¿Qué es la adquisición de cuenta (ATO)?

Utilizando métodos que engañan, manipulan o explotan abiertamente a usuarios confiables, los atacantes pretenden aprovechar la mecánica central de la verificación de identidad moderna y obtener acceso a la cuenta en línea de un usuario. Una vez que se disfrazan de cuenta de usuario, se les concede un acceso más profundo a redes que de otro modo estarían estrictamente defendidas. 

El atractivo de una puerta tan abierta ha hecho que los ataques de apropiación de cuentas se hayan disparado en popularidad a lo largo de los últimos dos años. Por ejemplo, en 2021, las transacciones en línea crecieron un total del 65%, mientras que los ataques de apropiación de cuentas aumentó un 233% interanual. Ahora son tan comunes que ha surgido una industria completamente nueva en torno al lavado de fondos robados en ataques ATO. Al organizarse y reunirse a través de Telegram, los ciberdelincuentes trabajan juntos para conectar cuentas bancarias secuestradas con billeteras criptográficas. El atacante ladrón publicará en dicho grupo sobre la cantidad de fondos robados, buscando otro estafador experto en adquisición de cuentas criptográficas que ofrezca una cuenta criptográfica para cargar esos fondos robados. Una vez lavados a través de una cuenta criptográfica robada, todos los fondos se retiran a una billetera privada y se dividen entre las dos partes.

En un panorama de seguridad plagado de credenciales reutilizadas y filtradas, junto con demandas de administración de cuentas que aumentan rápidamente, los atacantes ATO representan una amenaza altamente organizada y muy precisa.

¿Cómo funciona una adquisición de cuenta?

Dado que el usuario medio tiene que manejar más de 100 cuentas en línea, las contraseñas rápidamente se han salido de control razonable. Desde operaciones bancarias hasta citas con barberos, la información de inicio de sesión se difunde con imprudente abandono. Los atacantes explotan esto con grados cada vez mayores de severidad, en ataques que van desde hiperpersonalizados hasta rociar y orar. Al explotar las vulnerabilidades en los sistemas de seguridad y el comportamiento de los usuarios, los atacantes pueden tomar el control de estas cuentas con fines nefastos. 

La siguiente es una explicación detallada de cómo funcionan los ataques de apropiación de cuentas:

Reconocimiento

Los atacantes comienzan recopilando información sobre objetivos potenciales. Las cuentas de redes sociales presentan enormes minas de oro de información personal de fácil acceso, que se puede construir en ataques de ingeniería social personalizados. Además, la munición de los atacantes se ve reforzada por datos de filtraciones de datos anteriores.

Relleno de credenciales

Armados con los datos adquiridos, los atacantes utilizan herramientas automatizadas para probar sistemáticamente las credenciales robadas en múltiples sitios web y aplicaciones. Dado que la gente a menudo reutilizar contraseñas en diferentes plataformas, es probable que se inicien sesión correctamente cuando las contraseñas se hayan visto comprometidas en infracciones anteriores. La lista RockYou21 es una base de datos increíblemente común (e increíblemente grande) de credenciales en texto sin formato que se han filtrado anteriormente. Compilado de más 8.4 mil millones de entradas, los atacantes pueden causar grandes daños sin previo aviso. 

Ataques de fuerza bruta

Aunque la relleno de credenciales Cuando se intenta hacer coincidir una contraseña filtrada con la correcta, los ataques de fuerza bruta simplemente prueban todas las combinaciones posibles, en un esfuerzo por adivinar. Con software automatizado que genera y prueba sistemáticamente diferentes combinaciones de nombres de usuario y contraseñas, los ataques de fuerza bruta presentan un riesgo particular para las contraseñas débiles y de uso común.

Phishing

En lugar de perder el tiempo adivinando, Los ataques de phishing hacen que los usuarios simplemente entreguen sus contraseñas. Con correos electrónicos, mensajes y sitios web engañosos, los atacantes imitan marcas o servicios conocidos. Los usuarios desprevenidos son atraídos a proporcionar sus credenciales de inicio de sesión en estos sitios falsos, entregando sin saberlo los detalles de su cuenta a los atacantes.

Robo de credenciales

El phishing no es la única forma de engaño: los ciberdelincuentes a menudo intentan implementar malware y registradores de pulsaciones de teclas en dispositivos vulnerables. Estos permiten robar credenciales directamente desde los dispositivos de los usuarios.

Tipos de ataques de apropiación de cuentas

La gran cantidad de tipos de ataques se centran en dos debilidades clave: los usuarios y el software.

Ingeniería social

La ingeniería social describe tácticas engañosas que se aprovechan de las personas, persuadiéndolas para que divulguen información confidencial o realicen acciones que comprometan su seguridad. El phishing es una de las formas más comunes de ataques de ingeniería social e implica un uso intensivo de correos electrónicos, mensajes o sitios web fraudulentos que imitan a sus homólogos legítimos. Al hacerse pasar por una persona de confianza o una figura de autoridad, los atacantes fingen ser un colega, un representante de un banco o un agente de la ley para ganarse la confianza y extraer información confidencial. 

Sin embargo, existen más distinciones entre los tipos de ataques de phishing. Para las campañas que adoptan un enfoque amplio, el cebo es una táctica extremadamente común. Las víctimas son atraídas con promesas de recompensas a cambio de realizar determinadas acciones. Los atacantes pueden dejar unidades USB infectadas o enviar enlaces maliciosos disfrazados de ofertas atractivas, incitando a las personas a comprometer su seguridad. Los ataques de phishing, por otro lado, se centran en personas u organizaciones muy específicas. Los atacantes pasan horas investigando y recopilando información sobre el objetivo para crear mensajes altamente personalizados y convincentes. Los ataques de phishing a menudo se utilizan contra "ballenas": personas de alto perfil como directores ejecutivos o ejecutivos de alto rango. 

Vulnerabilidades de software

Si bien los usuarios son una entrada, muchos atacantes aprovechan el software con el que interactúan a diario. La creciente tendencia de los usuarios a emplear servicios de terceros para acceder cómodamente a varias cuentas ha tenido ramificaciones drásticas en el panorama de la apropiación de cuentas. Después de todo, si estos servicios de terceros se ven comprometidos, los atacantes pueden obtener acceso a las cuentas de usuario vinculadas. En 2021, se reveló que Facebook había sufrido una grave violación de los datos de 533 millones de cuentas de usuario. Estos datos, incluidos correos electrónicos y contraseñas, han impulsado un torrente de campañas ATO en curso. 

Cómo detectar ataques de apropiación de cuentas

Detectar señales de ataques de apropiación de cuentas es crucial para prevenir cuentas comprometidas. Desde los mensajes entrantes hasta el rendimiento de su sistema, aquí hay algunos indicios de un posible compromiso.

Actividad inesperada de la cuenta 

Los ataques ATO pueden manifestarse de varias maneras clave. Por ejemplo, si un usuario recibe notificaciones de restablecimiento de contraseña o correos electrónicos de cuentas que no ha iniciado, podría indicar que un atacante está intentando hacerse con el control de su cuenta. En tales casos, los usuarios deben investigar independientemente del enlace del correo electrónico sospechoso. Esta misma táctica se utiliza para engañar a usuarios desprevenidos para que introduzcan sus datos en una página de inicio de sesión falsa, por lo que siempre utilice los canales verificados. Si los usuarios de repente no pueden acceder a sus cuentas, a pesar de utilizar las credenciales correctas, podría ser una señal de un ataque ATO. Es posible que los atacantes hayan cambiado las contraseñas o hayan bloqueado el acceso de los usuarios a sus propias cuentas. 

Los restablecimientos de contraseñas no son la única actividad inusual generada por las ATO: intentos de inicio de sesión no reconocidos, cambios en la información personal o transacciones desconocidas pueden indicar un acceso no autorizado. Si un aumento significativo de correos electrónicos no deseados o de phishing comienza a inundar una bandeja de entrada, puede indicar que la dirección de correo electrónico asociada se ha filtrado o se ha visto comprometida.

Mal rendimiento de la computadora

En algunos casos, las cuentas comprometidas pueden experimentar un comportamiento inusual del sistema, como rendimiento lento, fallas frecuentes o ventanas emergentes inesperadas. Estos signos podrían indicar la presencia de malware, como registradores de pulsaciones de teclas.

¿Cómo detectar ATO en organizaciones financieras?

Las organizaciones financieras pueden emplear enfoques clave para mejorar su defensa contra ataques de apropiación de cuentas. Los análisis del comportamiento del usuario proporcionan herramientas esenciales que monitorean y detectan patrones anormales. Las desviaciones en los tiempos de inicio de sesión, la geolocalización, el uso del dispositivo y el historial de transacciones pueden formar una visión coherente de un posible compromiso. Además de esto, el análisis de la reputación de IP permite a las organizaciones evaluar las distintas direcciones IP que acceden a sus sistemas, lo que ayuda a identificar y bloquear el tráfico sospechoso. Las técnicas de toma de huellas digitales de dispositivos ayudan a reconocer y rastrear los dispositivos utilizados para acceder a cuentas, detectando así intentos de apropiación de cuentas. Los sistemas de monitoreo de transacciones en tiempo real, que utilizan análisis de comportamiento y detección de anomalías, permiten a las instituciones financieras identificar y bloquear rápidamente transacciones sospechosas o fraudulentas, mitigando así el impacto de los ataques ATO.

Estos enfoques fortalecen colectivamente la postura de seguridad de las organizaciones financieras, formando una barrera contra el compromiso total de la cuenta. 

Proteja su empresa de ataques de apropiación de cuentas

Para protegerse contra cualquier ataque de apropiación de cuentas, todas las organizaciones deben implementar varios niveles de mejores prácticas tanto a nivel individual como organizacional. 

Individual 

Es vital dotar a los usuarios finales de conocimientos y herramientas para mantener las cuentas seguras. Como usuarios locales de cada cuenta, cada individuo desempeña un papel clave en la postura de seguridad de una organización. Las contraseñas únicas y sólidas son solo el comienzo: las herramientas de administración de contraseñas permiten a los usuarios no solo utilizar prácticas de contraseñas seguras, sino también seguirlas sin el peligro de olvidar contraseñas únicas y altamente seguras. 

Además de esto, la autenticación multifactor (MFA) agrega una capa adicional de seguridad al requerir que los usuarios proporcionen múltiples factores de autenticación, como datos biométricos, tokens de seguridad y, por supuesto, contraseñas. Esto mitiga el riesgo de ataques ATO, ya que incluso si las contraseñas se ven comprometidas, los atacantes no pueden obtener acceso sin el factor de autenticación adicional.

Organizativo

Al respaldar los esfuerzos de cada empleado, las defensas organizacionales contra la ATO son igualmente cruciales. La respuesta a incidentes de seguridad debe consolidarse en las rutinas de los empleados. Establecer un plan eficaz de respuesta a incidentes de seguridad es crucial. Las organizaciones deben contar con protocolos para manejar los incidentes de ATO, incluida la comunicación oportuna con los usuarios afectados, la investigación y reparación de cuentas comprometidas y el análisis posterior al incidente para mejorar las medidas de seguridad. Además de esto, el monitoreo de la actividad de la cuenta permite a las organizaciones detectar y responder rápidamente a actividades sospechosas de la cuenta. Al analizar patrones, anomalías e indicadores de comportamiento, las organizaciones pueden identificar intentos de ATO, señalar accesos no autorizados y tomar las medidas adecuadas. Por último, las evaluaciones de seguridad periódicas y las pruebas de penetración ayudan a identificar vulnerabilidades y debilidades en los sistemas y aplicaciones. Al abordar estos problemas de manera proactiva, las organizaciones pueden reforzar sus defensas contra los ataques ATO y mejorar la seguridad general.

Al implementar estas prácticas, las organizaciones pueden reducir significativamente el riesgo de ataques ATO, proteger datos confidenciales y mantener la confianza de sus usuarios. Un enfoque integral que combine soluciones tecnológicas, educación de los usuarios y monitoreo proactivo es esencial para combatir eficazmente las amenazas ATO.

Prevención de ataques de apropiación de cuentas con LayerX

La extensión del navegador de LayerX es una solución innovadora diseñada para evitar ataques de apropiación de cuentas. LayerX ofrece protección integral contra phishing, relleno de credenciales y secuestro de sesiones. La herramienta emplea algoritmos avanzados y técnicas de aprendizaje automático para analizar el comportamiento del usuario, detectar anomalías y bloquear actividades sospechosas en tiempo real. También se integra perfectamente con la infraestructura de seguridad existente, lo que la hace compatible con diferentes navegadores y plataformas. Con el primer enfoque centrado en el usuario para la prevención de ATO, LayerX ayuda a las organizaciones a mejorar la seguridad de sus cuentas, salvaguardar la información confidencial y mitigar los riesgos asociados con los ataques de apropiación de cuentas.

Capacidades de prevención de apropiación de cuentas de LayerX:

• Requisitos de acceso reforzados basados ​​en la transformación del navegador como factor de autenticación adicional, impidiendo prácticamente cualquier acceso a menos que sea iniciado por el navegador protegido LayerX.
• Políticas configurables que aprovechan la capacidad de LayerX para activar una acción de protección al detectar anomalías de comportamiento del usuario que indican una posible apropiación de la cuenta. 
• Políticas configurables que alertan o bloquean el acceso al detectar un riesgo transmitido por la web. basado en las capacidades de detección de amenazas del motor de riesgo de LayerX.