Ataques ATO: Cómo prevenirlos

Muchas empresas están en un continuo proceso de adopción de tecnología, trasladando su infraestructura de departamentos IT obsoletos a la nube. Esto hace que las preocupaciones por los fraudes para la apropiación de cuentas se conviertan en una preocupación creciente. Las aplicaciones tipo SaaS como Salesforce, Office 365 o Zoom no pueden ser protegidas con perímetros de seguridad como firewalls los cual los deja expuestos al ser usados en redes públicas.

Las compañías que adoptan soluciones con hospedaje en la nube necesitan una revisión profunda de sus sistemas de validación de usuarios. Esto reduce los riesgos de ataques de apropiación de cuentas (ATO según sus siglas en inglés). Tales amenazas existen desde hace bastante tiempo y causan graves daños a la continuidad de operaciones de cualquier negocio.

¿Quieres proteger tus cuentas de usuario? Entonces sigue leyendo esta guía y aprende cómo prevenir ataques ATO mientras mantienes tus datos seguros.

¿Qué son los ataques ATO?

Los ataques de adquisición de cuentas son una forma de robo de identidad en la cual un pirata informático obtiene acceso a diversas cuentas de una víctima específica. El objetivo principal de este tipo de ataque es hacer uso de la identidad robada para obtener algún tipo de ganancia. Los criminales cibernéticos tienen como objetivo cuentas relacionadas al campo de trabajo de la víctima. 

Para este modus operandi no es necesario la ingeniería social del todo, muchos atacantes simplemente compran las credenciales del usuario de la Dark Web y las usan para acceder a diversos sitios tales como comercios electrónicos, agencias de viaje en línea, sistemas de finanzas y redes sociales. Con esta información en mano proceden a iniciar sesión probando múltiples combinaciones de usuarios y contraseñas. Cuando ocurren ataques ATO, los piratas informáticos se hacen pasar por el usuario de varias maneras, tales como:

  • Para cometer fraude con sistemas de pago
  • Obtención de acceso a datos confidenciales
  • Modificar el privilegio del usuario para acceder a recursos de la empresa
  • Envíos de correos electrónicos u otras formas de comunicación para lanzar ataques BEC (Business Email Compromise o Ataque de correo corporativo)

¿Qué organizaciones son objetivos de los ataques ATO?

Los blancos principales de ataques ATO son instituciones financieras, sin embargo, todas las instituciones que usan sistemas de inicios de sesión de usuario pueden ser víctimas fácilmente. El objetivo principal de estos ataques cibernéticos es la compensación económica. Entre los estragos que se llevan a cabo podemos incluir la venta de datos robados, acceso a criptomonedas o la instalación de ransomware.

La identificación personal también es un objetivo de los ataques ATO. Por ejemplo, los atacantes cibernéticos pueden usar esta información para robar tu identidad, y obtener información de tus tarjetas de crédito y débito para cometer fraudes.

Estos datos personales pueden ser utilizados para hacer que mensajes fraudulentos enviados a tu nombre parezcan auténticos. Estos ataques son dirigidos a instituciones académicas, de servicios médicos y de atención al público.

Los ataques ATO también son comunes en el comercio electrónico y redes sociales. Los piratas cibernéticos secuestran cuentas de comercio electrónico y compran artículos a nombre de la víctima. Por lo general, el ciberdelincuente se apodera de una cuenta que hace frecuentes compras en línea y agrega artículos al carrito para luego pagar usando las herramientas financieras asociadas a la cuenta de su víctima.

Un buen ejemplo de ataques ATO es la acción coordinada que se llevó a cabo en Twitter en el año 2020. El ataque afectó las cuentas de Twitter de múltiples personalidades poderosas tales como Jeff Bezos, Bill Gates, Elon Musk, Joe Biden, Kanye West y otros. Durante el evento se promovió una estafa de criptomonedas, por medio de la cual los piratas informáticos se tomaron unos 30 minutos para engañar a millones de seguidores solicitando envíos de Bitcoin. El uso de Blockchain, por supuesto, hace que el dinero perdido sea imposible de rastrear ni devolver debido al anonimato de este sistema.

¿Cómo se ejecutan los ataques de apropiación de cuentas?

Existen varios métodos que sirven para la apropiación de cuentas. A continuación, te describimos los más comunes.

Ataques de phishing

El phishing es la forma de ataque de mayor uso en Internet. Comienza cuando los piratas informáticos envían un enlace vía correo electrónico, o a través de conversaciones de chat, o usando sitios web fraudulentos, SMS, redes sociales e incluso llamadas telefónicas. La víctima hace clic en la dirección URL y es redirigida a un sitio web falseado o instala un programa malware en segundo plano. El resultado es que la víctima termina dándole a los criminales cibernéticos acceso a sus dispositivos inteligentes o compartiendo información personal.

Malware

El malware es un programa que tiene un fin malicioso y está diseñado para obtener acceso al dispositivo de una víctima. Cuando se descarga software de sitios desconocidos es posible instalar malware en tu dispositivo sin saberlo. Estos programas pueden monitorear lo que haces en tu teléfono inteligente o laptop y el atacante solo espera que ingreses tus claves de acceso.

Relleno de credenciales

El relleno de credenciales está clasificado como un ataque de fuerza bruta para la adquisición de cuentas. Consiste en el uso de nombres de usuario y contraseñas obtenidos a través de múltiples fuentes. El relleno de credenciales es posible porque la mayoría de los titulares de las cuentas afectadas usan la misma contraseña y nombre de usuario para varios sitios.

Los criminales cibernéticos usan bots que les permiten escanear múltiples sitios web que usan claves de acceso e identifican a los usuarios más activos para tomar control de sus cuentas. Muchos titulares caen víctimas de este ataque debido a su pésima gestión de contraseñas y a la falta de uso de autenticación multifactor (MFA).

Ataques por intermediarios

Un ataque por intermediario consiste en interceptar un enlace de comunicación entre dos personas. Cuando el pirata informático obtiene acceso a su sistema de comunicación, fácilmente puede:

  • Escuchar tus conversaciones
  • Editar tus mensajes
  • Espiarte
  • Robar tus credenciales de acceso a un sitio web o tu información personal
  • Bloquear tu acceso a tu cuenta

Las ramificaciones de este tipo de ataque son graves.

Medidas de prevención contra la apropiación de cuentas

Como puedes ver, las apropiaciones de cuentas pueden hacer serios daños a la estructura de tu negocio si no configuras medidas preventivas adecuadas. A continuación, te mostramos algunas formas de proteger su organización de los ataques ATO:

Usar autenticación de dos factores (o múltiples) 

Una de las mejores medidas de protección que puedes implementar en tu empresa es solicitar a tus usuarios y empleados que activen y usen la autenticación multifactor (MFA). El sistema MFA demanda el uso de factores adicionales para autenticar la identidad de cualquier usuario. Estos factores pueden ser algunos de los siguientes:

  • Datos: solicitar preguntas de seguridad (primer nombre de tu mascota o su apodo, por ejemplo) al momento de crear su cuenta.
  • Identidad: puedes pedir a tus usuarios proteger sus cuentas usando métodos más personales tales como huellas digitales, identificación facial, escaneo de iris, etc.
  • Token de Posesión: También puedes incorporar un sistema de acceso haciendo uso de un token o una OTP.

No tienes que solicitar autenticación multifactor a tus usuarios cada vez que ingresen al sistema. Puedes configurarlo para que este se active cuando intenten ingresar desde otra ubicación para confirmar su identidad a través del proceso de autenticación.

Cortafuegos en aplicaciones de red

Un firewall de aplicaciones web (WAF, según sus siglas en inglés) bloquea el tráfico HTTP para proteger las aplicaciones de la red. Los WAF pueden identificar y bloquear intentos de acceso con fines maliciosos. Esta medida puede ayudar a prevenir ataques ATO usando una de las siguientes técnicas:

  • Descubrir y bloquear solicitudes de visitantes frecuentes
  • Reconocer ataques de relleno de credenciales en los portales de inicio de sesión
  • Identificar el bot usado por el atacante 
  • Hacer cumplir autenticación multifactor a través de proveedores de identidad de terceros
  • Analizar el tráfico en busca de “huellas digitales” que indiquen herramientas de relleno de credenciales

Gestión de privilegios

Cuando una cuenta es afectada por un ataque, es vital disminuir su impacto. En la mayoría de los casos afectados, la adquisición de cuentas no es el fin del ataque en sí. Un pirata cibernético puede estar buscando acceso a otros recursos organizacionales de índole confidencial en la empresa. Si este ya tiene control de una cuenta en el sistema, es tu responsabilidad eliminar su acceso a los activos y datos confidenciales de tu compañía. 

La mejor acción a tomar es eliminar la cuenta del usuario afectado por completo. La gestión de privilegios es eficiente como medida preventiva. Una de las mejores maneras es hacer cumplir el principio de privilegio mínimo. Esta regulación garantiza que solo los empleados tengan acceso a los recursos que necesitan para realizar sus labores. Asegúrate de tener una separación de funciones programada para reducir el impacto de un ataque.

Bloqueo de tráfico malicioso

Los piratas cibernéticos escanean la web para conocer el comportamiento y la estructura de una organización en línea. Detectar anomalías en la red puede ayudarte a identificar ataques y prevenir el reconocimiento de tus patrones de conducta. Por lo general, los piratas informáticos usan el escaneo de puertos para identificar y conocer los recursos ejecutados en las redes de tu organización.

Para evitar estos inconvenientes, puedes bloquear tu IP y prevenir que los criminales cibernéticos usan credenciales robadas. Esto trae como resultado, que solo usuarios autorizados pueden conectarse a las aplicaciones y acceder a los recursos de tu empresa.

Lo que puedes llevarte

Como puedes apreciar, las amenazas de los ataques ATO son cada vez más sofisticadas, desde el phishing y el malware hasta el relleno de credenciales y ataques a través de intermediarios pueden resultar en daños complejos y severos a la continuidad de las operaciones de tu negocio o empresa.

Sin embargo, la detección de un ataque para adquirir cuentas puede ser un desafío complejo. Es por eso que se hace necesario implementar medidas de prevención adecuadas, tales como la autenticación de múltiples factores, firewalls de aplicaciones web, administración de privilegios y herramientas para la detección de anomalías. Esto ayuda a mitigar este tipo de amenazas y mantiene seguro tu negocio, tus datos, sus empleados y tus clientes.

 

Implementación BIMI: ¿Por qué es necesario personalizar BIMI?

¿Cómo crear, añadir y chequear registros DKIM?

DMARC y Microsoft: ¿Que sucede con ambas empresas?

Guía de implementación DMARC, SPF y DKIM para Hostgator

Cómo añadir registros DMARC a tu DNS: guía paso a paso

 

¿Qué es una firma DKIM?

¿Qué es una firma DKIM?

En el año 2020, hubo un aumento vertiginoso en el uso de los correos...

Read More
Los 10 mejores canales de YouTube sobre seguridad cibernética

Los 10 mejores canales de YouTube sobre seguridad cibernética

Si tienes interés en iniciar una carrera en el desafiante mundo de la seguridad...

Read More
DMARC y su relación con las Instituciones Financieras de Sudáfrica

DMARC y su relación con las Instituciones Financieras de Sudáfrica

El sector financiero sudafricano, en especial los bancos, las compañías de préstamos y las...

Read More