La apropiación de cuentas (ATO, por sus siglas en inglés) es un tipo de fraude que ha experimentado un aumento significativo en los últimos años. Se produce cuando un ciberatacante se hace con el control de una cuenta legítima para hacerse pasar por el propietario, con la intención de robar datos, enviar malware o aprovechar el acceso para otras actividades maliciosas.
PUBLICIDAD
Los datos de Sift, una empresa de seguridad en Internet, indican que los ataques ATO aumentaron un asombroso 354% interanual en el segundo trimestre de 2023 en toda su red mundial. Además, las previsiones sugieren que las pérdidas por fraude podrían alcanzar varios miles de millones de dólares a finales de 2023, con más de 635.000 millones de dólares atribuidos a estos ataques.
Para comprender y contrarrestar las apropiaciones de cuentas, los investigadores han profundizado en la mentalidad de los piratas informáticos, que construyen complejas series de pequeños pasos tácticos para obtener acceso. También han desarrollado un nuevo método para detectar las vulnerabilidades de seguridad que hacen a las personas susceptibles de sufrir este tipo de fraude.
“La treta de mirar por encima del hombro de alguien para averiguar su PIN es bien conocida. Sin embargo, el juego final para el atacante es obtener acceso a las apps, que almacenan una gran cantidad de información personal y pueden proporcionar acceso a cuentas como Amazon, Google, X, Apple Pay, e incluso cuentas bancarias”.
— Dr Luca Arnaboldi, profesor adjunto de Ciberseguridad en la Universidad de Birmingham, Reino Unido.
La investigación pone de relieve que la mayoría de los teléfonos móviles actuales soportan un complejo ecosistema de sistemas operativos y aplicaciones interconectados. A medida que han aumentado las conexiones entre servicios en línea, también lo ha hecho la posibilidad de que los piratas informáticos exploten las vulnerabilidades de seguridad, lo que a menudo tiene graves consecuencias para el propietario.
Tradicionalmente, las vulnerabilidades de seguridad se han analizado mediante “gráficos de acceso a cuentas”, que representan el teléfono, la tarjeta SIM, las aplicaciones y las funciones de seguridad que limitan el acceso en cada etapa.
Sin embargo, estos gráficos no modelan adecuadamente las tomas de control de cuentas, en las que un atacante separa un dispositivo o una aplicación del ecosistema de cuentas, por ejemplo transfiriendo la tarjeta SIM a un teléfono diferente. Con la tarjeta SIM en un nuevo teléfono, el atacante puede recibir mensajes SMS y utilizar métodos de recuperación de contraseñas basados en SMS.
Los investigadores han superado esta limitación introduciendo un nuevo enfoque para modelar cómo cambia el acceso a las cuentas cuando se eliminan dispositivos, tarjetas SIM o aplicaciones del ecosistema de cuentas. Su técnica, basada en la lógica formal utilizada tradicionalmente por matemáticos y filósofos, representa con precisión las decisiones a las que se enfrenta un hacker cuando tiene acceso a un teléfono móvil y a su PIN.
PUBLICIDAD
Metro habló con el Dr. Luca Arnaboldi, profesor adjunto de Ciberseguridad en la Universidad de Birmingham (Reino Unido), para saber más.
¿Cómo se produce la toma de control de una cuenta?
Los atacantes pueden utilizar varias técnicas para intentar hacerse con el control de una cuenta. Según DataDome, éstas son algunas de las más comunes:
Phishing
El atacante engaña a las víctimas potenciales para que revelen voluntariamente su información utilizando una página de inicio de sesión falsa, correos electrónicos en los que se hace pasar por alguien que la víctima conoce, etc.
Falsificación de credenciales
El uso de credenciales robadas o filtradas de un sitio web o plataforma para intentar acceder a múltiples cuentas en otros sitios web (con la esperanza de que la víctima haya reutilizado sus credenciales de inicio de sesión) es la falsificación de credenciales, una de las formas más comunes.
Ataque bot por fuerza bruta
El atacante despliega bots maliciosos para realizar un ataque de fuerza bruta rápido y de gran volumen contra su sitio web o aplicación. Los bots sofisticados pueden tomar el control de un número significativo de cuentas antes de ser descubiertos, y pueden rotar entre miles o millones de direcciones IP.
67%
de los datos expuestos de las víctimas de ATO se utilizaron para compras no autorizadas.
Entrevista
Dr. Luca Arnaboldi Profesor Adjunto de Ciberseguridad en la Universidad de Birmingham
P: ¿Cómo ha conseguido “meterse en la mente” de los hackers para contrarrestar los ataques de usurpación de cuentas?
- En ciberseguridad, una práctica habitual es utilizar modelos de atacante para razonar sobre las amenazas. Se crea un modelo de capacidades para lo que un atacante puede o no puede hacer, y luego se razona sobre las amenazas potenciales a un sistema utilizando estas capacidades. Por ejemplo, un atacante puede leer cualquiera de tus mensajes de texto si ha desbloqueado tu teléfono, pero no puede romper el cifrado de extremo a extremo; así puedes explorar todos los posibles resultados de ciertos escenarios dadas estas opciones.
P: Cuéntenos más sobre los comportamientos de los atacantes.
- En este trabajo presentamos el uso de “tácticas de ataque” que pueden utilizarse para crear ejemplos programáticos de comportamientos de atacantes para probar sistemáticamente la seguridad de los usuarios frente a un atacante concreto. Esto nos permite evaluar la seguridad de las cuentas de un usuario o identificar posibles puntos de fallo de forma sistemática y exhaustiva.
P: ¿Qué dispositivos son los más y los menos vulnerables?
- No puedo hacer comentarios al respecto, ya que aún no hemos realizado un estudio exhaustivo. Cabe señalar que la seguridad depende a menudo de las opciones de seguridad del usuario, y no siempre del tipo de dispositivo. Esto es especialmente cierto porque a menudo se puede acceder a estas cuentas desde distintos dispositivos, por ejemplo, teléfonos y portátiles.
P: ¿Qué consejos puede dar a los usuarios de teléfonos móviles para evitar convertirse en víctimas?
- Gran parte de la seguridad de los usuarios se reduce a unas buenas prácticas de seguridad. Por ejemplo, no duplicar las contraseñas, mirar siempre a ver si alguien le está observando mientras teclea su PIN, etc. Algunas opciones que ofrecen los teléfonos Android para asegurar ciertas aplicaciones tras carpetas protegidas con contraseña (¡distinta a tu PIN!) son excelentes prácticas. Pero lo más importante es que lleves un registro de los accesos a tu dispositivo.