Por "apropiación de cuenta" (Account Takeover o ATO) se entiende cualquier tipo de fraude en el que un delincuente se hace con el control de la cuenta de un consumidor sin su permiso. Es una forma de usurpación de identidad.
Cualquier tipo de cuenta en línea —bancaria, de crédito, de comercio electrónico, de puntos de recompensa, de la seguridad social, de atención sanitaria o de redes sociales— es susceptible de un fraude de apropiación de cuenta, y el daño causado puede ser devastador. Además de las pérdidas económicas que puede sufrir el titular original de la cuenta (estimadas en una media de 12.000 dólares por suceso, unos 11.000 €), las víctimas se ven sometidas a un calvario muy estresante al intentar reclamar su identidad y recuperar el control de su cuenta secuestrada.
Para las empresas, los costes de reputación pueden ser graves. Si la razón por la que un estafador pudo hacerse con la cuenta de un cliente fue un punto débil en su estrategia de prevención del fraude, se pierde la confianza.
El fraude por usurpación de cuentas: un problema multimillonario
Según el informe anual Identity Fraud Study de Javelin Research, las pérdidas por apropiación de cuentas en 2021 aumentaron un 90% respecto al año anterior, hasta alcanzar una cifra estimada de 11.400 millones de dólares. El estudio reveló que casi una cuarta parte (22%) de la población estadounidense adulta ha sido víctima de ATO.
Esta cifra se ha disparado desde la pandemia. Muchas empresas, quizá no preparadas para la aceleración en la evolución de los hábitos de compra y las opciones de pago en línea que trajo consigo el Covid-19, tenían vulnerabilidades en sus sistemas de prevención del fraude que los defraudadores pudieron aprovechar.
Lamentablemente, a pesar de los elevados índices de ataques, los consumidores siguen siendo relativamente inconscientes del riesgo real que suponen hábitos como el uso repetido de contraseñas en múltiples cuentas. Al mismo tiempo, muchas empresas siguen sin ser lo suficientemente proactivas a la hora de protegerse de los daños financieros y de reputación que pueden producirse cuando los clientes sufren ataques ATO.
Lo que está en juego para las empresas es increíblemente importante, ya que el 38% de los encuestados en el estudio afirmaron que abandonarían por completo un servicio si sufrieran un ataque ATO a través de esa plataforma.
Por lo tanto, es vital que las organizaciones encuentren la combinación adecuada de herramientas para protegerse a sí mismas y a sus clientes.
Cómo se producen los ataques ATO
Los ataques ATO suelen iniciarse utilizando credenciales obtenidas a partir de filtraciones de datos y que luego se venden en la dark web a terceros. El creciente número de filtraciones de datos ha hecho que a los delincuentes no les falte acceso a la información de identificación personal (IIP), que les permite superar las barreras más comunes de inicio de sesión.
Una vez que un estafador entra en una cuenta, puede realizar cambios críticos en el perfil de un usuario, actualizando la información de contacto y cambiando la contraseña. De este modo, el defraudador obtiene el control de la cuenta.
Una vez conseguido esto, es libre de realizar transacciones no autorizadas que parezcan legítimas, como solicitar nuevas tarjetas de pago que pueden enviarse a nuevas direcciones, añadir usuarios a la cuenta, transferir dinero o abrir nuevas líneas de crédito.
Autenticación multifactor: ¿es suficiente para evitar los ATO?
En otros casos, los delincuentes roban dispositivos, sabiendo que si pueden hacerse con el control de los dispositivos vinculados a las cuentas tendrán los medios para eludir medidas de seguridad adicionales, como la autenticación de dos factores (2FA) o las contraseñas de un solo uso (OTP). A principios de este año, un informe de Auth0 descubrió que los ataques de grupos de ciberdelincuentes dirigidos a técnicas de autenticación multifactor (MFA) habían alcanzado los niveles más altos jamás registrados, con aproximadamente 113 millones de ataques MFA. Este aumento refleja que la MFA se ha convertido en el método de seguridad secundario preferido por muchos de los principales proveedores de aplicaciones y servicios. Sin embargo, cuando los códigos 2FA llegan a un dispositivo por SMS o correo electrónico, pueden ser interceptados inmediatamente por el delincuente. Una vez que el delincuente tiene el código, tiene las llaves del reino.
Esto es exactamente lo que le ocurrió a Charlotte Morgan, la víctima de este caso. Cuando se dio cuenta de que le habían robado el teléfono en su gimnasio, los delincuentes ya habían conseguido restablecer los datos de seguridad de su correo electrónico, banca online, móvil y Apple Pay y vaciar sus cuentas de ahorro. Todo esto fue posible porque pudieron interceptar los métodos 2FA que ella había configurado en su teléfono.
Se trata de un problema creciente. Más del 60 % de los encuestados en un estudio de 2021 tenían configuradas preguntas de seguridad, autenticación de dos o múltiples factores, o ambas cosas cuando se hicieron con sus cuentas, lo que implica que estas medidas no garantizan la protección contra el fraude de identidad.
Más información sobre la importancia de la autenticación por capas para evitar ATO
Cómo proteger a tus clientes y a tu empresa de los ATO
Los ladrones de identidad se basan en procesos deficientes de detección de fraudes, medidas de seguridad débiles, empleados sin formación que inspeccionan manualmente los documentos falsos y/o la esperanza de simplemente perderse en el flujo de clientes legítimos. Una seguridad adecuada, la verificación de la identidad digital y la revisión manual por parte de expertos ayudan a identificar actividades sospechosas.
Impedir el fraude de apropiación de cuentas es un acto de equilibrio. Por un lado, hay que evitar que se produzcan transacciones fraudulentas. Por otro, quiere asegurarse de que la gran mayoría de sus clientes, que tienen motivos legítimos para querer acceder a sus cuentas y gestionarlas sin fricciones ni molestias indebidas, no se vean frustrados por procesos que les ralentizan y les someten a un escrutinio innecesario.
Así que debemos ser capaces de averiguar quién es un cliente auténtico y quién no, y en tiempo real, porque los defraudadores trabajan rápido y los consumidores no perdonarán que unas indulgentes medidas de seguridad les hagan ser víctimas de fraude de identidad.
Aprender a detectar las señales de alarma
Las empresas que logran prevenir el fraude ATO disponen de sistemas que detectan rápidamente las señales de alarma.
Entre las señales de alarma de la apropiación de cuentas se incluyen:
- Múltiples intentos de inicio de sesión.
- Notificaciones desactivadas.
- Solicitud de cambios en los datos de contacto o en las direcciones de correo electrónico a las que se envían los OTP.
- Solicitudes para crear un nuevo beneficiario o usuario autorizado.
- Cambios en la dirección registrada en la cuenta, seguidos de solicitudes de nuevas tarjetas de pago o talonarios de cheques.
Aunque ninguna bandera roja revelará por sí sola todo lo necesario para determinar si una cuenta se ha visto comprometida, adoptar un enfoque basado en el riesgo de los ataques ATO permite a los sistemas señalar las transacciones que podrían ser fraudulentas con mayor eficacia y permite a los agentes considerar entonces el contexto en relación a esa solicitud.
Por supuesto, recordar a los clientes que tomen medidas para protegerse también es crucial. Hay que animar a los usuarios a cambiar las contraseñas con regularidad y hacerlas lo suficientemente fuertes y complejas, no compartirlas con otros y no utilizar la misma en varias cuentas. También hay que animar a los clientes a activar la autenticación multifactor siempre que sea posible.
Disponer de las herramientas adecuadas
Minimizar el robo de identidad y reconocer las transacciones fraudulentas requiere algoritmos avanzados e inteligencia artificial.
Los enfoques más eficaces incluyen procesos de verificación de la identidad a escala, verificando la identidad de un usuario en la incorporación y autenticándolo después cada vez que intenta una transacción de alto riesgo. Estas herramientas digitales reconocen las actividades maliciosas y sospechosas que los empleados no pueden detectar. Las técnicas de aprendizaje automático totalmente automatizadas aplicadas a la captura de documentos, la comparación facial biométrica, la detección de vitalidad, la autenticación de documentos y la clasificación y extracción ofrecen una verificación de identidad digital casi instantánea con resultados sobresalientes y una fricción mínima para los clientes.
La Plataforma de Identificación de la identidad de Mitek permite a las organizaciones detectar y prevenir el fraude de identidad en tiempo real, proporcionando resultados en los que las empresas pueden confiar con rapidez, y ayuda a reducir los costes asociados al fraude.
Descarga el nuevo informe Gartner
La biometría
El software biométrico utiliza marcadores como el reconocimiento facial y de voz para capturar la entrada biológica de un usuario. A continuación, un sofisticado software mide la captura para crear una plantilla de puntos de datos de referencia, que será el punto de datos determinante para futuros usos.
Las herramientas biométricas como MiPass de Mitek están demostrando tener muchas ventajas sobre las técnicas tradicionales de verificación de identidad. No pueden ser compartidas ni robadas por los estafadores, son muy precisas y ofrecen una experiencia de usuario rápida y sencilla.
Por supuesto, diferentes circunstancias y situaciones requieren diferentes aproximaciones. El software de Mitek permite a los clientes la opción de configurar distintas funciones y capas de protección para adaptarse a distintos casos de uso y niveles de riesgo, todo ello al tiempo que se proporciona una experiencia de cliente intuitiva y fluida.
Sobre las soluciones ATO
Soluciones heredadas: ejemplos: PIN, contraseñas y KBA.
- Puntos fuertes: familiar y fácil de entender para los clientes. Más útiles en el inicio de sesión o cuando no hay otras señales de riesgo.
- Puntos débiles: fácilmente compartibles, a menudo expuestos en violaciones de datos, o utilizados en múltiples cuentas.
Tokens: ejemplos: tokens físicos y tokens de dispositivos como OTP.
- Puntos fuertes: la información cambia constantemente, lo que dificulta que los defraudadores la adivinen o que los consumidores la compartan.
- Puntos débiles: los tokens físicos se pierden o roban con facilidad. En el caso de los dispositivos, el pirateo/intercambio de simulaciones presenta una vulnerabilidad significativa.
Biometría del comportamiento: soluciones que utilizan métodos de autenticación pasiva para determinar si un usuario es auténtico. Suelen dividirse en dos categorías: cómo interactúa un consumidor con un dispositivo determinado y cómo se comporta en ese dispositivo.
- Puntos fuertes: la autenticación pasiva ofrece una gran experiencia de usuario al consumidor.
- Puntos débiles: este método a menudo tiene dificultades para identificar usuarios separados en un dispositivo dado o para transferir nuevos comportamientos cuando se reemplaza o compra un dispositivo.
Biometría morfológica: medición de rasgos biométricos como la cara, la voz, la palma de la mano, los ojos, las venas, etc.
- Puntos fuertes: la biometría medible tiene varios puntos fuertes, no pueden ser compartidos o robados por los estafadores, son muy precisos y proporcionan una experiencia de usuario sólida.
- Puntos débiles: la aceptación y los problemas de privacidad siguen siendo las principales preocupaciones para recopilar y almacenar cualidades biométricas medibles.
Implica a expertos para ir por delante
Comprender el riesgo de fraude de la ATO significa comprender cómo actúan los defraudadores. Y eso cambia con el tiempo. Lo que antes era suficiente para proporcionar una protección adecuada puede que ya no lo sea, a medida que los delincuentes adoptan enfoques cada vez más sofisticados. Esto significa que es vital tener acceso a información actualizada sobre las tendencias de fraude actuales y emergentes.
Mitek lleva más de 20 años empleando la IA para desarrollar soluciones de reconocimiento de imágenes e identidad digital que han marcado la industria. Con experiencia en la Interpol, la FSA, la patrulla fronteriza de la UE y la inteligencia militar, nuestros expertos en documentación y científicos internos han creado una tecnología patentada que se adapta a un entorno de fraude de identidad en constante cambio.
Para hablar con los expertos en prevención del fraude de Mitek sobre cómo nuestras soluciones pueden ayudarte a proteger tu empresa y a tus usuarios, contacta con nosotros.