Account Takeover Fraud (ATO Fraud)

Account Takeover o fraude de adquisición de cuenta, ¿qué es y cómo combatirlo?

February 13, 2024

Key takeaways

1. Fraude ATO: Gran amenaza, pérdidas económicas, usurpación de identidad.
2. Métodos habituales: Phishing, malware, ingeniería social, fuerza bruta, ataques MitM.
3. Consecuencias: Pérdidas financieras, robo de identidad, daños a la reputación, problemas legales, más de 343B$ en pérdidas para 2027.
4. Prevención: Verificación humana con tecnología NFC.
5. Didit: Identidad digital descentralizada, control del usuario sobre los datos y la privacidad.

Compras en un clic, intercambios de información a velocidad nunca antes vista, conexiones con cualquier persona del mundo… la red ha abierto un mundo de posibilidades para nuestra vida. Sin embargo, internet no es un entorno seguro. La ciberdelincuencia, con los bots, el fraude y la usurpación de identidad, no descansa y acecha incluso detrás de un inocente clic en un enlace aparentemente legítimo.

Uno de los ataques más frecuentes y también costosos de la actualidad es el Account Takeover Fraud (ATO Fraud), conocido en castellano como fraude de adquisición de cuenta, que afecta sobre todo a instituciones financieras, e-commerce o plataformas de servicios digitales. Mediante bots automatizados y otras tecnologías, los delincuentes son capaces de robar nuestra identidad y hacerse con el control de nuestra cuenta.

¿Qué consecuencias tiene esto? Crisis de reputación, pérdidas económicas, robo de información personal e incluso suplantación de identidad. De hecho, los datos dicen que, en Estados Unidos, el 22% de los adultos ha sido víctima de este fraude.

Es por eso que, herramientas como Didit, que buscan humanizar internet y hacer más seguras las interacciones que llevamos a cabo en línea, son tan necesarias.

Los métodos más comunes de fraude de ATO

El fraude habitualmente llega tras una serie de delitos, que habitualmente empiezan con un robo o un mal cuidado de las credenciales de servicio. Los piratas informáticos pueden entrar en nuestra cuenta, llevarse todos los fondos, vender la información obtenida en la dark web, y utilizarnos para generar más fraudes.

Y, ¿cuáles son los principales métodos de ataque?

Phishing: El arte del engaño digital

El phishing involucra el envío de correos electrónicos o mensajes fraudulentos que imitan a empresas o instituciones de confianza, con el objetivo de obtener información personal o financiera. Un ejemplo clásico es un correo electrónico que se hace pasar por comunicación de nuestro banco, solicitando las claves de acceso bajo el pretexto de "verificar una transacción inusual". Las consecuencias de caer en este engaño pueden ser el robo de credenciales, el acceso no autorizado a cuentas bancarias y el robo de información personal.

Malware: la amenaza oculta

El malware se introduce en los dispositivos mediante un enlace infectado o un archivo adjunto engañoso, instalando software malicioso sin el conocimiento del usuario. Un escenario común es la descarga de un archivo que aparenta ser un documento importante pero que, en realidad, contiene un programa diseñado para robar contraseñas. Las víctimas de este ataque pueden sufrir desde el robo de credenciales y acceso a cuentas hasta el control remoto o secuestro del dispositivo infectado.

Ingeniería social: manipulación psicológica

Esta técnica se basa en la manipulación psicológica para que las víctimas revelen información personal o ejecuten acciones que beneficien al atacante. Un ejemplo de esto podría ser una llamada telefónica de un supuesto técnico informático solicitando acceso remoto a nuestro ordenador para solucionar un problema inexistente. Las consecuencias incluyen el robo de credenciales, acceso indebido a cuentas y estafas económicas.

Ataques de fuerza bruta: la persistencia del software

Los ataques de fuerza bruta utilizan software especializado para probar millones de combinaciones de nombres de usuario y contraseñas hasta encontrar la correcta y lograr el acceso a una cuenta. Este método es particularmente efectivo contra cuentas que no cuentan con contraseñas realmente seguras. Las víctimas pueden enfrentar desde el acceso no autorizado a sus cuentas hasta el robo de datos financieros y personales.

Ataques Man in the Middle (MitM): espionaje digital encubierto

Los ataques Man in the Middle (MitM) se caracterizan por la interceptación de mensajes o transacciones de datos entre dos partes legítimas. Los atacantes se insertan en la comunicación mediante el uso de proxies, posicionándose discretamente entre el emisor y el receptor. Esta táctica les permite "espiar" la transferencia de información, capturando credenciales de inicio de sesión y otra información personal sin ser detectados. Este tipo de ataque destaca por su capacidad para violar la privacidad de las comunicaciones, resultando en la exposición de datos sensibles que pueden ser utilizados para acceder a cuentas bancarias, correos electrónicos y otros servicios digitales.

¿Qué repercusiones tiene el fraude por control de cuenta?

Las consecuencias del fraude por control de cuenta pueden cuantificarse de muchas formas. Desde el punto de vista cuantitativo, se estima que las pérdidas relacionadas con el fraude digital superarán los 343 mil millones de dólares entre 2023 y 2027, según algunos informes. Pero esta problemática va mucho más allá de lo meramente monetario, afectando a personas, empresas e incluso, a la economía a nivel global.

Y es que las organizaciones que sufren un ataque sobre las cuentas pueden ver su marca y reputación afectadas. La percepción pública de ofrecer un sistema de seguridad débil puede generar desconfianza entre los usuarios tanto potenciales como actuales, así como pérdida de negocio y una más que evidente publicidad negativa, algo que puede tardar en reconstruirse mucho tiempo.

Además de todo lo anterior, las organizaciones también deberán hacer frente a las consecuencias legales de caer en este fraude. Las empresas que no protegen los datos de los consumidores pueden enfrentar multas y sanciones considerables bajo leyes como el RGPD, la CCPA y el PCI-DSS.

Cómo Didit te protege del fraude ATO: humanizando internet

En Didit, nuestra misión es humanizar internet y reducir el fraude online. Creemos que la mejor manera de proteger a las personas del fraude ATO es confirmar que al otro lado de la pantalla hay una persona real, no un bot o un ciberdelincuente.

¿Cómo lo hacemos? A través de una prueba de humanidad simple y rápida que verifica si el usuario es un ser humano mediante la tecnología NFC de los documentos oficiales. De esta manera, podemos asegurarnos de que las interacciones en internet sean legítimas y genuinas.

Didit va más allá de la simple protección contra el ATO, puesto que redefinimos la forma en la que realizamos interacciones en internet. Por eso, empoderamos a las personas con una identidad digital descentralizada que te da control total sobre tus datos y privacidad. Con Didit, tú eres el dueño de tu identidad y decides quién tiene acceso a ella.

crea tu id con didit.png

Haz clic en el botón para crear tu Didit y mejorar la forma en la que nos relacionamos en internet.

Share this post