanto personales, para evitar que nos roben nuestras propias cuentas, como a nivel organización, con la finalidad de proteger al cliente y minimizar las posibilidades de que le vacíen su cuenta.

¿Cómo nos protegemos personalmente?

  1. Utilice contraseñas seguras: Las contraseñas seguras y únicas para cada plataforma son una forma efectiva de protegerse. Las contraseñas deben ser complejas y difíciles de adivinar, pero fáciles de recordar para nosotros. No es necesario recordar todas las passwords, existen gestores de contraseñas.
  2. Autenticación de dos factores (2FA): La autenticación de dos factores proporciona una capa adicional de seguridad al solicitar un código de verificación adicional además de la contraseña. Esto hace que sea más difícil para los atacantes acceder a la cuenta, dado que además de algo que sabes (contraseña) es necesario algo que tienes (2FA) para poder ingresar a la cuenta.
  3. Verificación de correo electrónico: Muchas cuentas bancarias y billeteras digitales ofrecen una opción de verificación de correo electrónico para asegurarse de que el usuario es el propietario legítimo de la cuenta e incluso alertar ante nuevos ingresos. Revisar si la organización con la que tienes tu cuenta posee esta funcionalidad y activarla te proveerá visibilidad sobre los accesos.
  4. No compartir información personal: Nunca reveles información personal o financiera a desconocidos, ya sea en persona, telefónicamente o vía algún medio electrónico. Cerciórate de comunicarte con la persona en el caso de que la conozcas o con la entidad que te está ofreciendo el premio o solicitando información.
  5. Dispositivos: Mantener actualizados todos los programas y sistema operativo de tu computadora y teléfono no es suficiente, intenta fortalecer los mecanismos de seguridad con un antivirus confiable, evita descargar programas pirateados, conectarte a wifi pública y descargar adjuntos de correos desconocidos.

Las empresas también deben implementar medidas para protegerse. Algunas de estas medidas incluyen:

  1. Entrenamiento y concientización: Es importante que los colaboradores estén capacitados y concientizados sobre los riesgos de ciberseguridad y sepan cómo identificar y reportar posibles intentos de robo de información. Es el principal eslabón en mecanismos de defensa en profundidad dado que abarca todas las capas.
  2. Monitoreo de actividad sospechosa: Las empresas deben monitorear regularmente la actividad en sus cuentas y sistemas para detectar cualquier actividad sospechosa o inusual. Las alertas y notificaciones automatizadas pueden ayudar a detectar intentos de intrusión por ataques de fuerza bruta o múltiples intentos de autenticación en tiempo real.
  3. Implementación de autenticación de dos factores (2FA): La autenticación de dos factores es una medida efectiva para proteger las cuentas de la empresa y como valor adicional de seguridad para el cliente.
  4. Gestión de contraseñas: Es recomendable para las empresas implementar políticas de gestión de contraseñas, así como solicitar contraseñas seguras, tanto para sistemas internos como para autenticación de clientes. La rotación periódica de contraseñas y la limitación de intentos de inicio de sesión fallidos son mecanismos adicionales para proteger tanto a colaboradores como a clientes.
  5. Evaluación de vulnerabilidades: Es recomendable contar con evaluaciones de vulnerabilidades periódicas, lo que no significa correr un Nessus contra el dominio solamente, profundizar en análisis de código, fallas lógicas y pruebas de hacking ético pueden fortalecer a la organización.
  6. Protección contra malware: Hasta puede sonar trivial, pero muchas organizaciones pequeñas o medianas consideran que un antimalware es para empresas grandes y que es muy costoso. Independientemente del tamaño de la organización y del sistema operativo que utilicen en sus máquinas (incluso Linux o Mac), es recomendable que posean alguna solución para prevenir la infección con malware.
  7. Análisis de datos: Los equipos de prevención de fraudes pueden utilizar herramientas de análisis de datos para detectar patrones y comportamientos de los clientes, como ser dispositivos desde los que accede usualmente, direcciones IPs, localizaciones, etc. Son puntos de datos que normalmente se recolectan durante el proceso de originación pero que en pocas oportunidades se monitoreo acorde al comportamiento del usuario.

Conoce cómo desde Trully podemos ayudarte a atacar de manera eficaz el fraude de robo y suplantación de identidad combinando herramientas de Machine Learning e Inteligencia artificial para detectar defraudadores. Si quieres saber más, aquí te dejamos detalles.

Más historias e ideas

January 31, 2024
8 MIN

¿Por qué un KYC no es suficiente para detener el fraude?

Nuestro equipo de análisis de datos llevó a cabo una investigación para determinar la efectividad de los métodos comúnmente utilizados en la prevención del fraude.

Leer más
November 21, 2023
Lectura de 5 minutos

Desmintiendo mitos: ¿Cuáles son los límites del machine learning para evitar el fraude?

Existen muchos mitos sobre la capacidad de los modelos de machine learning y su funcionalidad para prevenir el fraude.

Leer más
October 19, 2023
Lectura de 5 minutos

El intrincado vínculo entre tasas de interés y fraude: una perspectiva integral

Tasas elevadas de fraude pueden generar tasas elevadas de interés. Descubre cómo se da esta fascinante relación.

Leer más
September 22, 2023
Lectura de 4 minutos

¿Por qué las empresas están buscando nuevas formas de fortalecer su KYC?

Con la digitalización en auge, ¿es realmente seguro confiar solo en el proceso KYC?

Leer más
August 10, 2023
Lectura de 5 minutos

¿Cómo optimizar el proceso de onboarding en la era digital?

Aprende a optimizar el proceso de onboarding de nuevos clientes en la era digital

Leer más
January 12, 2023
Lectura de 5 minutos

Suplantación de identidad por WhatsApp

Conoce cómo pueden robar tu cuenta y estafar a tus contactos.

Leer más
July 26, 2023
Lectura de 5 minutos

¿Por qué creamos Trully?

Una lectura rápida sobre nuestra misión y por qué creamos Trully para ayudar a las instituciones a combatir el fraude.

Leer más
March 20, 2023
Lectura de 5 minutos

La huella digital como herramienta de prevención de fraudes

Una lectura rápida sobre el uso de la huella digital como herramienta para ayudarnos a combatir el fraude.

Leer más
April 13, 2023
Lectura de 5 minutos

¿Cómo te afecta el robo de cuentas?

Descubre cómo funciona el robo de cuentas y cómo podemos protegernos a nosotros mismos y a nuestra empresa.

Leer más
February 11, 2022
Lectura de 5 minutos

Los riesgos de fraude durante el ciclo de vida de un producto digital

Aprende todo sobre los riesgos de fraude durante el ciclo de vida de un producto digital.

Leer más
May 4, 2023
Lectura de 5 minutos

El mercado negro de los datos de identidad en México

Descubre la magnitud del mercardo negro de identidades en México y como protegerte contra el robo de identidad.

Leer más
October 26, 2022
Lectura de 5 minutos

Cuidado con el fraude de identidad

Protégete del robo de identidad con los siguientes consejos en los que te contamos cómo.

Leer más
June 9, 2023
Lectura de 5 minutos

Fraude interno

Implicaciones, desafíos y medidas preventivas para enfrentar la amenaza del fraude interno.

Leer más
July 17, 2023
Lectura de 5 minutos

Identidad sintética: un desafío emergente

Todo sobre el surgimiento de la identidad sintética.

Leer más