Saltar al contenido
Tipos de fraude

Robo de cuentas (ATO)

El robo de cuentas (ATO, account takeover) es una forma de fraude en la que un atacante obtiene el control no autorizado de la cuenta de un usuario legítimo y la utiliza para robar, cometer más fraude o revenderla. Suele producirse tras el compromiso de las credenciales de acceso, en lugar de mediante la creación de una nueva cuenta falsa.

Cómo funciona

Cómo funciona Robo de cuentas (ATO)

El robo de cuentas comienza cuando el atacante obtiene credenciales válidas. La fuente más común es una filtración de datos: pares de usuario y contraseña filtrados de un servicio se prueban contra muchos otros, aprovechando el hecho de que las personas reutilizan contraseñas. Los atacantes también recolectan credenciales mediante páginas de phishing, malware de tipo infostealer que extrae las contraseñas guardadas en el navegador y la ingeniería social del proceso de recuperación de cuentas.

Con las credenciales en mano, el atacante automatiza los intentos de inicio de sesión a gran escala. Las herramientas de credential stuffing (relleno de credenciales) recorren millones de pares, a menudo distribuidos entre grandes conjuntos de proxies residenciales para que ninguna dirección IP muestre una tasa de acceso anómala. Cuando un inicio de sesión tiene éxito, la sesión se utiliza de inmediato o la credencial funcional se revende. Para vencer la autenticación multifactor, los atacantes pueden interceptar códigos de un solo uso mediante SIM swap, proxies de phishing en tiempo real o el bombardeo de solicitudes de MFA (MFA-fatigue).

Una vez dentro, el atacante actúa con rapidez para monetizar el acceso antes de que el verdadero propietario lo note. Las acciones típicas incluyen vaciar saldos y puntos de fidelidad almacenados, cambiar el correo y la contraseña registrados para bloquear al propietario, añadir nuevos beneficiarios de pago, realizar pedidos a una dirección de recepción controlada o usar la cuenta de confianza como trampolín para más phishing. El historial y la reputación de la cuenta comprometida hacen que estas acciones parezcan legítimas ante los sistemas posteriores.

Las campañas de ATO sofisticadas intentan imitar el comportamiento normal de la víctima para mantenerse por debajo de los umbrales de detección, replicando el tipo de dispositivo habitual, la ubicación aproximada y los horarios de inicio de sesión. Por eso las reglas estáticas por sí solas tienen dificultades: las credenciales son correctas y cada acción individual puede parecer plausible.

Por qué importa

Por qué Robo de cuentas (ATO) importa para la prevención del fraude

El robo de cuentas es una de las categorías de fraude en línea más dañinas porque explota la confianza que la empresa ya ha depositado en un cliente real. Las pérdidas directas incluyen fondos robados, compras fraudulentas y saldos de fidelidad abusados, pero los costes indirectos suelen ser mayores: contracargos, carga de trabajo de soporte y remediación, exposición regulatoria cuando se accede a datos personales y una erosión duradera de la confianza del cliente cuando la gente siente que sus cuentas no están seguras. Como las cuentas comprometidas superan la autenticación ordinaria, el ATO suele eludir defensas diseñadas solo para detener registros obviamente falsos.

Con TRACIO

Cómo lo maneja TRACIO

TRACIO ayuda a detectar el robo de cuentas al reconocer el dispositivo y el entorno detrás de cada inicio de sesión, en lugar de confiar únicamente en las credenciales. El producto Identification asigna un ID de visitante estable a partir de más de 130 señales de dispositivo, de modo que un inicio de sesión desde un dispositivo que nunca se ha asociado con una cuenta, o un cambio repentino de dispositivo, navegador y red en una cuenta hasta entonces estable, se convierte en un fuerte indicador de riesgo. Bot Detection detecta los frameworks de automatización y los navegadores headless detrás de las campañas de credential stuffing, y Smart Signals expone los proxies residenciales, las VPN y los nodos de salida de Tor que los atacantes usan para repartir sus intentos. Las comprobaciones de velocidad sobre el grafo de dispositivos revelan un único dispositivo que intenta alcanzar muchas cuentas distintas. Estas señales pueden entregarse en el momento de la autenticación con baja latencia, de modo que solo se active un desafío adicional cuando el riesgo es real.

PREGUNTAS FRECUENTES

Preguntas frecuentes

Identifique cada dispositivo con confianza

Comience con un plan gratuito de 2,500 llamadas a la API al mes. Sin tarjeta de crédito.