Toma de control de cuentas - Secuestro de cuentas de usuario

Lectura de 2 min aprox.

La apropiación de cuentas (Account Takeover, ATO) es un término general para los ataques en los que un atacante obtiene y abusa de forma ilícita de las credenciales de un usuario legítimo para acceder a su cuenta. Cuando se toma el control de una cuenta de correo, el daño puede propagarse a través de la función de restablecimiento de contraseña hacia las redes sociales y los servicios financieros, por lo que el compromiso de una sola cuenta puede provocar el colapso de toda la vida digital. En los últimos años, las herramientas automatizadas de relleno de credenciales circulan a bajo precio en mercados clandestinos, y el número de ataques de ATO aumenta año tras año.

Clasificación de los métodos de ataque

El ATO adopta muchas formas, pero pueden clasificarse a grandes rasgos en cuatro categorías.

La cadena de daños

El peligro del ATO reside en cómo el compromiso de una sola cuenta amplía el daño en una reacción en cadena. Los atacantes apuntan primero a la cuenta de correo, porque el correo es el destino de restablecimiento de contraseña de casi todos los servicios, de modo que controlarlo les permite apoderarse de otras cuentas una tras otra.

En casos reales se han reportado situaciones en las que los atacantes llegaron a una cuenta bancaria en menos de 24 horas tras comprometer una cuenta de correo. Los detalles de este tipo de daño se explican en el artículo Qué ocurre cuando se apropian de tu cuenta.

Métodos de detección

Detectar el ATO de forma temprana requiere un mecanismo que capte las desviaciones de los patrones de inicio de sesión normales. La detección de inicios de sesión anómalos evalúa como puntuación de riesgo los accesos desde direcciones IP, ubicaciones geográficas y franjas horarias inusuales. La huella de dispositivo identifica un dispositivo a partir de una combinación de factores como el tipo de navegador, la resolución de pantalla y las fuentes instaladas, detectando inicios de sesión desde dispositivos desconocidos. Para las empresas, el análisis de correlación de registros con un SIEM también es eficaz.

Contramedidas

La contramedida más eficaz es implantar la autenticación multifactor (MFA). Aunque una contraseña se filtre, sin el segundo factor no es posible iniciar sesión, por lo que se reduce enormemente el riesgo de ATO. Como la autenticación por SMS es vulnerable al intercambio de SIM, se recomienda el uso de aplicaciones de autenticación o llaves de acceso. Si generas una contraseña única para cada servicio con un gestor de contraseñas, también puedes eliminar el riesgo del relleno de credenciales. Para una guía práctica sobre la gestión de contraseñas, consulta también el artículo Los riesgos de reutilizar contraseñas.libros sobre seguridad de cuentas (Amazon) también ofrecen una forma de aprender sobre esto de manera sistemática.

La importancia del diseño de recuperación de cuentas

Las contramedidas contra el ATO son insuficientes si se centran únicamente en la defensa del inicio de sesión. Es igualmente esencial diseñar mecanismos de recuperación que permitan al usuario legítimo recuperar su cuenta en caso de apropiación. Preparar varias vías de recuperación, como emitir códigos de recuperación por adelantado, registrar dispositivos de confianza y la recuperación manual mediante documentos de identidad, es la mejor práctica en la práctica real. Los procedimientos de respuesta cuando ocurre un incidente se explican en detalle en la guía de respuesta ante fugas de datos.