Cómo prevenir la apropiación de cuentas: el poder de los sistemas de monitoreo de transacciones

El fraude por apropiación de cuentas ha pasado de ser un hecho poco común que acaparaba los titulares a convertirse en una amenaza generalizada de la que todos deben estar al tanto.

Lo que resulta particularmente preocupante es que las cuentas en bancos o empresas de tecnología financiera son especialmente valiosas para los estafadores, ya que en ellas se almacena y se transfiere dinero —el objetivo final de cualquier operación fraudulenta—.

Solo en Estados Unidos, las estadísticas indican que el 22 % de la población se ha visto afectada por ataques de apropiación de cuentas, lo que provocó pérdidas por aproximadamente 13 mil millones de dólares en 2023.

Para poner esto en perspectiva, el FBI reportó 1,401 incidentes de hurto o robo por cada 100,000 personas en 2022, lo que equivale a aproximadamente el 1.4 %. Esto significa que tienes más de 15 veces más probabilidades de que te hackeen la cuenta que de ser víctima de un robo.

Resulta frustrante que este aumento en el secuestro de cuentas se produzca justo en un momento en que las medidas de seguridad han mejorado significativamente. Las contraseñas débiles están siendo reemplazadas por claves de acceso generadas, y las contraseñas de un solo uso (OTP) son ahora una característica estándar en casi todas las aplicaciones. A pesar de estos avances, los estafadores siguen encontrando formas de burlar a los demás, descubriendo nuevas maneras de eludir las defensas. Más allá del impacto financiero, las apropiaciones de cuentas pueden provocar la pérdida de clientes y dañar la reputación, ya que los consumidores esperan que las empresas protejan sus cuentas y, a menudo, las hacen responsables cuando no lo logran.

Si observamos el panorama general, es evidente que muchas empresas se centran en proteger a sus usuarios principalmente a nivel de acceso. Sin embargo, el fraude sigue ocurriendo porque este enfoque puede resultar insuficiente sin un respaldo sólido o una red de seguridad.

En este artículo, analizaremos cómo se produce el fraude por apropiación de cuentas y cómo puedes aprovechar tu sistema de monitoreo de transacciones para proteger a tus clientes de manera más eficaz.

Muchos problemas de fraude persisten porque los delincuentes son expertos en identificar los puntos débiles en las defensas de una empresa. Desde el punto de vista técnico, los inicios de sesión y la autenticación de usuarios suelen gestionarse mediante una capa de ciberseguridad que incluye la prevención de bots y que es independiente de los sistemas de pagos u otros sistemas de acciones de los usuarios.

Sin embargo, si esta capa de protección inicial aprueba a un usuario y las señales no se comparten con el sistema de monitoreo de transacciones, el atacante puede aprovechar la «confianza» obtenida tras un inicio de sesión exitoso para cometer fraude.

El aumento de las apropiaciones de cuentas se debe en gran medida a que los estafadores han identificado al usuario final como el eslabón más débil. El uso de códigos de un solo uso (OTP) para la autenticación de dos factores (2FA) ha dado lugar a un aumento de las estafas que engañan a los clientes para que revelen estos códigos.

A continuación se presentan algunos ejemplos destacados de las tácticas que utilizan los estafadores:

1. Has implementado códigos de un solo uso (OTP) para acciones delicadas, como los inicios de sesión.

2. El estafador obtiene tus credenciales de usuario y se encuentra con la solicitud de OTP al iniciar sesión.

3. El atacante utiliza un bot de OTP para llamar a la víctima con un guion de ingeniería social con el fin de obtener el código OTP.

4. El bot le envía la contraseña de un solo uso (OTP) al estafador, quien luego obtiene acceso a la cuenta del usuario.

Dependiendo de lo sofisticado que sea el bot, esto le puede costar a un estafador entre 140 y 420 dólares a la semana.

Este método sigue un proceso similar, pero en lugar de utilizar un bot, el estafador recurre directamente a la ingeniería social. A menudo se hacen pasar por alguien del banco de la víctima o de la organización en la que se está produciendo la apropiación de la cuenta.

Aunque esto pueda parecer menos sofisticado que el uso de bots, estos ataques suelen ser ejecutados por centros de llamadas especializados con operadores capacitados en ingeniería social, que cuentan con guiones e incentivos para los que obtienen mejores resultados, de manera muy similar a las operaciones de «boiler room».

De hecho, el informe sobre delitos cibernéticos de LexisNexis de 2024 señaló que casi tres de cada diez incidentes de fraude cibernético se produjeron en la etapa de inicio de sesión en la cuenta, y que dichos ataques aumentaron un 18 % respecto al año anterior, lo que pone de relieve que la apropiación de cuentas es una de las principales amenazas de fraude, especialmente para los neobancos.

Los kits de phishing son herramientas que utilizan los ciberdelincuentes para crear páginas de destino falsas que imitan a empresas legítimas, lo que les permite suplantar la identidad de empresas a gran escala. Ganaron popularidad más o menos cuando se generalizó el uso de la autenticación de dos factores (2FA), ya que son eficaces para la ingeniería social.

Los delincuentes suelen usarlas para obtener datos de inicio de sesión o de pago, pero también pueden diseñarse específicamente para robar códigos de un solo uso (OTP) haciéndose pasar por tu página de OTP.

En 2021, Krebs on Security informó sobre un kit de phishing que robó criptomonedas a más de 6,000 clientes de Coinbase, y desde entonces estos ataques no han hecho más que volverse más sofisticados.

Los sistemas de autenticación de dos factores (2FA) basados en SMS han reavivado un tipo de fraude de nicho conocido como «fraude de tarifas por SMS», que ahora se denomina «SMS pumping». Así es como suele desarrollarse:

1. El estafador obtiene un número de teléfono de tarifa especial para enviar mensajes de texto.

2. Usan ese número para registrarse en varias cuentas y habilitar la autenticación de dos factores (2FA).

3. Inundan el servicio con mensajes, lo que hace que este envíe múltiples códigos de una sola uso (OTP) al número de tarifa especial.

En este caso, las fallas de seguridad en los propios métodos de verificación mediante OTP se convierten en un riesgo, ya que el sistema puede ser objeto de abuso con fines de lucro.

Si bien la autenticación de dos factores (2FA) es eficaz contra métodos básicos de apropiación de cuentas, como el «credential stuffing», no resulta suficiente frente a atacantes más decididos.

Aquí es donde tu sistema de monitoreo de transacciones se vuelve crucial: actúa como una protección. Si bien la seguridad de tu inicio de sesión puede bloquear al 99 % de los atacantes, el monitoreo de transacciones debe mantenerse alerta para evitar que ese 1 % restante cause daños.

En esencia, el monitoreo de transacciones es tu sistema de seguridad.

La eficacia del monitoreo de transacciones aumenta con la cantidad de datos disponibles. No se basa únicamente en las señales recopiladas durante el proceso de registro o en las transacciones; también puedes solicitar de manera proactiva información a tus usuarios para ayudar a proteger sus cuentas. Por ejemplo, Monzo permite a los usuarios configurar ubicaciones de confianza en las que las transacciones que superen un límite determinado deben bloquearse o ser verificadas por alguien en quien el usuario confíe.

En la práctica, el monitoreo de transacciones es más efectivo cuando puede responder a situaciones reales:

Es fundamental ir más allá de simplemente verificar si un cliente ingresa la contraseña de un solo uso (OTP) al iniciar sesión. La prevención proactiva del fraude analiza todo el recorrido del usuario hasta llegar a una transacción:

Las apropiaciones de cuentas suelen desviarse de los patrones normales, y las mejores prácticas recomiendan un enfoque de «confía, pero verifica». Cuanto más se desvíen las acciones de un usuario de la norma, mayor debe ser el nivel de verificación requerido, y los casos atípicos deben rechazarse por completo.

Los estafadores suelen usar servidores proxy y emuladores para ocultar sus actividades, pero es poco probable que logren replicar a la perfección los detalles del dispositivo del titular de la cuenta, a menos que dicho dispositivo haya sido comprometido o robado. Analiza estos detalles con detenimiento y ajusta las puntuaciones de riesgo ante cualquier discrepancia que pueda indicar una apropiación de la cuenta.

Con el auge de los kits de phishing, los bots de OTP y otras herramientas sofisticadas, es más probable que te enfrentes a grupos delictivos organizados que a atacantes aislados. Estos delincuentes tienen sus propios patrones de comportamiento y buscan ampliar rápidamente la escala de sus ataques.

Tu sistema de monitoreo de transacciones debe apoyar a tus analistas con adaptabilidad en tiempo real, permitiendo que se integren rápidamente nuevas reglas y fuentes de datos para contrarrestar estas amenazas en constante evolución. Debe tomar decisiones en tiempo real, no solo mediante el procesamiento por lotes.

En Taktile, por ejemplo, nuestro mercado de datos ofrece una amplia variedad de proveedores que te permiten personalizar las puntuaciones de riesgo y tomar decisiones en tiempo real para prevenir el fraude por apropiación de cuentas.

Cuando las bandas criminales te tienen en la mira, aparecerán ciertos indicios y comportamientos que reflejan su modus operandi. Al analizar casos conocidos de apropiación de cuentas, puedes utilizar el aprendizaje automático para identificar patrones que puedan traducirse en reglas que permitan rechazar rápidamente las transacciones iniciadas por estos delincuentes.

Presta atención a todo, ya que los patrones delictivos suelen revelarse en la elección de los intermediarios, los dispositivos o incluso el momento en que se lleva a cabo el ataque.

Muchas organizaciones dudan en aplicar reglas estrictas para las transacciones por temor a causar inconvenientes a los usuarios. Sin embargo, si se detecta una actividad sospechosa —incluso actividades de bajo riesgo que no impliquen transacciones monetarias—, lo más recomendable es alertar al usuario y confirmar su consentimiento.

Siempre y cuando estas alertas sean razonables, los clientes suelen valorar las medidas de seguridad adicionales y las prefieren antes que ver comprometida su cuenta.

La autenticación de dos factores ya es una práctica habitual entre las empresas financieras, pero, lamentablemente, los delincuentes han descubierto formas de eludirla. Depender en gran medida de las contraseñas de un solo uso (OTP) enviadas por SMS ya no es una opción viable. Ante la creciente amenaza de los ataques de apropiación de cuentas en todo el mundo, los líderes del mercado están reforzando sus medidas de seguridad proactivas. Para hacerlo de manera eficaz, las empresas deben aprovechar todas las herramientas disponibles, especialmente los sistemas de monitoreo de transacciones, para combatir los ciberataques en todas sus formas.

La solución más eficaz es un sistema de toma de decisiones en tiempo real que integre diversas fuentes de datos y soluciones de calificación de riesgos, lo que permite un enfoque personalizado basado en señales integrales adaptadas a la experiencia del usuario.

La plataforma de toma de decisiones de última generación de Taktile ya está ayudando a equipos de todo el mundo a defenderse contra las amenazas de fraude, incluidas aquellas complejas y en rápida evolución, como la apropiación de cuentas.

P: ¿Qué es el fraude por apropiación de cuentas y por qué está aumentando?

R: El fraude por apropiación de cuentas (ATO) ocurre cuando los atacantes se hacen con el control de la cuenta de un usuario para robar fondos o datos. Con los bots de OTP, los kits de phishing y las estafas de vishing, los ataques de ATO se han disparado, afectando al 22 % de los estadounidenses y generando un costo de 13 mil millones de dólares en 2023.

P: ¿Por qué la autenticación de dos factores no es suficiente para detener los ataques de suplantación de identidad (ATO)?

R: Los estafadores están eludiendo cada vez más las contraseñas de un solo uso (OTP) mediante bots de phishing, estafas de centros de llamadas y el «pumping» de SMS. Por eso, el monitoreo de transacciones en tiempo real es esencial como medida de seguridad para detectar el fraude que pueda burlar las defensas de inicio de sesión. 

P: ¿Cómo pueden los sistemas de monitoreo de transacciones prevenir la apropiación de cuentas?

R: Los sistemas modernos tienen la capacidad de analizar huellas digitales de dispositivos, datos de geolocalización, anomalías de comportamiento y patrones de pago en tiempo real, con el fin de detectar actividades sospechosas y bloquear transacciones fraudulentas antes de que se produzcan daños.

P: ¿Qué papel desempeña el análisis predictivo en la detección de fraudes en el ATO?

R: El aprendizaje automático y el análisis predictivo pueden identificar comportamientos recurrentes de los estafadores, como el momento en que se producen los ataques, el uso de proxies o las anomalías en los dispositivos. Esto ayuda a las instituciones a adaptarse rápidamente y a prevenir esquemas de apropiación de cuentas a gran escala.

P: ¿Cómo pueden las instituciones financieras fortalecer la confianza de los clientes al tiempo que combaten el fraude?

R: Las alertas proactivas a los usuarios, las medidas transparentes de prevención del fraude y la verificación sin obstáculos ayudan a equilibrar la seguridad con la experiencia del cliente. Plataformas como Taktile permiten a los equipos de riesgo implementar reglas de monitoreo de transacciones flexibles y segmentadas que mejoran la protección del cliente sin generar obstáculos innecesarios. Solicita una demostración de Taktile para ver en acción un monitoreo de transacciones flexible y eficaz.