Evaluación del riesgo de robo de cuentas: Cómo funciona y mejores prácticas

El daño que puede causar que un delincuente se apodere de una de tus cuentas online es enorme. El proceso se conoce como ataque de robo de cuenta, a veces abreviado como ATO, y es uno de los métodos favoritos de los estafadores en línea.

En el lado positivo, las organizaciones pueden equiparse llevando a cabo evaluaciones de riesgo de robo de cuentas y asegurándose de que los controles de seguridad son sólidos y se aplican con regularidad. Esto se aplica tanto a las cuentas internas, por ejemplo las del personal, como a las de los clientes, que podrían ser el objetivo.

Examinamos en qué consiste una evaluación del riesgo de robo de cuentas y las múltiples formas en que puede ser llevada a cabo eficazmente por los directivos que deseen proteger a su organización y a su personal.

¿Qué es una evaluación del riesgo de robo de cuentas?

Una evaluación del riesgo de robo de cuentas (ATO) es un proceso de revisión que se utiliza para medir la probabilidad de que una cuenta -por lo general una cuenta en línea- pueda ser objeto del tipo de ciberataque conocido como robo de cuentas. Un ATO se produce cuando un individuo accede sin permiso a la cuenta en línea de otra persona.

Esta evaluación del riesgo puede formar parte de una evaluación más amplia del riesgo de fraude para esa organización o realizarse por separado cuando surja la necesidad, por ejemplo, tras un aumento de filtraciones de datos o de intentos de robo de cuentas en la organización o en el sector en su conjunto.

Hay muchos factores que se tienen en cuenta en una evaluación de riesgos ATO, como el nivel de sensibilidad de la información y los recursos de la cuenta, así como el grado de solidez o vulnerabilidad de la misma.

Ten en cuenta que algunas organizaciones pueden llevar a cabo evaluaciones de riesgos ATO para sus cuentas de empleados internos en particular, mientras que otras pueden optar por centrarse en sus cuentas de clientes o usuarios, y otras las examinarán todas de forma específica para cada sistema.

Cómo evaluar el riesgo de fraude de robo de cuentas en tu empresa

Los criterios para evaluar el riesgo de tu empresa de sufrir fraude de robo de cuentas corporativas varían de una empresa a otra y de un país a otro, pero existen normativas corporativas que garantizan cierta coherencia en las mejores prácticas.

Por ejemplo, los responsables de la toma de decisiones empresariales pueden evaluar la idoneidad de su organización para prevenir el fraude de ATO determinando en qué medida la empresa sigue las políticas de uso aceptable (AUP, por sus siglas en inglés) e implementando la formación de concienciación sobre seguridad. También merece la pena calibrar qué cuentas de usuario supondrían un mayor riesgo en caso de ser vulneradas y qué podría hacer el atacante si lo consiguiera, de modo que se puedan implementar defensas estratégicas en puntos de contacto específicos.

Debe pedirse a los empleados que firmen las AUP actualizadas con regularidad, ya que estas políticas establecen las directrices necesarias para garantizar que las computadoras y las redes de una organización son utilizadas de forma segura por el personal.

Además de esto, la formación de concientización ayuda al personal a ser más vigilante en su uso de los equipos de la empresa, educándoles sobre riesgos de ATO como dejar las contraseñas en papel o permanecer con la sesión iniciada en computadoras desocupadas.

Escenarios de riesgo de robos en cuentas

Los riesgos de seguridad del sistema informático en el contexto del fraude ATO son numerosos, pero hay dos factores clave que permiten que persistan: el error humano, que lleva a las víctimas potenciales de robo de cuentas a bajar la guardia ante los estafadores; y los ciberataques, en los que actores maliciosos utilizan trucos en línea para explotar a las víctimas potenciales de fraude ATO, incluso a pesar de sus mejores esfuerzos por estar seguros en línea.

El error humano suele significar que el riesgo de seguridad del sistema informático puede dar lugar a un ataque oportunista de fraude ATO, y los ciberataques suelen ser el medio por el que puede producirse un ataque premeditado de fraude de robo de cuentas.

Error humano en los riesgos de seguridad de los sistemas informáticos

Hay innumerables formas en que el error humano puede conducir a ataques oportunistas de ATO corporativos. De hecho, algunos estafadores pueden incluso dirigirse a usuarios propensos a filtrar accidentalmente sus datos personales, lo que es un ejemplo de que el error humano también puede desempeñar un papel importante en los robos de cuentas premeditados.

En cualquier caso, he aquí algunas de las principales situaciones en las que, por error humano, los usuarios se hacen más vulnerables a los riesgos de seguridad de los sistemas informáticos:

• Un usuario envía accidentalmente por correo electrónico sus datos de acceso a un destinatario no deseado.
• Un usuario deja sus credenciales escritas en papel y no las oculta correctamente.
• Un usuario descarga accidentalmente malware, lo que significa que un ciberatacante podría entonces utilizar herramientas de administración remota (RAT) para presenciar a distancia sus datos de acceso la próxima vez que los introduzca en su computadora. Los ataques RAT son ejemplos de intentos de fraude de robo de cuentas que pueden provenir tanto de medios premeditados como oportunistas.

Ciberataques en los riesgos de seguridad de los sistemas informáticos

Veamos a continuación algunos de los escenarios clave en los que los ciberataques premeditados pueden agravar los riesgos de seguridad de los sistemas informáticos:

• Un estafador de robo de cuentas engaña a un usuario para que revele sus datos de acceso haciéndose pasar por un responsable informático. Esta es una de las muchas formas en que los ciberatacantes pueden utilizar la ingeniería social para lograr sus objetivos.
• Los estafadores de robo de cuentas utilizan el «relleno de credenciales» (credential stuffing), que consiste en utilizar software automatizado para probar los datos de inicio de sesión robados en varias cuentas en línea.
• Los estafadores de robo de cuentas se aprovechan de la confianza de los usuarios en software obsoleto, o directamente malicioso, para obtener acceso a la cuenta a través de las vulnerabilidades del sistema.

Fuente: Estadísticas mundiales de fraude en el robo de cuentas en 2022

Cómo evaluar los riesgos en datos informáticos

Para evaluar los riesgos de seguridad del sistema informático en el contexto de los robos de cuentas, asegúrate de preparar a los usuarios y las cuentas de usuario, y comprueba el grado de seguridad del software, incluido el software de los usuarios y la infraestructura digital.

Por ejemplo, si eres un director general preocupado por la vulnerabilidad de tu personal ante los robos de cuentas, estas son algunas de las formas en las que puedes garantizar que tanto tus usuarios como tus computadoras estén lo más seguros posible:

1. Asegúrate, mediante formación y otros recursos, de que todo el personal está informado sobre los riesgos de seguridad de los sistemas informáticos, especialmente en el contexto de los robos de cuentas.
2. Asegúrate de que todos los usuarios utilizan sistemas operativos actualizados y el mejor software de protección posible.
3. Asegúrate de que todos los usuarios saben exactamente con quién están hablando siempre que tengan lugar conversaciones sobre acceso remoto, credenciales de inicio de sesión y otra información sensible. En caso de duda, deben intentar ponerse en contacto con esa parte de otra forma, para verificar -por ejemplo, hablando por teléfono.
4. Asegúrate de que tus empleados comprenden el valor de prescindir del papel: Con la protección de contraseñas adecuada, nadie puede dejarse los datos de acceso digitales por ahí, pero sí pueden hacerlo si son descuidados con sus notas impresas o manuscritas.

Cómo evaluar los riesgos en datos físicos

Los riesgos de seguridad física en el fraude de robo de cuentas son la presencia de cualquier objeto físico -o en su defecto la falta de objetos físicos- que pueda ser aprovechado por los estafadores. Por ejemplo, la presencia de papeles con contraseñas escritas es un riesgo de seguridad física, al igual que la ausencia de cámaras de seguridad es un riesgo de seguridad física.

Uno puede evaluar el nivel de riesgos de seguridad física haciendo balance de los recursos tangibles que tiene y de los que no tiene en sus instalaciones. Por ejemplo, si estuvieras a cargo de los esfuerzos de seguridad antifraude de una organización, estas son las cosas que tendrías que asegurarte de que las instalaciones no tienen:

• papeles sueltos o correo que contenga información sensible
• puertas con cerraduras débiles o inexistentes
• computadoras, teléfonos y otros equipos de comunicaciones desbloqueados

También en el contexto de los riesgos para la seguridad física es necesario garantizar que las instalaciones cuenten con:

• personal de seguridad vigilante
• cámaras de seguridad de alta definición siempre activas
• cerraduras de puertas y sistemas de alarma plenamente operativos

Si te aseguras de que tus instalaciones no cuentan con elementos físicos de alto riesgo, pero sí con elementos físicos que refuerzan tu protección, podrás evaluar si tu organización está bien equipada para contrarrestar el riesgo de robo de cuentas.

Cómo evaluar los riesgos de seguridad del personal

Al realizar una evaluación del riesgo de robo de cuentas, es fundamental tener en cuenta también los riesgos de seguridad derivados de los empleados y contratistas, o relacionados con ellos. Cualquiera que esté a cargo en su organización de las medidas de seguridad contra el robo de cuentas debe asegurarse de que tanto el personal general como el personal de seguridad estén atentos y bien formados, y de que haya pocas posibilidades de que cualquier amenaza interna pueda causar daños, ya sea deliberadamente o no.

Teniendo en cuenta que la presencia de personal de confianza y la ausencia de personal que no sea de confianza es clave, estos son algunos de los factores que deben tenerse en cuenta a la hora de evaluar los riesgos de seguridad del personal:

• el nivel de conocimiento y responsabilidad que tienen tanto el personal general como el personal de seguridad a la hora de proteger información sensible
• el nivel de tolerancia que tienen todos los miembros del personal a la hora de permitir que personas ajenas al personal entren en las instalaciones
• el nivel de control que ejercen los responsables de la contratación para garantizar que sus nuevos empleados sean considerados personal de confianza dentro de las instalaciones

Mediante la evaluación de factores como los anteriores, así como la realización de comprobaciones periódicas para verificar que se están tomando las medidas adecuadas, puedes asegurarte de que dispones de una evaluación de riesgos viable al observar el nivel de riesgos para la seguridad del personal en tu organización.

Evaluación del riesgo de robo de cuentas de clientes

Dependiendo de sus demandas, apetito de riesgo y necesidades normativas, una organización también puede optar por llevar a cabo una evaluación del riesgo de robo de cuentas centrada en la posibilidad de que las cuentas de usuarios o clientes sean robadas. Por ejemplo, puede tratarse de una tienda en línea en la que los consumidores pueden crear cuentas de comprador y almacenar los datos de sus tarjetas, o de una plataforma en línea que proporciona acceso a servicios, como el streaming de video.

Es bastante obvio que ambas tienen mucho que perder con el robo de cuentas de consumidores. Más allá de los daños a la reputación que siguen a las filtraciones de datos-que en algunos lugares las organizaciones están obligadas por ley a revelar públicamente- también puede haber potencialmente daños financieros a la propia empresa a través de contracargos, e incluso el riesgo de que los estafadores encuentren su camino en tus sistemas o información sensible dependiendo del tipo de cuenta que ha sido secuestrada.

En el caso de las cuentas de clientes, la evaluación del riesgo de robo de cuentas se reduce básicamente a considerar lo siguiente:

1. ¿En qué medida están protegidas las cuentas? Esto afecta a ambos lados de la ecuación:

• ¿Exiges autenticación multifactor para conceder el acceso? ¿Qué hay de las contraseñas? ¿Y de la autenticación biométrica?
• ¿De qué sistemas dispones para la prevención del fraude y la ciberseguridad?
• ¿Es tu flujo de trabajo de autenticación de usuarios hermético?

2. ¿Hasta qué punto son lucrativas estas cuentas de clientes como objetivos? Esto se refiere tanto al tipo de organización como a la información que contienen las cuentas:

• ¿Proporcionas una forma de que los clientes almacenen información de pago e información personal en sus cuentas?
• ¿Hay monederos digitales, en moneda fiduciaria o de otro tipo?
• ¿Qué pueden hacer en la propia cuenta? ¿Pueden, por ejemplo, solicitar un préstamo o realizar un pago?
• ¿Qué nivel de control se concede a estos usuarios sobre los sistemas? ¿Podría haber puertas traseras y brechas en las cuentas de nivel superior?

Una vez que dispongas de una evaluación completa del riesgo de robo de cuentas, podrás planificar mejor tu estrategia tanto para prevenir como para mitigar los ataques a las cuentas de tus usuarios o clientes.

Métodos para la protección de cuentas de clientes

Las mejores prácticas de evaluación y prevención de riesgos de robo de cuentas implican identificar que los elementos, el personal y los sistemas correctos están en su lugar, así como garantizar que esos recursos están equipados para contrarrestar los intentos de robo de cuentas.

En otras palabras, para evaluar el riesgo de robo de cuentas, así como para prevenirlo, debes asegurarte de que los mejores recursos de seguridad no solo están presentes, sino que también están bien implementados.

Estas son algunas de las mejores prácticas clave para la evaluación y prevención de riesgos de robo de cuentas:

1. Identifica hasta qué punto los empleados/el personal de la organización garantizan la seguridad de la información sensible.
2. Identifica hasta qué punto tanto el personal de seguridad como los sistemas de seguridad están presentes y operativos.
3. Identifica qué miembros del personal, si los hay, utilizan la autenticación multifactor, y asegúrate de que los que no la tienen empiezan a utilizarla.
4. Identifica hasta qué punto tu organización está preparada para congelar las cuentas que sean objeto de robos. Es vital tener en cuenta que la primera prioridad cuando una cuenta ha sido robada es congelarla, para evitar males mayores.
5. Busca asesoramiento autorizado para orientar mejor tu evaluación de riesgos y tus estrategias de prevención. Por ejemplo, LexisNexis advierte de que los propietarios de empresas serán responsables en caso de que sus clientes sufran robos de cuentas. Se trata de un consejo crucial a tener en cuenta a la hora de decidir cómo aplicar tus propias buenas prácticas.

Si actúas de acuerdo con lo anterior y aplicas otras medidas cuando sea necesario, podrás preparar tu infraestructura digital y a tu personal para contrarrestar los robos de cuentas, así como mitigar la mayor parte de los daños derivados de los intentos exitosos.

Lucha contra el robo de cuentas con SEON

Las soluciones de SEON para la prevención del fraude son independientes del sector y están equipadas para contrarrestar el fraude de robo de cuentas en varios puntos de contacto, y pueden mejorarse aún más mediante reglas personalizadas y reglas de machine learning.

Para ello, SEON ofrece a sus usuarios la posibilidad de personalizar sus llamadas a la API para centrarse en lo que consideren actividad sospechosa.

La actividad del usuario se considera dentro de la dimensión del tiempo; por ejemplo, se monitorean todos los intentos fallidos de inicio de sesión y cada uno consecutivo se suma a la puntuación de riesgo. Además, el proceso se basa en los algoritmos de SEON, que recopilan cientos de datos para evaluar las intenciones y la verdadera identidad de cada usuario.

Esto no se hace solo en la fase de inicio de sesión: El sistema monitoreará todas las cuentas en busca de señales de actividad sospechosa o maliciosa y las marcará en tiempo real, de modo que no sean solo las credenciales falsas las que activen la alarma, sino también los empleados que de repente intentan acceder a documentos confidenciales, por ejemplo, o los clientes cuyos intentos de pago fallan demasiadas veces como para ser considerados accidentales.

Las APIs de SEON también pueden señalar si un correo electrónico ha estado relacionado con filtraciones de contraseñas en el pasado, extrayendo datos que han sido anonimizados con k-anonymity. El entorno sandbox permite a los usuarios probar y determinar las reglas adecuadas para su infraestructura y apetito de riesgo, determinando exactamente qué comportamiento constituye un posible robo de cuentas en curso, lo que ayuda a realizar mejores evaluaciones de riesgo de robo de cuentas.

Para combatir el riesgo de robos de cuentas, es necesario evaluar el riesgo de robos de cuentas. A partir de ahí, mediante la comprensión y la aplicación de la detección y prevención del fraude de robo de cuentas, puedes asegurarte de que tu organización está preparada para prevenir el fraude de robo de cuentas en el mejor de los casos, y remediarlo en el peor.

Fuentes

• Texas Department of Banking
• LexisNexis Risk Solutions