S5E03T Riesgos y Mitigación del Account Takeover|Plus TI

Riesgos y mitigación del account takeover

Temporada 5 Episodio 03

<<Ataques masivos más recientes de Fraudes Financieros y sus Estrategias de mitigación

Ley 21.595: Modernizando el Código Penal Chileno>>

Transcripción

Juan José Ríos (Host): Toda persona es un blanco potencial para la ciberdelincuencia, y esta es despiadada con sus víctimas. El internet, las redes sociales y otros medios que nos conectan con el mundo exterior impulsan la economía y la vida moderna, pero también se han convertido en canales de entrada para múltiples ataques.

En México, entre el 55% y el 77% de las personas utilizan redes sociales para buscar empleo. Esta realidad no ha sido ignorada por los defraudadores, quienes crean perfiles falsos y publican ofertas laborales inexistentes para obtener información personal. Durante el supuesto proceso de contratación, las víctimas comparten datos sensibles como números de tarjeta, cuentas bancarias y otra información personal.

Posteriormente, los estafadores utilizan estos datos para hacerse pasar por entidades financieras, ganarse la confianza de la víctima y obtener aún más información confidencial que finalmente emplean para defraudar cuentas y tarjetas.

Soy Juan José Ríos y les doy la bienvenida a Mundo Financiero Seguro, el podcast de Plus Technologies & Innovations.

Hoy abordaremos los riesgos del Account Takeover, un ataque que se ha vuelto cada vez más común conforme la digitalización gana relevancia en nuestra vida cotidiana.

Nos acompañan:

Andrés Gueci, fundador y CEO de KarTech, firma especializada en ciberseguridad.
José Ruiz, gerente de producto de Seguridad Transaccional y Fraude Digital en Plus Technologies & Innovations.

Juan José Ríos: José, para comenzar, ¿cuáles son los métodos más utilizados por los defraudadores en este tipo de ataques?

José Ruiz: Gracias, Juan José.

Los ataques de Account Takeover suelen comenzar mediante contactos no solicitados, como en el ejemplo que mencionaste. Esta fase inicial normalmente corresponde a técnicas de phishing o spear phishing, cuando el ataque está dirigido a una persona específica.

El objetivo es generar urgencia, miedo o una falsa autoridad para que la víctima revele información personal. Los delincuentes se hacen pasar por representantes de organizaciones reconocidas para generar confianza.

También existen métodos que no requieren interacción directa con la víctima, como:

Ataques de fuerza bruta, utilizando software automatizado para probar combinaciones de contraseñas.
Credential stuffing, usando credenciales filtradas en otras brechas de datos.
Malware o keyloggers que registran lo que el usuario escribe.
Ataques Man-in-the-Middle, que interceptan la comunicación.
SIM Swapping, donde el defraudador convence al operador telefónico de transferir la línea de la víctima a una tarjeta SIM bajo su control.

En este último caso, el atacante obtiene acceso a llamadas y mensajes, incluidos códigos de autenticación.

Juan José Ríos: Observamos que el ataque inicia lejos del dinero: redes sociales, llamadas, mensajes. Esto implica que la responsabilidad de prevención va más allá de las instituciones financieras.

José Ruiz: Exactamente. En el caso del SIM Swapping, por ejemplo, los operadores telefónicos están enfocados en la atención al cliente, no necesariamente en la prevención de fraude digital.

Asimismo, muchas redes sociales no están sujetas a regulaciones antifraude estrictas, aunque países como Reino Unido y Australia ya están impulsando iniciativas para involucrar a empresas tecnológicas y telecomunicaciones en la prevención.

Juan José Ríos: Andrés, ¿qué sucede con los datos robados?

Andrés Gueci: Principalmente, los datos se venden o se utilizan para cometer fraude.

La comercialización ocurre en:

Redes sociales
Canales privados como Telegram o WhatsApp
La Deep Web y la Dark Web

En muchos casos, se ofrece una muestra gratuita para demostrar que la información es real antes de vender el paquete completo.

También existe una clara segregación de roles dentro del ecosistema criminal: unos roban datos, otros los venden y otros los utilizan para ejecutar fraudes. Es un verdadero mercado organizado.

Estos datos pueden emplearse para suplantación de identidad, accesos no autorizados, fraudes post-login o ataques como Man-in-the-Browser y troyanos de acceso remoto.

Juan José Ríos: José, ¿cuál es el impacto de este fraude?

José Ruiz: Para las personas, el impacto más evidente es la pérdida financiera. Pero también puede afectar su historial crediticio y generar estrés emocional.

Dado que la información robada se comercializa, una víctima puede ser atacada en múltiples plataformas.

Para las instituciones, además de pérdidas económicas, existe:

Daño reputacional
Riesgo de sanciones regulatorias
Interrupciones operativas
Pérdida de confianza del cliente

La forma en que se gestiona el reclamo es clave para preservar la relación con el cliente.

Juan José Ríos: Andrés, ¿cómo podemos prevenir estos ataques?

Andrés Gueci: Se requiere un enfoque integral.

Primero, contar con servicios de ciberinteligencia que monitoreen:

Web abierta
Redes sociales
Deep Web

No solo para detectar exposición de información, sino para actuar: solicitar la baja de sitios o alertar a las organizaciones afectadas.

Segundo, implementar tecnología que monitoree:

Transacciones en tiempo real
Sesiones digitales
Comportamientos anómalos

No basta con analizar la transacción; también hay que vigilar la sesión completa, ya que el fraude puede ocurrir después del inicio de sesión.

Y, por supuesto, combinar esto con controles internos y programas de concienciación.

Andrés Gueci: El security awareness es fundamental. Las organizaciones deben realizar campañas educativas tanto para clientes como para empleados, incluyendo simulaciones de phishing y vishing.

Es un ciclo continuo: medir, capacitar, volver a medir y mejorar.

Juan José Ríos: José, ¿es suficiente autenticar al usuario legítimo?

José Ruiz: La respuesta es sí y no.

La autenticación es necesaria, pero debe ir más allá de un código por SMS. La autenticación fuerte valida:

Algo que el usuario sabe
Algo que el usuario tiene
Algo que el usuario es

Además, debe ser continua durante toda la sesión.

También es importante considerar riesgos como malware que roba datos biométricos y permite crear deepfakes.

Una medida adicional es el análisis de biometría comportamental, es decir, cómo el usuario sostiene el dispositivo, cómo navega y cómo interactúa con la aplicación. Esto permite validar continuamente su identidad y detectar desviaciones.

Andrés Gueci: Las organizaciones deben adoptar una postura proactiva e integral. No solo proteger los canales internos, sino también monitorear la exposición externa de información confidencial.

La ciberinteligencia es clave para anticiparse al fraude.

José Ruiz: Mi recomendación es ir más allá de lo que exige la regulación local. Implementar controles robustos no solo previene Account Takeover, sino otros tipos de fraude.

Conocer el perfil del cliente, aplicar autenticación dinámica y minimizar fricciones sin comprometer la seguridad es fundamental.

Juan José Ríos: El Account Takeover tiene un impacto devastador tanto en personas como en instituciones. La prevención requiere múltiples capas de protección: tecnología, inteligencia, autenticación robusta y concienciación.

Gracias por acompañarnos en este episodio de Mundo Financiero Seguro.

Hasta la próxima.

<<Ataques masivos más recientes de Fraudes Financieros y sus Estrategias de mitigación

Ver todos los episodios

Ley 21.595: Modernizando el Código Penal Chileno>>

Cookie	Duración	Descripción
cookielawinfo-checkbox-advertisement	1 year	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Advertisement".
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Duración	Descripción
IDE	1 year 24 days	Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.
test_cookie	15 minutes	This cookie is set by doubleclick.net. The purpose of the cookie is to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website.
YSC	session	This cookies is set by Youtube and is used to track the views of embedded videos.
yt-remote-connected-devices	never	These cookies are set via embedded youtube-videos.
yt-remote-device-id	never	These cookies are set via embedded youtube-videos.

Nosotros

Prevención de fraude

Cumplimiento AML

Riesgos y mitigación del account takeover

Temporada 5 Episodio 03

Transcripción

NOSOTROS

SOPORTE

PREVENCIÓN DE FRAUDE

AML

RECURSOS

SI - CER925632

Nosotros

Prevención de fraude

Cumplimiento AML

Riesgos y mitigación del account takeover

Temporada 5 Episodio 03

Transcripción

SOPORTE

We respect your privacy.