Fuente: Easy Solutions
- Los ataques que resultan en apropiación de cuentas (ATO) son, y seguirán siendo, los favoritos de los hackers.
- La responsabilidad de la protección contra el fraude no le pertenece al usuario; le pertenece a las organizaciones que manipulan la información del usuario.
Easy Solutions, alerta sobre las tecnologías que deberán desarrollar e implementar las organizaciones en términos de seguridad informática en 2018 para evitar pérdidas millonarias y crisis de reputación e imagen.
De acuerdo a Javelin Strategy and Research entre 2013 y 2016, hubo un incremento de 16% en víctimas de fraude cibernético sólo en EE.UU., afectando a 15 millones de víctimas según su reporte más reciente. Estas víctimas son de todas las formas y tamaños, desde individuos a enormes compañías.
Uno de los fraudes más destacados de 2017, la Brecha de datos de Equifax, en la que los datos sensibles de millones de usuarios fueron expuestos, creó una inmensa cantidad de potenciales víctimas para la apropiación de cuentas. Y otras grandes empresas como Gmail, Uber y Deloitte enfrentaron repercusiones similares después de ataques lanzados contra ellos en 2017.
Lo llamativo de estos fraudes es que de acuerdo a un estudio conducido por IDAgent, el 63% de todas las brechas de datos ocurrieron debido a contraseñas débiles o credenciales de acceso robadas en esquemas de ingeniería social o malware financiero. En el caso de Deloitte, por ejemplo, las cuentas de usuario estaban protegidas por un solo factor: nombre de usuario y contraseña. Sin un segundo factor de autenticación, los usuarios quedaron muy vulnerables ante el compromiso de sus credenciales de ingreso. La brecha de datos de Uber ocurrió de forma similar: los hackers obtuvieron acceso a la información sensible usando únicamente las combinaciones de nombres de usuario y contraseñas robadas.
De acuerdo con Yaimarú García, experto anti fraude de Easy Solutions, “las instituciones deben implementar una solución multifactorial de autenticación fuerte que brinde mecanismos adicionales de autenticación en caso de transacciones sensibles o de alto riesgo, garantizando la seguridad de cada movimiento en un canal transaccional”. Al tiempo que destacó, “además, las instituciones deben establecer proactivamente sistemas automatizados de monitoreo basados en inteligencia artificial y tecnología de machine learning para así detener ataques antes de que puedan ser completados. El monitoreo de redes sociales, campañas de phishing, aplicaciones falsas y malware, complementado con una ágil estrategia de desactivación, puede incluso ayudar a prevenir el lanzamiento de un ataque”.
De acuerdo a los expertos de Easy Solutions, los ataques que resultan en apropiación de cuentas (ATO) son, y seguirán siendo, los favoritos de los hackers en cuanto los usuarios finales continúen siendo vulnerables a la ingeniería social y a la reutilización de contraseñas. “Esta es la razón por la que la responsabilidad de la protección contra el fraude no le pertenece al usuario; le pertenece a las organizaciones que manipulan la información del usuario. Las instituciones deben utilizar soluciones que monitoreen ataques proactivamente y que sean capaces de desactivarlas inmediatamente al ser detectadas, sin interferir con la experiencia del usuario claro está. Por otro lado, al implementar todas estas estrategias, las organizaciones no solo protegen a sus usuarios finales, también se protegen contra el daño financiero y de reputación causado por los ataques de fraude”, concluyó García.
La apropiación de cuentas (ATO) es el máximo objetivo de los fraudes cibernéticos, las cuales causan al menos entre $6.500 y $7.000 millones de dólares en pérdidas anuales por distintos medios en todo el mundo.
De acuerdo a investigaciones de Easy Solutions, para finales de 2020, las organizaciones que no aprovechen las técnicas de machine learning y de autenticación multifactorial avanzada serán incapaces de estar al tanto de las demandas del usuario final en la era digital. Y las organizaciones que no implementen las más recientes estrategias de protección contra fraude probablemente descubrirán que, en 2018 y los años siguientes, les costará mucho trabajo mantener su posición en el mercado y permanecer relevantes en su industria.
Un ataque de apropiación de cuentas promedio comienza identificando a las potenciales víctimas a través de redes sociales e ingeniería social. Se engaña a los usuarios para que descarguen archivos infectados o naveguen hacia sitios fraudulentos para poder instalar el malware. Con sus dispositivos infectados por el malware el usuario luego intenta iniciar sesión en el sitio transaccional de su banco y el malware ya instalado recolecta las credenciales de ingreso del usuario y las transmite a los cibercriminales. Finalmente los cibercriminales usan las credenciales para robar fondos, información o simplemente para venderlas en mercados negros.