30 inquietantes estadísticas sobre fraudes de toma de control de cuentas (ATO)

23-09-2025 by Carmel Maher - Director of Market Strategy and Intelligence at Mitek

Según datos de 2024, en Europa los intentos de fraude aumentaron un 88 % en cuatro años, y en concreto los de identidad,ATO un 69 %. Aunque no todos están vinculados a apropiación de cuentas, una proporción cada vez mayor sí lo está, convirtiendo este tipo de fraude en una de las modalidades de delito de identidad con mayor crecimiento. Y no hablamos solo de cifras: reflejan la magnitud y la urgencia de la amenaza. Para las empresas, es un claro recordatorio de que deben reforzar su capacidad de prevención y respuesta sin demora.

El fraude por toma de control de cuentas (ATO) se produce cuando un ciberdelincuente accede sin autorización a la cuenta de una persona robando sus datos de acceso. Estos datos suelen obtenerse a través de estafas de phishing, malware, filtraciones de datos o técnicas de ingeniería social. Una vez han accedido a la cuenta, los estafadores pueden restablecer contraseñas, modificar datos personales, transferir fondos e incluso hacerse pasar por el usuario legítimo para cometer nuevos fraudes.

Por eso, una de las prioridades de Mitek es desarrollar soluciones que permitan a las empresas detectar y frenar los intentos de apropiación de cuentas (ATO) mediante el uso de tecnologías biométricas avanzadas y sistemas especializados de detección del fraude.

Aunque las pérdidas asociadas a este tipo de fraude continúan siendo un riesgo considerable para instituciones financieras como bancos, cooperativas de crédito, fintechs y sociedades de corretaje, la amenaza se ha extendido mucho más allá del sector financiero. Hoy también alcanza a ámbitos como las telecomunicaciones, la energía, el comercio electrónico e incluso a las propias plantillas de empleados de grandes corporaciones.

Estadísticas sobre el fraude por toma de control de cuentas

Estas 30 inquietantes estadísticas muestran hasta qué punto este tipo de ataques se ha vuelto común y perjudicial. Empecemos por ver con qué frecuencia ocurren estos ataques… y a quién tienen como objetivo.

¿Con qué frecuencia se producen tomas de control de cuentas?

  1. En 2024, casi el 29 % de los adultos solo en EE. UU. —unos 77 millones de personas— sufrieron una toma de control de cuenta, lo que convierte a este tipo de fraude en una de las formas de robo de identidad más comunes, según datos de security.org.

  1. A nivel corporativo, un 83 % de las organizaciones encuestadas por Abnormal Security informó haber sido víctima de al menos un ataque de este tipo, y un 5 % reconoció haberlo sufrido más de 25 veces.

  1. Los datos de Abnormal Security también muestran que el 26 % de las empresas se enfrentan a intentos de ATO cada semana, lo que refleja la frecuencia y persistencia de estos ataques.

  1. Según el informe de estadísticas de ciberseguridad de SpyCloud, los ataques de toma de control de cuentas aumentaron un 24 % interanual en 2024, lo que evidencia la magnitud creciente de esta amenaza y su consolidación como una de las principales formas de fraude de identidad.

Y las consecuencias van mucho más allá de una simple molestia: las pérdidas asociadas al ATO siguen aumentando para particulares, instituciones e incluso sectores completos.

El impacto financiero de las tomas de control de cuentas

  1.  Javelin Strategy identificó el ATO como el “mayor riesgo” al que se enfrentan las instituciones financieras, señalando un incremento interanual del 13 % en las pérdidas en 2024, incluso cuando el número de incidentes descendió.

  1. La FTC refleja un panorama similar: en 2024 las pérdidas aumentaron hasta los 11.625 millones de euros, sin que se registrara un incremento en el número de denuncias de fraude.

  1. Por su parte, SEON proyecta que las pérdidas globales derivadas del fraude por toma de control de cuentas podrían alcanzar los 15.800 millones de euros en 2025, frente a más de 12.000 millones en 2023, lo que pone de relieve la creciente escala y sofisticación de estos ataques.

  1. A nivel corporativo, security.org calcula que una brecha de este tipo puede costar a una empresa una media de 4,65 millones de euros.

  1. En el plano individual, el mismo estudio de security.org señala una pérdida media de 167 euros, aunque en algunos casos se han registrado perjuicios de hasta 79.000 euros.

  1. Finalmente, el informe Javelin 2025 Identity Fraud Study: Breaking Barriers to Innovation confirma que el ATO se ha convertido en el tipo de fraude de más rápido crecimiento, con pérdidas que ya casi alcanzan los 2.700 millones de euros. Cada vez más, los ciberdelincuentes se dirigen a cuentas que ya han superado procesos de verificación KYC, lo que les permite saltarse los controles de alta y extraer sumas aún mayores.

Sectores afectados por las tomas de control de cuentas

Los ataques de ATO se dirigen a una amplia variedad de sectores en los que existe la posibilidad de obtener beneficios económicos. Según el Digital Trust Index de Sift (Q3 2024), los consumidores denunciaron con mayor frecuencia incidentes de este tipo en los siguientes sitios web y aplicaciones:

  • 35 % – Cuentas bancarias o de tarjetas de crédito
  • 22 % – Plataformas de compras online
  • 15 % – Plataformas de videojuegos online
  • 13 % – Servicios de entrega de comida a domicilio
  • 11 % – Páginas de apuestas online
  • 9 % – Plataformas o intercambios de criptomonedas

  1. Además, Hacker News recopiló un gráfico con las pérdidas económicas medias asociadas a distintos tipos de tomas de control de cuentas. Estas oscilan desde unos pocos euros en casos de uso fraudulento de credenciales de servicios de entretenimiento o streaming, hasta varios miles de euros diarios en casos de uso no autorizado de cuentas de computación en la nube o de comercio electrónico.

Técnicas de ataque en el fraude por apropiación de cuentas 

  1. El credential stuffing —ataques en los que los bots utilizan combinaciones de usuario y contraseña procedentes de otras filtraciones para probarlas en nuevos sitios y aprovechar la reutilización de contraseñas— es uno de los vectores de amenaza más habituales. El informe Securing Apps 2024 de Akamai contabilizó nada menos que 26.000 millones de intentos de credential stuffing cada mes.

  1. Password reuse continues to pose a major security risk. In 2025, 62% of Americans reported reusing passwords, and 52% of login attempts involve leaked credentials, according to NordPass and Cloudflare. Together, these trends fuel credential stuffing and account takeover attacks at scale. 

  1. La reutilización de contraseñas sigue representando un riesgo de seguridad importante. En 2025, el 62 % de usuarios reconoció reutilizar contraseñas y, según NordPass y Cloudflare, el 52 % de los intentos de inicio de sesión implicaba credenciales filtradas. Ambas tendencias alimentan el credential stuffing y los ataques de ATO a gran escala. 

    15. Los ataques de phishing son otro vector habitual, impulsados además por plataformas que ofrecen “phishing as a service” (PhaaS), como Sneaky 2FA, Tycoon 2FA o EvilProxy, que ponen a disposición de los estafadores herramientas fáciles de usar. La firma de seguridad Barracuda registró más de un millón de ataques de phishing en los dos primeros meses de 2025.

  1. La IA generativa también está dando lugar a nuevos vectores de ataque al hacer que los intentos de phishing resulten más convincentes. Estos ataques pueden incorporar información pública sobre personas u organizaciones, añadiendo un nivel de personalización que aumenta la eficacia de las campañas de spear phishing. Aunque el crecimiento no se atribuye únicamente al uso de herramientas de IA generativa, Adaptive Security registró un incremento del 4.151 % en los ataques de phishing desde el lanzamiento de ChatGPT.

  1.  Los intercambios de SIM siguen en aumento. Un informe de ThreatMark mostró un 20 % de crecimiento interanual en este tipo de ataques, que los delincuentes utilizan para tomar el control del número de teléfono de la víctima e interceptar los SMS con contraseñas de un solo uso destinados a la autenticación en dos pasos o a los restablecimientos de contraseña.

¿Cómo se comporta el consumidor y qué repercusiones tienen sus acciones?

  1. Existe ya una amplia conciencia sobre el problema: security.org señala que el 79 % de las personas sabe qué es una toma de control de cuenta (ATO).

  1. Aún así, los consumidores siguen adoptando conductas de riesgo. Según NordPass, un tercio se siente “abrumado” por la cantidad de servicios para los que debe mantener contraseñas y, sorprendentemente, el 11 % no percibe un riesgo significativo en reutilizar contraseñas.

  1. El fraude por ATO también tiene consecuencias a largo plazo para las empresas. Según Sift, el 80 % de los consumidores afirma que no volvería a comprar en un sitio donde hubiera sufrido una toma de control de cuenta. Un solo ataque puede dañar la confianza en la marca y provocar la pérdida sostenida de clientes.

  1. La investigación más reciente de Proofpoint muestra que en 2024, el 99 % de las organizaciones supervisadas fueron objetivo de intentos de ATO, y el 62 % experimentó al menos un incidente exitoso. Estas cifras reflejan la prevalencia e impacto que tienen los ATO tanto para consumidores como para empresas.

  1. Según el Global ATO Statistics Report de SEON, el 22 % de los adultos estadounidenses sufrió una toma de control de cuenta en el último año, afectando a aproximadamente 24 millones de hogares y generando pérdidas estimadas 267.840 millones de euros.

  1. El Identity Theft Resource Center informó que los ataques de ATO aumentaron un 254 % en 2023 respecto al año anterior, impulsados principalmente por credential stuffing y ataques de phishing dirigidos a cuentas online.

¿Qué respuestas tienen las empresas frente a las tomas de control de cuentas? 

  1. Aunque los consumidores puedan sentirse abrumados, las instituciones financieras son conscientes de la necesidad de tomar los ATO en serio. Dos tercios de los encuestados en un estudio de la Cloud Security Alliance situaron las tomas de control de cuentas entre las cuatro principales amenazas de ciberseguridad.

  1. Investigaciones recientes de Mastercard muestran que el 93 % de las instituciones planea aumentar la inversión en IA para la detección de fraudes en transacciones durante los próximos 2 a 5 años.

  1. La implementación de la autenticación multifactor (MFA) varía considerablemente. Según JumpCloud, el 87 % de las grandes empresas (más de 10.000 empleados) aplican MFA, mientras que las tasas son mucho menores en organizaciones pequeñas y medianas.

  1. El reconocimiento facial está en aumento: Juniper Research predice que más del 80 % de las instituciones financieras adoptarán la verificación biométrica basada en el rostro a lo largo de 2025, impulsadas por la necesidad de reforzar el onboarding digital de clientes y cumplir con los requisitos regulatorios en constante evolución.

  1. La educación del cliente ha sido identificada tanto como una carencia como una oportunidad. Según The Payments Association, el 41 % de las instituciones financieras han implementado programas de educación dirigidos a sus clientes.

  1. Las soluciones biométricas se están generalizando. Según investigaciones de Global Growth Insights, el 65 % de las instituciones financieras en EE. UU. utilizan biometría conductual basada en IA para analizar patrones únicos de usuario.

  1. Por último, investigaciones de Goode Intelligence prevén que hacia 2029, más de 760 millones de personas utilizarán biometría para proteger cuentas de pago y apoyar la detección y prevención de fraudes. El informe explica cómo las instituciones financieras y los proveedores de pago están adoptando tecnologías biométricas como detección de vitalidad facial, autenticación por voz y análisis conductual, como parte de una defensa moderna y multinivel frente a fraudes impulsados por IA, incluidos deepfakes, ataques de inyección e identidades sintéticas.

Cómo responder a la creciente amenaza de apropiación de cuentas

Comprender la magnitud del fraude por toma de control de cuentas (ATO) es solo el primer paso. Estas estadísticas ponen de relieve la urgente necesidad de que las empresas implementen defensas proactivas capaces de detectar y detener el fraude antes de que cause daños.

Algunas formas de fortalecer tus defensas incluyen:

Para profundizar en estas estrategias y cómo funcionan en la práctica, puedes consultar nuestra guía de prevención del fraude por toma de control de cuentas.

¿Está tu empresa preparada para detener el fraude por ATO?

Estas 30 estadísticas demuestran que el fraude por toma de control de cuentas está cada vez más generalizado, y es muy perjudicial y cada vez más difícil de detectar. Los atacantes utilizan tácticas avanzadas, desde contenido de phishing generado por IA hasta plataformas de phishing como servicio, mientras que la reutilización de contraseñas sigue exponiendo a los usuarios pese a la mayor concienciación.

Pero el ATO no es imparable. Las organizaciones están respondiendo mediante detección de fraude basada en IA, autenticación biométrica y defensas multinivel adaptativas, capaces de detectar y prevenir proactivamente las tomas de control de cuentas. El resultado es una protección más sólida frente a las cambiantes amenazas y una mayor confianza en cada interacción con los clientes.

Si quieres proteger a tus usuarios frente al fraude por ATO, solicita una demo sin compromiso y te mostramos cómo la autenticación biométrica 4D de Mitek puede proteger a tus clientes y tu negocio.

 Solicita una demo 

Carmel Maher - headshot

About Carmel Maher - Director of Market Strategy and Intelligence at Mitek