Fraude por apropiación de cuentas (ATO). Qué es y cómo evitarlo

26-06-2025 by Carmel Maher - Director of Market Strategy and Intelligence at Mitek

Fraude por apropiación de cuentas (ATO). Qué es y cómo evitarlo

Hoy en día las empresas son cada vez más vulnerables al fraude financiero, y los ataques de apropiación de cuentas (ATO) causan pérdidas que alcanzan los 14.000 millones de euros sólo en Estados Unidos. La ATO es una forma de robo de identidad online en la que un atacante obtiene acceso no autorizado a la cuenta online de una víctima y después la utiliza para llevar a cabo actividades fraudulentas o acceder a información personal o financiera sensible.Fraude por apropiación de cuentas

Los ataques fraudulentos ATO pueden tener graves consecuencias tanto para usuarios como para organizaciones. Desde pérdidas financieras y daños a la reputación, hasta interrupciones operativas y relaciones comprometidas con los clientes. En la actualidad, uno de cada tres usuarios de internet es víctima de un ATO, lo que parece indicar que este tipo de ciberataques no va a disminuir.

Por "apropiación de cuenta" (Account Takeover, o ATO) se entiende cualquier tipo de fraude en el que un delincuente se hace con el control de la cuenta de un consumidor sin su permiso. Es una forma de usurpación de identidad.

Cualquier tipo de cuenta online —bancaria, de crédito, de comercio electrónico, de puntos de recompensa, de la Seguridad Social, de atención sanitaria o de redes sociales— es susceptible de un fraude de apropiación de cuenta, y el daño causado puede ser devastador. Además de las pérdidas económicas que puede sufrir el titular original de la cuenta (estimadas en una media de unos 11.000 euros por suceso), las víctimas se ven sometidas a un calvario muy estresante al intentar reclamar su identidad y recuperar el control de la cuenta secuestrada.

Para las empresas, los costes de reputación pueden ser graves. Si la razón por la que un estafador pudo hacerse con la cuenta de un cliente fue un punto débil en su estrategia de prevención del fraude, se pierde la confianza.

El fraude por usurpación de cuentas (ATO): un problema multimillonario

Según el informe anual Identity Fraud Study de Javelin Research, ya en 2021 las pérdidas por apropiación de cuentas aumentaron un 90% respecto al año anterior, hasta alcanzar una cifra estimada de 1.288 millones de euros. El estudio reveló que casi una cuarta parte (22%) de la población estadounidense adulta ha sido víctima de ATO.

Esta cifra se ha disparado desde la pandemia. Muchas empresas, quizá no preparadas para la aceleración en la evolución de los hábitos de compra y las opciones de pago online que trajo consigo la COVID-19, tenían vulnerabilidades en sus sistemas de prevención del fraude que los defraudadores supieron aprovechar.

Lamentablemente, a pesar de los elevados índices de ataques, los consumidores siguen siendo relativamente inconscientes del riesgo real que suponen hábitos como el uso repetido de contraseñas en múltiples cuentas.

Por otra parte, muchas empresas siguen sin ser lo suficientemente proactivas a la hora de protegerse de los daños financieros y de reputación que pueden producirse cuando los clientes sufren ataques ATO.

Lo que está en juego para las empresas es increíblemente importante, ya que el 38% de las personas encuestadas en el estudio afirmaron que abandonarían por completo un servicio si sufrieran un ataque ATO a través de su plataforma. Es de vital importancia, por tanto, que las organizaciones encuentren la combinación adecuada de herramientas para protegerse a sí mismas y a sus clientes.

Cómo se producen los ataques ATO

Los ataques ATO suelen iniciarse utilizando credenciales obtenidas a partir de filtraciones de datos y que luego se venden en la dark web a terceros. El creciente número de filtraciones de datos ha hecho que a los delincuentes no les falte acceso a la información de identificación personal (IIP), que les permite superar las barreras más comunes de inicio de sesión.

Una vez que un estafador entra en una cuenta, puede realizar cambios críticos en el perfil de un usuario, actualizando la información de contacto y cambiando la contraseña. De este modo, el defraudador obtiene el control de la cuenta.

Una vez conseguido esto, es libre de realizar transacciones no autorizadas que parezcan legítimas, como solicitar nuevas tarjetas de pago que pueden enviarse a nuevas direcciones, añadir usuarios a la cuenta, transferir dinero o abrir nuevas líneas de crédito.

Las metodologías detrás de la estafa

El fraude de apropiación de cuentas puede producirse a través de varios métodos:

  • Phishing: envío de correos electrónicos o mensajes fraudulentos para engañar a las víctimas y que faciliten sus credenciales de inicio de sesión.
  • Falsificación de datos: las credenciales robadas de las violaciones de datos se venden en la web oscura y se utilizan para acceder a las cuentas.
  • Malware: un software malicioso instalado en el dispositivo de la víctima captura la información de inicio de sesión.
  • Relleno de credenciales: los ciberdelincuentes utilizan secuencias de comandos automatizadas para probar en distintos sitios web los nombres de usuario y contraseñas robados.
  • Ingeniería social: manipulación de las víctimas para que revelen su información de inicio de sesión haciéndose pasar por entidades de confianza.
  • Ataques de fuerza bruta: uso de herramientas automatizadas para probar numerosas combinaciones de nombre de usuario y contraseña hasta encontrar una coincidencia.
  • Ataques de intermediario: los atacantes interceptan la comunicación entre un usuario y un sitio web, lo que les permite capturar credenciales u otra información.
  • Fraude de intercambio de SIM: un tipo de apropiación de cuenta en el que los estafadores transfieren el número de teléfono móvil de la víctima a una nueva tarjeta SIM bajo su control. Esto les permite interceptar los códigos de autenticación de dos factores (2FA) basados en SMS y eludir las protecciones de inicio de sesión para obtener acceso no autorizado a las cuentas.

Cómo afecta el fraude por apropiación de cuentas a las empresas

A medida que las interacciones digitales se convierten en la columna vertebral del crecimiento empresarial, es fundamental que las empresas refuercen sus defensas digitales y se protejan a sí mismas y a sus clientes del fraude de identidad.

Las pérdidas por ATO pueden tener un gran impacto financiero en las empresas. Aunque el coste medio de un ataque ATO es de 300 €, este puede aumentar rápidamente, lo que se traduce en un grave impacto en la cuenta de resultados. Igual de perjudicial es la erosión de la confianza y el consiguiente daño a la reputación, que puede conducir a la pérdida de clientes a largo plazo y a la disminución de la credibilidad de la entidad en el mercado.

La mayoría de los consumidores consideran a las empresas responsables de proteger su presencia en Internet. Por ello, no es de extrañar que el 38% de las víctimas de ATO abandonen una empresa tras un intento de apropiación. Además, el incumplimiento de normativas como el Reglamento General de Protección de Datos (RGPD) y la Directiva Revisada sobre Servicios de Pago (PSD2) puede comportar importantes sanciones legales y económicas.

Confiar únicamente en los métodos de autenticación tradicionales y en la AMF básica ya no es suficiente. Las organizaciones deben adoptar soluciones de seguridad más sofisticadas y adaptables, como la biometría, para ir por delante de los ciberdelincuentes.

Autenticación multifactor: ¿es suficiente para evitar los ATO?

En otros casos, los delincuentes roban dispositivos sabiendo que, si pueden hacerse con su control, tendrán los medios para eludir medidas de seguridad adicionales, como la autenticación de dos factores (2FA) o las contraseñas de un solo uso (OTP). A principios de este año, un informe de Auth0 descubrió que los ataques de grupos de ciberdelincuentes dirigidos a técnicas de autenticación multifactor (MFA) habían alcanzado los niveles más altos jamás registrados, con aproximadamente 113 millones de ataques MFA.

Este aumento refleja que la MFA se ha convertido en el método de seguridad secundario preferido por muchos de los principales proveedores de aplicaciones y servicios. Sin embargo, cuando los códigos 2FA llegan a un dispositivo por SMS o correo electrónico, pueden ser interceptados inmediatamente por el delincuente. Una vez que el delincuente tiene el código, tiene las llaves del reino.

Esto es exactamente lo que le ocurrió a Charlotte Morgan, la víctima de este caso. Cuando se percató del robo de su teléfono en su gimnasio, los delincuentes ya habían conseguido restablecer los datos de seguridad de su correo electrónico, banca online, móvil y Apple Pay, y vaciar sus cuentas de ahorro. Todo esto fue posible porque pudieron interceptar los métodos 2FA que ella había configurado en su teléfono.

Se trata de un problema creciente. Más del 60 % de los encuestados en un estudio de 2021 tenían configuradas preguntas de seguridad, autenticación de dos o múltiples factores, o ambas cosas cuando se hicieron con sus cuentas, lo que implica que estas medidas no garantizan la protección contra el fraude de identidad.

Más información sobre la importancia de la autenticación por capas para evitar ATO

Cómo proteger a tus clientes y a tu empresa de los ATO

Los ladrones de identidad se basan en procesos deficientes de detección de fraudes, medidas de seguridad débiles, empleados sin formación que inspeccionan manualmente los documentos y/o la esperanza de simplemente perderse en el flujo de clientes legítimos. Una seguridad adecuada, la verificación de la identidad digital y la revisión manual por parte de expertos contribuyen en gran medida a identificar actividades sospechosas.

Impedir el fraude de apropiación de cuentas es un acto de equilibrio. Por una parte, hay que evitar que se produzcan transacciones fraudulentas. Por otra, queremos asegurarnos de que la gran mayoría de los clientes, que tienen motivos legítimos para querer acceder a sus cuentas y gestionarlas sin fricciones ni molestias indebidas, no se vean frustrados por procesos que les ralentizan y les someten a un escrutinio innecesario.

Así que debemos ser capaces de averiguar quién es un cliente auténtico y quién no, y en tiempo real, porque los defraudadores trabajan rápido y los consumidores no perdonarán que unas indulgentes medidas de seguridad les acaben convirtiendo en víctimas de fraude de identidad.

Aprender a detectar las señales de alarma

Las empresas que logran prevenir el fraude ATO disponen de sistemas que detectan rápidamente las señales de alarma.

  • Entre las señales de alarma de la apropiación de cuentas se incluyen:
  • Múltiples intentos de inicio de sesión.
  • Notificaciones desactivadas.
  • Solicitud de cambios en los datos de contacto o en las direcciones de correo electrónico a las que se envían los OTP.
  • Solicitudes para crear un nuevo beneficiario o usuario autorizado.
  • Cambios en la dirección registrada en la cuenta, seguidos de solicitudes de nuevas tarjetas de pago o talonarios de cheques.

Aunque ninguna bandera roja revelará por sí sola todo lo necesario para determinar si una cuenta se ha visto comprometida, adoptar un enfoque basado en el riesgo de los ataques ATO permite a los sistemas señalar las transacciones que podrían ser fraudulentas con mayor eficacia y permite a los agentes considerar así el contexto en relación a esa solicitud.

Por supuesto, recordar a los clientes que tomen medidas para protegerse también es crucial. Hay que animar a los usuarios a cambiar las contraseñas con regularidad y hacerlas lo suficientemente fuertes y complejas, no compartirlas con otros y no utilizar la misma en varias cuentas. También hay que animar a los clientes a activar la autenticación multifactor siempre que sea posible.

Disponer de las herramientas adecuadas

Minimizar el robo de identidad y reconocer las transacciones fraudulentas requiere algoritmos avanzados e inteligencia artificial.

Los enfoques más eficaces incluyen procesos de verificación de la identidad a escala, verificando la identidad de un usuario en el onboarding y autenticándolo después cada vez que intenta una transacción de alto riesgo. Estas herramientas digitales reconocen las actividades maliciosas y sospechosas que los empleados no pueden detectar.

Las técnicas de aprendizaje automático totalmente automatizadas aplicadas a la captura de documentos, la comparación facial biométrica, la detección de vida, la autenticación de documentos y la clasificación y extracción ofrecen una verificación de identidad digital casi instantánea con resultados sobresalientes y una fricción mínima para los clientes.

La Plataforma de Identificación de la Identidad de Mitek permite a las organizaciones detectar y prevenir el fraude de identidad en tiempo real, proporcionando resultados en los que las empresas pueden confiar con rapidez, y ayuda a reducir los costes asociados al fraude.

Descarga el informe Gartner para más información

La biometría

El software biométrico utiliza marcadores como el reconocimiento facial y de voz para capturar la entrada biológica de un usuario. A continuación, un sofisticado software mide la captura para crear una plantilla de puntos de datos de referencia, que será determinante para futuros usos.

Las herramientas biométricas como MiPass de Mitek están demostrando tener muchas ventajas sobre las técnicas tradicionales de verificación de identidad. No pueden ser compartidas ni robadas por los estafadores, son muy precisas y ofrecen una experiencia de usuario rápida y sencilla con 4 capas de seguridad adicionales.

Por supuesto, diferentes circunstancias y situaciones requieren diferentes aproximaciones. El software de Mitek permite a los clientes la opción de configurar distintas funciones y capas de protección para adaptarse a distintos casos de uso y niveles de riesgo, todo ello a la vez que se proporciona una experiencia de cliente intuitiva y fluida.

Sobre las soluciones ATO

Soluciones heredadas: ejemplos: PIN, contraseñas y KBA.

  • Puntos fuertes: familiar y fácil de entender para los clientes. Más útiles en el inicio de sesión o cuando no hay otras señales de riesgo.
  • Puntos débiles: fácilmente compartibles, a menudo expuestas en violaciones de datos, o utilizadas en múltiples cuentas.

Tokens: ejemplos: tokens físicos y tokens de dispositivos como OTP.

  • Puntos fuertes: la información cambia constantemente, lo que dificulta que los defraudadores la adivinen o que los consumidores la compartan.
  • Puntos débiles: los tokens físicos se pierden o roban con facilidad. En el caso de los dispositivos, el pirateo/intercambio de simulaciones presenta una vulnerabilidad significativa.

Biometría del comportamiento: soluciones que utilizan métodos de autenticación pasiva para determinar si un usuario es auténtico. Suelen clasificarse en dos categorías: interacción física con el dispositivo, que analiza aspectos como la velocidad y el ritmo de escritura, los movimientos del ratón o el uso de la pantalla táctil; y patrones de comportamiento dentro del entorno digital, como las rutas de navegación, los horarios habituales de acceso o las acciones frecuentes dentro de una aplicación o sistema.

  • Puntos fuertes: la autenticación pasiva ofrece una gran experiencia de usuario al consumidor.
  • Puntos débiles: este método a menudo tiene dificultades para identificar usuarios separados en un dispositivo dado o para transferir nuevos comportamientos cuando se reemplaza o compra un dispositivo.

Biometría morfológica: medición de rasgos biométricos como la cara, la voz, la palma de la mano, los ojos, las venas, etc.

  • Puntos fuertes: la biometría medible tiene varios puntos fuertes, no pueden ser compartidos o robados por los estafadores, son muy precisos y proporcionan una experiencia de usuario sólida.
  • Puntos débiles: la aceptación y los problemas de privacidad siguen siendo las principales preocupaciones para recopilar y almacenar cualidades biométricas medibles.

Cómo utilizar la biometría para frenar los ataques ATO

La autenticación biométrica ofrece una sólida protección contra los ataques ATO aprovechando los rasgos biológicos únicos de las personas:

Se centra en quién es el usuario, no en lo que sabe, (contraseñas) o tiene, (dispositivos)

La biometría, como las huellas dactilares o el reconocimiento facial, se basa en rasgos inherentes que no se pueden adivinar, robar o replicar tan fácilmente como las contraseñas o los dispositivos. A diferencia de las contraseñas o la información personal, los datos biométricos no pueden ponerse en peligro mediante phishing o vishing. Además, no pueden venderse en la web oscura.

Autenticación instantánea del individuo

Los datos biométricos pueden autenticar al propio usuario, garantizando que sólo el propietario legítimo de la cuenta pueda acceder a ella, y no sólo alguien que conozca la contraseña o el PIN correctos, o que responda a las preguntas de seguridad para reverificar. Pueden pasar horas o incluso días antes de que alguien se dé cuenta de que su cuenta ha sido pirateada. Este enfoque proactivo previene los ataques incluso antes de que se produzcan, eliminando el lapso de tiempo durante el cual las víctimas se dan cuenta de que sus cuentas han sido violadas.

Detección de vida para evitar la suplantación

Los sistemas biométricos avanzados integran la detección de vida para garantizar que los datos biométricos presentados proceden de una persona viva y no de una foto, una grabación o un modelo 3D. Esta salvaguarda es crucial para contrarrestar los intentos de suplantación y reforzar la seguridad.

Contrarrestar el fraude GenAI

La biometría incorpora defensas contra las falsificaciones generadas por IA y los ataques de inyección, garantizando que los estafadores no puedan engañar a los sistemas de autenticación con datos manipulados.

Mejora de la autenticación multifactor (MFA)

La autenticación biométrica sirve como un potente segundo factor dentro de los marcos MFA, ofreciendo una protección mucho más fuerte que las opciones tradicionales como las contraseñas o los tokens basados en SMS. Esta capa adicional de seguridad refuerza las defensas contra el fraude ATO.

Ventajas de la biometría para prevenir ataques ATO

La autenticación biométrica es extremadamente difícil de falsificar, lo que permite a las organizaciones ofrecer una sólida protección de los datos de sus usuarios, reducir el fraude digital y generar una confianza duradera con sus clientes. Desde el reconocimiento facial y de voz hasta los sistemas multimodales avanzados, proporciona una potente solución para prevenir los ataques ATO que está remodelando la forma en que las personas y las organizaciones abordan la verificación de la identidad.

Refuerza la seguridad y la detección del fraude en tiempo real

La biometría aprovecha rasgos únicos y difíciles de replicar, como las huellas dactilares y el reconocimiento facial, garantizando una sólida protección contra los atacantes. Los sistemas biométricos, mejorados por la detección de fraudes basada en IA, evalúan el riesgo en tiempo real, lo que permite una prevención proactiva en lugar de respuestas reactivas. A diferencia de las contraseñas, que pueden verse comprometidas sin detección inmediata, la biometría bloquea el acceso fraudulento antes de que se produzca, minimizando la exposición a los riesgos ATO.

Reduzca la fricción del cliente

La autenticación biométrica simplifica la experiencia del usuario, proporcionando una verificación rápida y sin problemas en comparación con los lentos reajustes de contraseñas o la AMF basada en SMS. Esta combinación de seguridad y comodidad aumenta la satisfacción y lealtad del cliente, superando las desventajas que a menudo se observan con los métodos tradicionales de AMF. Además, los sistemas biométricos se alinean con los estándares de cumplimiento normativo como PSD2, GDPR y KYC al mejorar la verificación de identidad y generar pistas de auditoría para la trazabilidad.

Menores costes

La implantación de la autenticación biométrica reduce los costes operativos al disminuir las pérdidas por fraude, minimizar los esfuerzos de recuperación de contraseñas y disminuir las consultas al servicio de atención al cliente. Además, al prevenir futuras violaciones, las empresas pueden evitar costosos esfuerzos de reparación, lo que supone un importante ahorro a largo plazo.

Mitiga los riesgos para la reputación

Las filtraciones de datos y las actividades fraudulentas pueden dañar gravemente la confianza de los clientes y la reputación de la marca. Al integrar la biometría, las organizaciones demuestran su compromiso de salvaguardar las cuentas de los usuarios, reduciendo la probabilidad de incidentes de seguridad que podrían empañar su reputación.

Mejora la preparación para el futuro

La biometría prepara a las empresas para las cambiantes demandas de seguridad, posicionándolas para adaptarse a ataques sofisticados a la vez que soporta tecnologías emergentes como carteras digitales e identificaciones electrónicas. Al integrar la biometría, las empresas se aseguran de que sus sistemas son escalables y están equipados para hacer frente a futuras innovaciones y amenazas.

Implica a expertos para ir por delante

Comprender el riesgo de fraude de la ATO significa comprender cómo actúan los defraudadores. Y eso cambia con el tiempo. Lo que antes era suficiente para proporcionar una protección adecuada puede que ya no lo sea, a medida que los delincuentes adoptan enfoques cada vez más sofisticados. Esto significa que es vital tener acceso a información actualizada sobre las tendencias de fraude actuales y emergentes.

Obtén ayuda para la prevención del fraude ATO

Mitek lleva más de 20 años empleando la IA para desarrollar soluciones de reconocimiento de imágenes e identidad digital que han marcado la industria. Con experiencia en la Interpol, la FSA, la patrulla fronteriza de la UE y la inteligencia militar, nuestros expertos en documentación y científicos internos han creado una tecnología patentada que se adapta a un entorno de fraude de identidad en constante cambio.

Más información sin compromiso.