- Inicio
- Blog Refinitiv
- Delitos Financieros
- ¿Cómo pueden las instituciones financieras evitar el secuestro de las cuentas de los clientes?
October 01, 2021 | KYC
¿Cómo pueden las instituciones financieras evitar el secuestro de las cuentas de los clientes?

La pandemia ha acelerado el ritmo de la transformación digital, provocando que cada vez más consumidores adopten el mobile banking. El problema es que los delincuentes también se han adaptado a este nuevo entorno, desarrollando las más variadas tácticas para hacerse al control de las cuentas. Dada esta situación crítica, ¿qué medidas pueden tomar las organizaciones financieras para proteger a sus clientes?
- Desde abril de 2020, inicio de la pandemia Covid-19, ha habido un aumento exponencial en el uso de servicios de banca móvil (mobile banking). Sin embargo, una nueva investigación del Aite Group indica un aumento similar en los llamados ataques de "control de cuentas" (ATO, en inglés).
- Los estafadores utilizan numerosos dispositivos para llevar a cabo estos ataques de apropiación de cuentas, incluido diligenciar las credenciales, el phishing y la ingeniería social.
- Cada departamento de cada institución financiera debe tomar precauciones estrictas para mitigar la amenaza de las ATO para los clientes, y eso comienza con la actualización y optimización de los procesos de autenticación.
En abril de 2020, los bancos más grandes del mundo enfrentaron un salto de aproximadamente 200% en nuevos registros para utilizar sus servicios de mobile banking (oferta de soluciones bancarias a través de aplicaciones descargables en celulares, tabletas, relojes tecnológicos y otros dispositivos móviles). Y a lo largo del año pasado, las plataformas de pago peer to peer (P2P o de punto a punto, en español) registraron un número récord de transacciones en sus redes.
Ambas tendencias son responsables por el salto en la adopción de cuentas y pagos digitales –y más consumidores que nunca confían en cuentas digitales para realizar transacciones diarias.
Sin embargo, en paralelo con estos avances, los delincuentes involucrados en el fraude financiero vieron la nueva oportunidad y encontraron una manera de mejorar sus ataques a estas cuentas a través de lo que se conoció como ataques de “control de cuentas” (ATOs, por sus siglas en inglés), en los que el hacker secuestra las cuentas de los consumidores para obtener cualquier información personal almacenada que pueda monetizarse en la dark web.
Definido oficialmente como el "control no autorizado de una cuenta existente y legítima", el ATO se ha vuelto cada vez más común. De hecho, según un informe de Aite Group titulado “US Identity Theft: The Stark Reality” y respaldado por GIACT (una empresa de Refinitiv), más de un tercio (38%) de los consumidores estadounidenses han sido víctimas de ATOs en los últimos dos años.

Estrategias de ATO
En sus estafas, los fraudulentos aprovechan la información de identificación personal (PII) disponible en la dark web, así como otros datos del consumidor a los que se puede acceder fácilmente en las redes sociales o búsquedas simples en Internet.
A lo largo de los años, estos estafadores han perfeccionado su arte, desplegando tácticas convencionales y otras mucho más sofisticadas. Entre ellas:
- Ataques de "fuerza bruta": los ciberdelincuentes recurren a scripts automatizados que combinan contraseñas para validar las credenciales de inicio de sesión.
- Llenado de credenciales: esto es similar a los ataques de "fuerza bruta", pero se realizan a través de "conjeturas informadas" que aprovechan la información de identificación personal (PII) disponible.
- Phishing: táctica de correo electrónico utilizada para engañar a la víctima para que haga clic en malware o para que ingrese PII (incluidas las credenciales de inicio de sesión) en un dominio de apariencia legítima.
- Ingeniería social: cubre una amplia gama de tácticas, desde correo electrónico, redes sociales, mensajes de texto y llamadas de voz, en las que los delincuentes manipulan socialmente a las víctimas para que entreguen información o transfieran fondos. Esto generalmente lo hacen personas que se hacen pasar por una entidad legítima (empresa o gobierno) y puede incluir amenazas e incluso chantaje.
- Fraude de identidad sintética: un esquema de fraude de identidad que utiliza una combinación de PII real y ficticia para abrir u obtener acceso a una cuenta.
- Fraude amistoso o familiar: una estrategia desafortunada pero muy común detrás de las ATO ocurre cuando el crimen es cometido por alguien conocido por la víctima.
Ver el vídeo: “Refinitiv Acquires GIACT To Build End-to-End Security”

Consecuencias de los ataques de "control de cuentas"
Si tienen éxito en estos esquemas iniciales, los criminales pueden participar en una variedad de otras actividades ilegales, que varían según el tipo de cuenta.
El nuevo informe de Aite Group señala que, después de apropiarse de la cuenta, los criminales se dedicaron a:
La amplia variedad de actividades ilícitas y tipos de cuentas muestra hasta qué punto el fraude se ha desplazado más allá de las cuentas bancarias tradicionales. Como vimos anteriormente, las aplicaciones P2P, los sistemas de pago de facturas, los puntos del programa de recompensas e incluso, ¡créanlo o no!, el seguro médico están siendo atacados por hackers. Y no hay evidencia de que sea una ola pasajera; al contrario.
Mejores prácticas para prevenir las ATOs
Dado el crecimiento de la comunicación digital y el almacenamiento de datos en la nube, los estafadores ahora tienen varios puntos de entrada posibles para acceder a la información de identificación personal (PII).
Por lo tanto, es fundamental que los departamentos internos de la organización, como Sistemas, Recursos Humanos, Contabilidad y Administración, estén al tanto de los riesgos de seguridad cibernética relacionados con las redes y bases de datos de la empresa que contienen información confidencial de los empleados, nóminas y otros datos financieros, todos los cuales son muy valiosos a las redes de fraude.
Cualquier precaución que tomen las organizaciones para mitigar el riesgo de fraude de apropiación de cuentas debe comenzar por adoptar un enfoque proactivo para actualizar los métodos de autenticación. Esto se debe a que los facinerosos están detectando cada vez más formas de descifrar contraseñas fáciles, que durante mucho tiempo han recompensado a los hackers y han mantenido despiertos a los expertos en ciberseguridad.
Los operadores de estafas de fraude también se han dirigido a cuentas no financieras desprotegidas (correos electrónicos, redes sociales, teléfonos celulares) para obtener datos confidenciales que puedan colaborar con las ATOs.
Las organizaciones pueden reducir el riesgo de las ATOs mediante el uso de un sistema que puede proteger a sus clientes de pagos fraudulentos y robo de identidad a través de un enfoque holístico e integrado.
Esta conducta debe incluir métodos para identificar positivamente las cuentas de consumidores y empresas utilizando:
- Múltiples fuentes de datos tradicionales y no tradicionales para mejorar la suscripción.
- Procesos de gestión de riesgos y Know your Costumer (KYC).
- Verificación de la cuenta en tiempo real y autenticación de clientes y empresas antes de la inscripción del cliente o el procesamiento de pagos ACH.
- Autenticación móvil e identificación y verificación en tiempo real en todos los puntos de contacto con el cliente.
- Verificación de identidad en tiempo real de identificaciones escaneadas y pagos con cheque.
Además, mantenerse proactivo con métodos de autenticación avanzados, como la adopción de single-sign-on (SSO) y administradores de contraseñas, permitirá a los administradores de seguridad aplicar algún tipo de "limpieza de contraseñas".
Otras mejores prácticas incluyen el uso de biometría física y conductual, identidades digitales que incluyen reconocimiento de dispositivos, geofencing y otras tecnologías innovadoras que ayudan a autenticar a los consumidores de manera más confiable que simplemente contraseñas.
Estas características de vanguardia incluyen autenticación de dos factores (2FA); preguntas basadas en el conocimiento; rastreadores de bases de datos basados en inteligencia artificial de terceros; y, no menos importante, alerta a los clientes y empleados sobre estafas y fraudes amistosos o familiares.
Para profundizar en el tema de esta publicación, lea el último informe de GIACT: “Understanding Account takeover 2021”