Saltar al contenido
APRENDER

¿Qué es el robo de cuentas (ATO)?

El robo de cuentas, o ATO, es una forma de fraude en la que un atacante obtiene el control no autorizado de la cuenta de un usuario legítimo —usando credenciales robadas, phishing o secuestro de sesión— y luego la explota para robar, cometer más fraude o revenderla.

El ATO es especialmente dañino porque el atacante opera como un usuario de confianza, ya verificado: la cuenta supera toda verificación que asume que quien inicia sesión es su propietario. Las pérdidas se propagan desde saldos vaciados y compras fraudulentas hasta daño reputacional y costos de soporte. Esta guía explica cómo se desarrollan los ataques ATO, de dónde salen las credenciales, las señales de alerta y por qué las señales basadas en dispositivos están entre las defensas más eficaces.

¿Qué es el robo de cuentas?

El robo de cuentas es el acceso no autorizado y el control de una cuenta que pertenece legítimamente a otra persona. El rasgo definitorio es que el atacante usa la cuenta real en lugar de crear una falsa, que es lo que hace tan difícil atrapar el ATO solo con verificaciones de identidad.

Una vez dentro, el atacante hereda la posición de la cuenta: sus métodos de pago, valor almacenado, historial de compras, contactos y confianza. Puede vaciar fondos, hacer compras fraudulentas, cosechar datos personales, lavar dinero o retener la cuenta para revenderla. Como la cuenta en sí es legítima, las reglas de fraude tradicionales que buscan identidades nuevas sospechosas no ven nada anómalo.

El ATO es distinto del fraude de cuentas nuevas, donde el atacante fabrica una identidad desde cero. En el ATO la identidad es genuina y las credenciales son válidas: el fraude está en quién las está esgrimiendo. Eso desplaza el problema de detección de «¿es real esta identidad?» a «¿es este el propietario real?», una pregunta sobre el dispositivo y el comportamiento, no sobre la cuenta.

¿Cómo funciona un ataque de robo de cuentas?

Un ataque ATO funciona en tres fases: el atacante obtiene credenciales, las valida a escala contra un endpoint de inicio de sesión y luego monetiza las cuentas que funcionan. La automatización impulsa la fase intermedia, que es donde las señales de dispositivo y de bot tienen la mejor oportunidad de intervenir.

En la fase de adquisición, las credenciales provienen de filtraciones de datos, campañas de phishing, malware o compras en mercados criminales. Como la gente reutiliza contraseñas, un conjunto de credenciales filtrado de un servicio a menudo desbloquea cuentas en muchos otros: la reutilización es la premisa completa del ATO a gran escala.

En la fase de validación, los atacantes usan automatización para probar credenciales contra los endpoints de inicio de sesión, una actividad que se solapa fuertemente con el credential stuffing. Los pares que funcionan se pasan luego a la fase de monetización, donde el atacante cambia los datos de contacto, añade métodos de pago y extrae valor, a menudo con rapidez, antes de que el propietario real lo note.

¿De dónde obtienen los atacantes las credenciales?

Los atacantes obtienen credenciales de cuatro fuentes principales: filtraciones de datos, phishing, malware y mercados criminales que agregan las tres. El volumen disponible hace que casi toda base de usuarios grande se solape con algún conjunto de datos filtrado.

Las filtraciones de datos son el mayor suministro. Cuando un servicio se ve comprometido, sus pares de usuario y contraseña circulan ampliamente, y la reutilización de contraseñas convierte la filtración de un sitio en una amenaza para todos los sitios que tocan los mismos usuarios. El phishing añade credenciales frescas engañando a los usuarios para que las introduzcan en páginas de inicio de sesión falsas, y el malware las cosecha directamente de los dispositivos infectados.

Estos flujos convergen en los mercados criminales, donde las credenciales se empaquetan, validan y venden, a veces como listas en crudo, a veces como cuentas «válidas» preprobadas y listas para monetizar. La economía es la razón por la que el ATO persiste: las credenciales son baratas, abundantes y se reponen continuamente.

¿Cuáles son las señales de alerta del robo de cuentas?

Las señales de alerta más claras son un inicio de sesión desde un dispositivo o ubicación no reconocidos, un cambio repentino en los datos de contacto o de seguridad de la cuenta, y una actividad inusual que rompe el patrón establecido de la cuenta. Las señales de dispositivo revelan la primera señal antes que cualquier otra cosa.

Un inicio de sesión desde un dispositivo que la cuenta nunca ha usado antes es el indicador temprano más revelador, porque el conjunto de dispositivos de un propietario legítimo cambia lentamente, mientras que el dispositivo de un atacante casi siempre es nuevo para la cuenta. Las anomalías de ubicación y de red —un país nuevo, una IP de centro de datos, un proxy— refuerzan la señal.

El comportamiento posterior al acceso lo confirma: cambios rápidos de correo, teléfono o contraseña (que dejan fuera al propietario real), nuevos métodos de pago y transacciones que no encajan con el historial de la cuenta. El valor de la detección basada en dispositivos es que puede marcar el inicio de sesión riesgoso antes de que se produzca el daño, en lugar de después de que aparezcan las anomalías conductuales.

  • Inicio de sesión desde un dispositivo nunca antes asociado con la cuenta.
  • Origen de red nuevo o anómalo: país desconocido, IP de centro de datos, VPN o proxy.
  • Cambios rápidos de correo, teléfono, contraseña u opciones de recuperación.
  • Nuevos métodos de pago seguidos de actividad inmediata de alto valor.
  • Comportamiento incoherente con el patrón establecido de la cuenta.

¿Qué daño causa el robo de cuentas?

El robo de cuentas causa pérdidas financieras directas, fraude derivado y un daño reputacional y operativo duradero. Los costos se extienden mucho más allá del valor robado en cualquier incidente individual.

La pérdida inmediata es el robo: saldos vaciados, compras fraudulentas, recompensas canjeadas y métodos de pago almacenados de los que se abusa. Pero la cuenta comprometida es también un trampolín: sus datos alimentan más phishing y fraude, y su estatus de confianza puede usarse para atacar a otros usuarios o sistemas conectados a ella.

Los costos indirectos a menudo superan a los directos. Las víctimas pierden confianza y a veces se marchan; los equipos de soporte absorben la carga de la remediación y el reembolso; y la plataforma hereda daño reputacional y, en sectores regulados, posible exposición al cumplimiento. Un solo incidente de ATO puede costar mucho más que los fondos sustraídos de la cuenta.

¿Cómo detiene la inteligencia de dispositivos el robo de cuentas?

La inteligencia de dispositivos detiene el ATO reconociendo el dispositivo detrás de cada inicio de sesión y marcando el acceso desde dispositivos desconocidos o de alto riesgo antes de que el atacante pueda actuar, una verificación que las credenciales válidas no pueden superar por sí solas. Como el atacante rara vez tiene el dispositivo real del propietario, el dispositivo se convierte en el factor que no puede aportar.

Cuando llega un inicio de sesión, el sistema compara el dispositivo que se conecta contra el conjunto de dispositivos que la cuenta ha usado antes. Un dispositivo conocido y de confianza pasa en silencio; uno no reconocido eleva el riesgo y puede activar autenticación reforzada, verificación adicional o un bloqueo. Esto convierte el propio inicio de sesión en un punto de control que las contraseñas robadas no superan.

La inteligencia de dispositivos también se compone con el panorama de red y comportamiento: un dispositivo nuevo que se conecta a través de una IP de centro de datos con una huella TLS de aspecto de bot es una señal mucho más fuerte en conjunto que cualquiera de sus partes por separado. Y como la identidad persiste entre sesiones y borrados de cookies, el mismo dispositivo de fraude es reconocible aun cuando el atacante rota credenciales e IP, exponiendo la red, no solo el intento aislado.

¿Cómo pueden las empresas prevenir el robo de cuentas?

Las empresas previenen el ATO superponiendo defensas: autenticación basada en riesgo impulsada por señales de dispositivo, monitoreo de las señales de alerta y fricción aplicada solo cuando el riesgo es elevado. Ningún control por sí solo basta, pero la combinación eleva bruscamente el costo para el atacante.

El cimiento es la autenticación basada en riesgo: evaluar señales de dispositivo, red y comportamiento en el inicio de sesión y exigir verificación adicional solo cuando algo parece mal. Esto mantiene la fricción lejos de la inmensa mayoría de los inicios de sesión legítimos mientras concentra el escrutinio en la minoría riesgosa, que es lo que hace que la seguridad fuerte sea compatible con una buena conversión.

Alrededor de ese núcleo se sitúan medidas de apoyo: monitoreo de los patrones de credential stuffing que preceden al ATO, alertas ante cambios sensibles como actualizaciones de contacto y de pago, fomento o exigencia de contraseñas fuertes y únicas y de autenticación multifactor, y vigilancia de la recurrencia de dispositivos de fraude conocidos entre cuentas. Juntas cierran las fases del ataque que la verificación del dispositivo por sí sola no cubre.

¿No conoce algún término de esta página? Todos los conceptos anteriores están definidos en nuestro glosario de inteligencia de dispositivos.

¿Prefiere una definición concisa? Consulte Robo de cuentas (ATO) en el glosario.

PREGUNTAS FRECUENTES

Preguntas frecuentes

Detén los robos en el inicio de sesión, no después

TRACIO marca los inicios de sesión desde dispositivos no reconocidos en menos de 50ms, así que las contraseñas robadas no equivalen a cuentas robadas. Empiece gratis y añada riesgo basado en dispositivo a su flujo de autenticación.