Qué aprenderá en este artículo
- La apropiación de cuentas consiste en el control no autorizado de una cuenta existente, normalmente mediante credenciales robadas, phishing, malware u otros tipos de abuso basado en credenciales.
- El robo de identidad consiste en el uso indebido de datos personales sustraídos con el fin de suplantar la identidad de otra persona, abrir cuentas, cometer fraude, o facilitar una futura violación de la seguridad.
- La apropiación de cuentas suele ser más fácil de detectar en los datos de telemetría de inicio de sesión y en el comportamiento de la cuenta, mientras que el robo de identidad puede manifestarse en una fase más temprana, durante el proceso de registro, los pagos o la actividad relacionada con las cuentas nuevas.
- Las amenazas pueden solaparse cuando se utilizan datos de identidad robados en los procesos de recuperación o cuando una cuenta comprometida expone más datos personales.
- Las empresas necesitan controles en varias capas que abarquen la autenticación, la verificación de la identidad, la prevención del fraude, la supervisión y la defensa contra el phishing para reducir ambos riesgos.
La suplantación de identidad, el fraude y el uso indebido del correo electrónico rara vez se limitan a un solo ámbito. Una cuenta comprometida puede exponer datos personales; y la información personal sustraída pueden ayudar a un atacante a restablecer credenciales, superar controles de verificación o abrir cuentas fraudulentas en .
Por eso las empresas deben distinguir entre la apropiación de una cuenta y el robo de identidad, sin considerarlos riesgos inconexos. Ambas amenazas se solapan, pero su origen es distinto, se manifiestan de forma diferente y requieren técnicas de prevención distintas.
¿Qué es la apropiación de cuentas?
La apropiación de una cuenta se produce cuando un atacante obtiene acceso no autorizado a una cuenta de usuario, una cuenta empresarial, una cuenta de o cualquier otra cuenta en línea ya existente, y comienza a utilizarla como si fuera su titular legítimo. La mayoría de los ataques de apropiación de cuentas se basan en credenciales robadas, credenciales comprometidas, phishing, malware, secuestro de sesión u otros ataques de apropiación que hacen uso indebido de credenciales de inicio de sesión válidas, en lugar de acceder al sistema mediante un exploit tradicional.
Eso es lo que hace que el fraude por apropiación de cuentas, el fraude por apropiación y el fraude ATO sean tan peligrosos: el atacante utiliza una cuenta real de con acceso real, a menudo durante el tiempo suficiente para cometer fraude, desplazarse lateralmente o atacar varias cuentas.
Señales de alerta habituales de la apropiación de una cuenta
Estos indicadores suelen aparecer antes de que se haga evidente un incidente de apropiación total de una cuenta. Detectarlos a tiempo puede ayudar a los equipos de seguridad de a identificar los indicios de que su correo electrónico ha sido pirateado y a frustrar un intento de apropiación de cuenta antes de que la cuenta afectada se utilice de forma más generalizada.
- Inicios de sesión inusuales o movimientos de viaje imposibles
- Correos sospechosos enviados desde la cuenta afectada
- Se han modificado las reglas de la bandeja de entrada o el comportamiento del reenvío
- Comportamiento anómalo de la cuenta o descargas inesperadas
- Transacciones no autorizadas o cambios repentinos en la cuenta
Estos indicios son importantes porque un ataque de apropiación de cuentas puede convertir rápidamente una cuenta comprometida en un problema más amplio de « » a nivel empresarial. Los atacantes pueden utilizar la cuenta para filtrar datos confidenciales, suplantar la identidad de empleados, hacer un uso indebido de los sistemas conectados y aumentar el riesgo de sufrir pérdidas por fraude y daños a la reputación.
Por qué es importante prevenir la apropiación de cuentas en entornos empresariales
Una sola cuenta comprometida puede convertirse en un punto de partida para mucho más que un simple incidente de inicio de sesión. En entornos empresariales, una suplantación de identidad ( ) que se lleve a cabo con éxito puede dar lugar a un ataque de phishing interno ( ) (), a la exposición de datos, a fraudes, a movimientos laterales y al uso indebido de los servicios o flujos de trabajo conectados. Por ello, evitar la apropiación de cuentas es una cuestión de riesgo empresarial, y no solo un problema relacionado con las contraseñas.
¿Qué es el robo de identidad?
El robo de identidad consiste en el robo y el uso indebido de información personal o datos personales con el fin de suplantar a la víctima. Los datos de identidad sustraídos de pueden incluir nombres, direcciones, datos de tarjetas de crédito, información de cuentas bancarias, números de la Seguridad Social, y otros datos de cuentas que permiten a los estafadores suplantar la identidad de otras personas. A diferencia de la apropiación de cuentas, que parte de una cuenta ya existente , el robo de identidad comienza con datos de identidad sustraídos que pueden utilizarse para abrir nuevas cuentas, cometer fraude de identidad, eludir controles o facilitar posteriores ataques.
Señales de alerta habituales del robo de identidad
Los indicios de robo de identidad suelen manifestarse en actividades financieras, de incorporación de nuevos usuarios o de apertura de cuentas, más que en los datos de conexión a . Esa es una de las razones por las que el robo de identidad puede resultar más difícil de detectar a tiempo en entornos empresariales.
- Cargos inesperados o transacciones fraudulentas
- Cuentas desconocidas, préstamos o cuentas múltiples abiertas a nombre de la víctima
- Cambios en el informe crediticio o notificaciones de cobro por deudas desconocidas
- Alertas de restablecimiento de contraseña o de inicio de sesión que la víctima no activó
- Actividad sospechosa relacionada con un nuevo usuario, solicitante o proceso de inscripción
Desde una perspectiva empresarial, esas señales pueden parecer menos propias de una cuenta comprometida y más propias de un nuevo usuario legítimo de . Por eso, el robo de identidad suele detectarse en fases más tempranas de los procesos de incorporación, de gestión de pagos o de revisión de casos de fraude , en lugar de aparecer únicamente en los registros de autenticación.
Por qué es importante para las empresas prevenir el robo de identidad
El robo de identidad no es solo un problema que afecta a los consumidores. Esto puede dar lugar a fraudes por parte de los clientes, abusos en el proceso de alta, riesgos de incumplimiento normativo y una erosión de la confianza , especialmente cuando los atacantes utilizan datos de identidad robados para superar controles o generar actividades que parecen legítimas a primera vista.
El marco «Red Flags» de la FTC refleja esa realidad al exigir a las organizaciones afectadas que identifiquen patrones sospechosos , los detecten, actúen al respecto y mantengan actualizados dichos controles.
Apropiación de cuentas frente al robo de identidad
La apropiación de una cuenta consiste en hacerse con el control de una cuenta ya existente, mientras que el robo de identidad consiste en utilizar información personal sustraída para hacerse pasar por otra persona. Se empieza con una cuenta real que ya existe. La otra se basa en datos de identidad sustraídos que pueden utilizarse para crear, acceder o manipular cuentas y servicios.
|
Categoría |
Apropiación de cuentas |
Robo de identidad |
|
Punto de partida |
Cuenta existente |
Datos de identidad personal sustraídos |
|
Gol del atacante |
Hackear el acceso y utilizar una cuenta real |
Suplantar la identidad de alguien con fines fraudulentos |
|
Síntomas habituales |
Inicios de sesión sospechosos, cambios en las reglas de la bandeja de entrada, comportamiento anómalo de la cuenta |
Cuentas desconocidas, modificaciones en el historial crediticio, solicitudes falsas, avisos de cobro |
|
Repercusiones en la empresa |
Uso indebido de cuentas, filtración de datos, pérdidas por fraude, pérdida de confianza |
Fraude por parte de los clientes, abuso en el proceso de alta, riesgo de incumplimiento normativo, pérdida de confianza |
|
Enfoque en la prevención |
MFA, autenticación, seguridad en la recuperación, detección de anomalías |
Verificación de identidad, detección de fraudes y detección de señales de alerta |
Las implicaciones operativas son diferentes para los defensores. La apropiación de cuentas suele ser más evidente en la telemetría de inicio de sesión, el comportamiento del buzón de correo, las anomalías en la autenticación y la actividad anómala de la cuenta.
El robo de identidad puede ponerse de manifiesto en una fase más temprana del proceso de alta, en los pagos o en la actividad relacionada con una nueva cuenta, donde el atacante no parece tanto un intruso como un nuevo usuario legítimo. Esto determina qué equipos detectan el problema en primer lugar y qué controles resultan más útiles .
¿Cómo pueden las empresas prevenir los riesgos de apropiación de cuentas y de robo de identidad?
Para protegerse contra ambas amenazas, es necesario reforzar los controles en los procesos de inicio de sesión, recuperación, incorporación y modificación de cuentas . Las empresas necesitan medidas de protección que reduzcan tanto el acceso no autorizado a una cuenta existente como el fraude de « » basado en la identidad, que se produce en una fase más temprana del recorrido del usuario. El enfoque más eficaz combina la prevención, la verificación y una visibilidad continua .
Reforzar los controles de acceso y verificación
La prioridad principal es dificultar que los atacantes y los estafadores puedan acceder al sistema o aprovecharse de los procesos con vulnerabilidades. Las medidas de control en el inicio de sesión, la recuperación de la contraseña y el proceso de registro en pueden reducir tanto el riesgo de apropiación de cuentas como el uso indebido de la identidad antes de que el daño se extienda.
- Implemente la autenticación multifactorial (MFA) para que las credenciales robadas resulten menos útiles por sí solas. Esto añade un nivel adicional de autenticación que puede impedir un intento de suplantación de identidad incluso cuando se han filtrado los datos de acceso.
- Utilice la autenticación basada en el riesgo para reaccionar ante dispositivos, ubicaciones o comportamientos de inicio de sesión inusuales. Ayuda a los equipos de seguridad a aplicar controles más rigurosos cuando la actividad no se ajusta al patrón habitual de un usuario.
- Endurezca los procedimientos de recuperación para que resulte más difícil hacer un uso indebido de los pasos de restablecimiento de contraseñas y recuperación de cuentas que sean poco seguros. Una recuperación más segura reduce la probabilidad de que los estafadores utilicen datos personales sustraídos para volver a obtener acceso.
- Aplique la verificación de identidad durante el proceso de registro y otras acciones delicadas para confirmar que los usuarios son quienes dicen ser. De este modo, resulta más fácil detectar y detener a tiempo el fraude de identidad, las solicitudes falsas y los comportamientos sospechosos en el proceso de inscripción.
- Proteja los cambios en la cuenta incorporando medidas de verificación para las actualizaciones relacionadas con el correo electrónico, la contraseña, los datos de pago y el perfil. Estos controles ayudan a a evitar modificaciones no autorizadas que puedan bloquear el acceso al usuario legítimo o permitir transacciones fraudulentas.
Estas medidas de control son importantes porque los atacantes suelen buscar la vía más fácil, y no solo la más compleja desde el punto de vista técnico. Cuando las empresas de refuerzan los puntos de acceso y los pasos de verificación, mejoran su capacidad para prevenir la apropiación de cuentas antes de que un flujo de trabajo deficiente se convierta en un problema de fraude de mayor envergadura.
Mejorar la vigilancia y la detección
La prevención por sí sola no basta. Las empresas también necesitan detectar comportamientos sospechosos para poder identificar una cuenta comprometida , un intento de apropiación o un abuso relacionado con la identidad antes de que se convierta en una actividad fraudulenta de mayor envergadura.
- Supervise los inicios de sesión anómalos que puedan indicar que una cuenta ha sido comprometida o que se ha producido un intento de apropiación de la misma. Busque ubicaciones, dispositivos, horas de inicio de sesión o intentos fallidos de acceso repetidos inusuales que se desvíen de los patrones habituales de los usuarios.
- Realice un seguimiento de los cambios inesperados en la cuenta, como restablecimientos de contraseña, actualizaciones de correo electrónico o modificaciones en los datos de pago. Estos cambios suelen indicar que un atacante está intentando bloquear el acceso al usuario legítimo o redirigir su actividad futura.
- Revise los mensajes sospechosos relacionados con el « » phishing, el « » suplantación de identidad o la ingeniería social que puedan dar lugar a una vulneración de la seguridad, especialmente cuando los usuarios no comprendan la diferencia entre los correos electrónicos de phishing y los de spam. Detectar estos mensajes a tiempo ayuda a reducir la probabilidad de que las credenciales robadas o los enlaces maliciosos den lugar a un incidente de mayor envergadura.
- Evalúe los indicios de registro de solicitudes falsas, comportamientos sospechosos durante la inscripción o fraudes de identidad. Una revisión temprana puede ayudar a los equipos a impedir los abusos antes de que una cuenta de usuario fraudulenta esté completamente establecida.
- Esté atento a los indicadores de datos expuestos que sugieran que se están reutilizando datos personales o credenciales comprometidas en los canales de . Esto puede revelar cuándo la información sustraída pasa de un intento de fraude a un abuso más generalizado de la cuenta.
Un seguimiento más riguroso ayuda a los equipos a establecer conexiones entre las señales, en lugar de limitarse a reaccionar ante sucesos aislados. Esto mejora la calidad de la detección y ofrece a las empresas más posibilidades de contener los abusos antes de que afecten a varias cuentas, clientes o sistemas . En caso de que se produzca un incidente, los equipos también deben saber qué hacer si le piratean el correo electrónico para que la respuesta sea más rápida.
Utilice un sistema de defensa por capas para reducir el alcance de los abusos
No existe ningún medida de control que pueda impedir todos los ataques de suplantación de identidad o todos los intentos de fraude basados en la identidad. Las empresas reducen el riesgo de forma más eficaz cuando combinan controles de autenticación, detección de fraudes, seguridad del correo electrónico, medidas contra el phishing, concienciación de los usuarios y detección de brechas de seguridad en un único modelo de defensa por capas.
Por qué las empresas deberían abordar ambas amenazas por separado
Tratar ambas amenazas como un único problema genérico de fraude genera puntos ciegos. Es posible que los equipos se centren en exceso en la seguridad del inicio de sesión y pasen por alto los abusos durante el proceso de incorporación, o que se centren en los solicitantes falsos mientras ignoran los ataques de apropiación de cuentas que ya se están produciendo dentro de una cuenta activa.
La apropiación de cuentas y el robo de identidad generan señales distintas, afectan a diferentes procesos empresariales y requieren técnicas de prevención diferentes. Tratarlos como si fueran idénticos debilita tanto la respuesta como la rendición de cuentas.
La distinción entre estas amenazas permite definir con mayor claridad las responsabilidades, establecer controles más precisos y llevar a cabo investigaciones más eficaces. Cuando los equipos distinguen entre la apropiación de cuentas y el robo de identidad, pueden actuar en función del origen del abuso, en lugar de tener que encauzar todos los incidentes en el mismo flujo de trabajo.
De este modo, los equipos de seguridad pueden centrarse en las señales de cuentas comprometidas, mientras que los equipos de fraude y de incorporación se ocupan del uso indebido de la identidad y de los riesgos relacionados con las solicitudes. Esa distinción mejora la visibilidad, la rendición de cuentas y la calidad de la respuesta, sin dejar de reconocer que la apropiación de cuentas y el robo de identidad suelen solaparse en los ataques reales.
Protección contra la apropiación de cuentas y el robo de identidad para la seguridad empresarial
La apropiación de cuentas y el robo de identidad son amenazas distintas, incluso cuando aparecen en la misma cadena de ataque. La apropiación de una cuenta ( ) tiene como objetivo una cuenta ya existente, mientras que el robo de identidad se basa en la información de identidad sustraída. Es importante tener en cuenta este solapamiento , pero la distinción es aún más relevante, ya que las defensas adecuadas dependen de dónde se inicie el abuso .
La autenticación multifactorial (MFA), los controles de autenticación, la detección de anomalías y unas medidas de seguridad de recuperación más sólidas contribuyen a reducir el fraude por apropiación de cuentas y otros ataques de apropiación. La verificación de la identidad, la detección de fraudes y unos controles de alta más estrictos contribuyen a detener antes los abusos relacionados con la identidad en .
Para los responsables de la seguridad de las empresas, el objetivo no es elegir entre ambas opciones. El objetivo es crear una protección por capas que considere tanto las cuentas comprometidas como el fraude basado en la identidad como riesgos empresariales. Mimecast respalda esta iniciativa ayudando a las organizaciones de la lista « » a mejorar su protección frente al robo de cuentas, el phishing, la suplantación de identidad y los abusos relacionados con la identidad en entornos empresariale .