Podcast

Anonymous A sobre el fraude de robo de identidad básico

En el podcast Cat & Mouse de esta semana, Jimmy habló con un estafador que se especializa en los ataques de robo de identidad en internet (ATOs). 

Según esta persona, que llamaremos Anonymous A, se trata simplemente de “obtener acceso no autorizado a la cuenta de alguien”.

Veamos cómo lo hacen y por qué es importante para los negocios. 

 

Robar cuentas vs usarlas

Según Anonymous A, no todos los estafadores de robo de identidad tienen las mismas habilidades. Algunos se especializan en adquirir los detalles de la cuenta, mientras que otros son mejores en extraer valor de ellas. 

“Una de estas técnicas es obtener los detalles de acceso robados, y otra es utilizarlos. Así que puedes ser muy bueno en una de estas partes o incluso en ambas, pero también puedes saltarte una de estas partes.”

Algunos estafadores únicamente roban los detalles de acceso, y otros ingresan y roban dinero o compran bienes con ellas. Claro, otros son hábiles en todo lo que rodea a los ataques ATO. 

 

Las tiendas en línea que almacenan las tarjetas de crédito son un blanco principal

La mayoría de los sitios de comercio electrónico buscan optimizar la conversión. Dejan que cualquiera almacene sus detalles de tarjeta de crédito supongo que para privilegiar la conversión, y nosotros los cibercriminales estamos al tanto de esto”.

En esencia: reducir la fricción de usuario puede ser un arma de doble filo. Por un lado, permites que usuarios legítimos completen la fase de transacción más rápidamente, pero esencialmente también transformas la cuenta en un método de pago. Queda claro por qué los estafadores están tan interesados. 

 

Las filtraciones de datos son una apuesta segura

¿Qué hay entonces de aquellos estafadores que apenas inician en estos ataques? Simplemente compran las credenciales de acceso.

“Todos conocemos los fundamentos de los ataques ATO, la mayoría de ellos se dan debido a las filtraciones de datos. En la filtración de correo electrónico, puedes encontrar la contraseña y después utilizarla en combinación con el correo electrónico o el nombre de usuario en una versión automatizada, pero para intentar ingresar a diferentes sitios en los que tienes almacenado un instrumento de pago específico”.

Pero la relación no es 1:1 ya que los detalles de seguridad a menudo son reutilizados…

La forma más fácil de obtener la contraseña de alguien es simplemente echar un vistazo a todas las filtraciones de datos. Hay grandes posibilidades que ese alguien haya formado parte de una filtración de datos, lo que significa que ninguna de sus contraseñas fueron extraídas y ya que la gente las reutiliza en diferentes sitios, hay altas posibilidades de utilizarla en un sitio específico o una cuenta de eBay, un proveedor o incluso una cuenta de banco, a las que podemos intentar ingresar.”

 

Los expertos en phishing de ATO utilizan herramientas de marketing

Un descubrimiento sorprendente: los estafadores que extraen información personal aprovechan las mismas herramientas que las compañías utilizan con propósitos de marketing. Anonymous explica qué tipo de técnicas despliegan:

“Depende mucho del tipo de dominio que utilices, dónde está alojada tu página de phishing o también qué tipo de texto pones en el mensaje porque tienes que brindar autenticidad, debes parecer un sitio legítimo. También debes tener la máxima conversión en estos correos electrónicos en términos de tasas de apertura, y entonces probablemente obtendrás muchos enlaces o contraseñas y detalles de acceso”.

“Es muy similar a lo que ustedes hacen, es muy similar a los correos de contacto en el marketing de negocios porque también tendemos a utilizar el mismo tipo de herramientas como la automatización de marketing para las cadenas de correos. Nos encanta utilizarlas porque sortean los distintos firewalls de los proveedores de servicios de correo electrónico gratuitos más populares”.

 

Ten cuidado con los cambios de número de teléfono

Algo interesante para los que combaten el fraude: debes prestar atención a los usuarios que actualizan su información de contacto. 

“Lo que me ha resultado muy bien es dar de alta nuevos números de teléfono después de ingresar a una cuenta y después simplemente eliminar la información de contacto original, para que no puedan tener acceso al correo electrónico”. 

“Algunas veces funciona, algunas otras no dependiendo del sitio, pero también lo que he intentado con buen resultado es llenar el buzón de correo del usuario con spam al mismo tiempo. Con este método puedes tener acceso a otros servicios, incluso a Telegram.”

 

Algunos pasos de verificación simplemente no están funcionando

Según el propio Anonymous A, algunos métodos de verificación de usuarios desplegados por los negocios en línea no parecen hacer mucho sentido: 

“Están poniendo demasiado énfasis en qué navegador o dispositivo usas para acceder a los sitios e incluso si utilizas el mismo, te obligan a ingresar una contraseña de un solo uso o algo similar. En realidad no entiendo por qué, pues pienso que puede ser tan molesto para los clientes que tengan que ingresar un OTP cada vez que quieren ingresar que deberían pensar en hacerlo más ligero, y quizás eso también facilite nuestro proceso, pero al menos los clientes estarían más felices”. 

 

Desplegar la herramienta de verificación correcta

Quizás la reflexión más significativa de esta entrevista llega al final del episodio cuando Anonymous A explica cómo la protección de proxies, VPNs e incluso Cloudflare entra en juego para evitar que realicen sus ataques. 

La clave está en que utilizar un análisis de IP no es suficiente. De manera similar, verificar un dispositivo por sí mismo no proporciona suficiente información. Necesitas un enfoque verdaderamente multi-capas para aprovechar al máximo tu configuración de detección. 

 

Quizás también te interese leer acerca de: