¿Cómo te afecta el robo de cuentas?

El robo de cuentas (en inglés Account Take Over “ATO”) es una temática que desafortunadamente nos resulta común, y muchas veces la pensamos como algo muy complejo de realizar, pero que en definitiva es un grupo de técnicas utilizadas por los delincuentes para acceder a cuentas bancarias, billeteras digitales, correos electrónicos, tarjetas de crédito, cuentas de whatsapp, etc, sin autorización.

Los atacantes utilizan diversos mecanismos para llevar a cabo ATOs, incluyendo phishing, ingeniería social, explotación de vulnerabilidades, uso de malware y uso de contraseñas filtradas o robadas.

En este artículo, se explorarán tácticas y técnicas utilizadas por los atacantes para robar cuentas y formas en las que personas, empresas y equipos de prevención de fraudes pueden protegerse. Analicemos primero cómo proceden los atacantes, separado por objetivo del ataque en dos grupos:

A. Ataque directo a la víctima:

1. Phishing: Los atacantes envían correos electrónicos falsificados o mensajes a los usuarios con el fin de engañarlos para que ingresen información personal, credenciales de acceso o información financiera en sitios web falsos que parecen legítimos. Los correos electrónicos pueden parecer que provienen de fuentes legítimas, como bancos o empresas de billetera digital.
2. Smishing: Similar al phishing solo que a través de mensajes de texto (SMS) en lugar de correos electrónicos. El objetivo del smishing es engañar a la víctima para que revele información personal, financiera o credenciales de acceso a través de mensajes de texto falsificados que parecen legítimos.
3. Social engineering: Los atacantes buscan manipular a los usuarios para que revelen información confidencial, como contraseñas o datos de autenticación de dos factores (2FA), mediante el uso de tácticas como la persuasión o la intimidación, generalmente son llevadas a cabo mediante llamadas telefónicas con argumentos como premios, transferencias erróneas o haciéndose pasar por organismos gubernamentales. Los correos electrónicos y SMS fraudulentos también son técnicas de ingeniería social.

B. Ataque a la organización que almacena los datos de la víctima, donde también un colaborador se puede ver afectado por phishing o ingeniería social con la finalidad de extraer datos corporativos:

1. Explotación de vulnerabilidades: Los atacantes pueden explotar vulnerabilidades en el software o hardware, incluso abusar de fallas lógicas como por ejemplo eludir mecanismos de autenticación o autorización para por ejemplo, realizar transferencias desde la cuenta de un tercero.
2. Contraseñas filtradas o robadas: Los atacantes pueden obtener contraseñas filtradas o robadas a través de violaciones de datos o mediante el uso de sitios web de terceros que no protegen adecuadamente las contraseñas de los usuarios. Esto, vinculado a prácticas no recomendables como el uso de la misma contraseña para todo, provoca que ante la filtración de credenciales en un sitio, esas mismas credenciales puedan ser utilizadas en otras empresas, logrando entrar con el usuario y contraseña correctos pero sin autorización

C. Un apartado especial es necesario para código malicioso, ya que su alcance es bastante más abarcativo, dado que cuando un mismo actor logra infectar varios dispositivos puede conformar una botnet, veamos algunos ejemplos:

1. Computadoras: los malwares para computadoras son los que más historia tienen, podemos mencionar Zeus, SpyEye o Emotet como icónicos con muchos años y variaciones, estos se incrustaban en programas pirateados en sitios no oficiales o dispersados en documentos de ofimática vía mail,con la finalidad de capturar credenciales, datos bancarios e información sensible. Los atacantes están a la vanguardia por lo que van actualizando sus mecanismos de infección como por ejemplo la distribución de Mekotioq solicitando pagos al gobierno mediante correos electrónicos o el reciente acceso ilimitado o descarga para Windows de ChatGPT.
2. TPV o POS: Las terminales punto de venta son una pequeña computadora, por lo que no escapan a ser objeto de ataque desde el cual los atacantes buscan copiar los datos de las tarjetas. Dentro de los malware para estos dispositivos, podemos mencionar a PunkyPOS ya con unos años de historia o Prilex que ameritó una alerta morada de Interpol y comunicación de CONDUSEF.
3. Mobile: Si aún tenías dudas sobre si existen malwares para smartphones que puedan robarte información financiera y personal la respuesta es sí. Por ejemplo, podemos mencionar a WireLurker, un malware para iOS que posee unos 10 años o el ya mencionado Zeus en su versión Android.
4. ATMs: Para el caso de cajeros automáticos la mayoría de los malwares buscan dispensar efectivo de manera arbitraría como por ejemplo el caso de Ploutus. Sin embargo, existen técnicas para copiar datos de tarjetas tanto en los mecanismos de apertura de puerta como directamente en el dispositivo, esta técnica es conocida como Skimming y no necesariamente requiere de código malicioso en el cajero.

Ahora que ya conocemos algunos medios que utilizan los atacantes para hacerse de cuentas, analicemos brevemente el impacto:

• 700% ha incrementado el copiado de tarjetas durante la primera mitad del 2022
• 72% de las contraseñas filtradas en dark web fueron capturadas por botnets.
• 99.2% de los intentos de login son realizados por herramientas automatizadas (bots)

Esto genera que tanto individuos como instituciones seamos conscientes de esta problemática y de manera conjunta adoptemos mecanismos de protección. Tanto personales, para evitar que nos roben nuestras propias cuentas, como a nivel organización, con la finalidad de proteger al cliente y minimizar las posibilidades de que le vacíen su cuenta.

¿Cómo nos protegemos personalmente?

1. Utilice contraseñas seguras: Las contraseñas seguras y únicas para cada plataforma son una forma efectiva de protegerse. Las contraseñas deben ser complejas y difíciles de adivinar, pero fáciles de recordar para nosotros. No es necesario recordar todas las passwords, existen gestores de contraseñas.
2. Autenticación de dos factores (2FA): La autenticación de dos factores proporciona una capa adicional de seguridad al solicitar un código de verificación adicional además de la contraseña. Esto hace que sea más difícil para los atacantes acceder a la cuenta, dado que además de algo que sabes (contraseña) es necesario algo que tienes (2FA) para poder ingresar a la cuenta.
3. Verificación de correo electrónico: Muchas cuentas bancarias y billeteras digitales ofrecen una opción de verificación de correo electrónico para asegurarse de que el usuario es el propietario legítimo de la cuenta e incluso alertar ante nuevos ingresos. Revisar si la organización con la que tienes tu cuenta posee esta funcionalidad y activarla te proveerá visibilidad sobre los accesos.
4. No compartir información personal: Nunca reveles información personal o financiera a desconocidos, ya sea en persona, telefónicamente o vía algún medio electrónico. Cerciórate de comunicarte con la persona en el caso de que la conozcas o con la entidad que te está ofreciendo el premio o solicitando información.
5. Dispositivos: Mantener actualizados todos los programas y sistema operativo de tu computadora y teléfono no es suficiente, intenta fortalecer los mecanismos de seguridad con un antivirus confiable, evita descargar programas pirateados, conectarte a wifi pública y descargar adjuntos de correos desconocidos.

Las empresas también deben implementar medidas para protegerse. Algunas de estas medidas incluyen:

1. Entrenamiento y concientización: Es importante que los colaboradores estén capacitados y concientizados sobre los riesgos de ciberseguridad y sepan cómo identificar y reportar posibles intentos de robo de información. Es el principal eslabón en mecanismos de defensa en profundidad dado que abarca todas las capas.
2. Monitoreo de actividad sospechosa: Las empresas deben monitorear regularmente la actividad en sus cuentas y sistemas para detectar cualquier actividad sospechosa o inusual. Las alertas y notificaciones automatizadas pueden ayudar a detectar intentos de intrusión por ataques de fuerza bruta o múltiples intentos de autenticación en tiempo real.
3. Implementación de autenticación de dos factores (2FA): La autenticación de dos factores es una medida efectiva para proteger las cuentas de la empresa y como valor adicional de seguridad para el cliente.
4. Gestión de contraseñas: Es recomendable para las empresas implementar políticas de gestión de contraseñas, así como solicitar contraseñas seguras, tanto para sistemas internos como para autenticación de clientes. La rotación periódica de contraseñas y la limitación de intentos de inicio de sesión fallidos son mecanismos adicionales para proteger tanto a colaboradores como a clientes.
5. Evaluación de vulnerabilidades: Es recomendable contar con evaluaciones de vulnerabilidades periódicas, lo que no significa correr un Nessus contra el dominio solamente, profundizar en análisis de código, fallas lógicas y pruebas de hacking ético pueden fortalecer a la organización.
6. Protección contra malware: Hasta puede sonar trivial, pero muchas organizaciones pequeñas o medianas consideran que un antimalware es para empresas grandes y que es muy costoso. Independientemente del tamaño de la organización y del sistema operativo que utilicen en sus máquinas (incluso Linux o Mac), es recomendable que posean alguna solución para prevenir la infección con malware.
7. Análisis de datos: Los equipos de prevención de fraudes pueden utilizar herramientas de análisis de datos para detectar patrones y comportamientos de los clientes, como ser dispositivos desde los que accede usualmente, direcciones IPs, localizaciones, etc. Son puntos de datos que normalmente se recolectan durante el proceso de originación pero que en pocas oportunidades se monitoreo acorde al comportamiento del usuario.

Conoce cómo desde Trully podemos ayudarte a atacar de manera eficaz el fraude de robo y suplantación de identidad combinando herramientas de Machine Learning e Inteligencia artificial para detectar defraudadores. Si quieres saber más, aquí te dejamos detalles.