Toma de control de cuentas

La toma de control de cuentas (account takeover o ATO) es una forma de fraude basada en la identidad en la que un atacante obtiene control no autorizado sobre la cuenta en línea de un usuario legítimo y la utiliza para extraer valor – fondos robados, puntos de fidelización, datos personales o acceso a otras cuentas. Por lo general, sigue a un compromiso de credenciales (phishing, filtración de datos, malware) y culmina con transacciones o cambios que el titular real de la cuenta no autorizó. Los equipos de gestión de riesgos la consideran una de las categorías de fraude de mayor impacto, dado que la actividad se origina desde una cuenta "de confianza".

Cómo funciona la toma de control de cuentas

La mayoría de los ataques ATO siguen el mismo patrón de cuatro etapas: adquisición de credenciales, validación, toma de control y monetización.

Las credenciales se obtienen mediante phishing, smishing, malware de tipo infostealer o mediante la compra de listas combinadas (combo lists) en mercados de la dark web. Luego, los atacantes validan las credenciales robadas a gran escala mediante credential stuffing – intentos de inicio de sesión automatizados en cientos de sitios, aprovechando el hecho de que la mayoría de las personas reutilizan contraseñas.

Una vez encontrada una credencial válida, el atacante toma el control de la cuenta. Esto suele implicar un SIM swap para interceptar OTPs durante el restablecimiento de contraseña, seguido del cambio del número de teléfono o correo electrónico registrados para impedir que el usuario legítimo reciba alertas.

La monetización varía según la plataforma. En cuentas bancarias y de BNPL, los atacantes inician transferencias, agotan el crédito disponible o abren nuevas líneas de crédito utilizando el perfil KYC existente. En marketplaces y sitios de comercio electrónico, realizan pedidos enviados a direcciones de intermediarios o revenden puntos de fidelización. En telcos y exchanges de criptomonedas, utilizan la cuenta como punto de apoyo para ataques posteriores – en especial SIM swaps que desbloquean otras cuentas.

Vectores comunes de ataque ATO

Los vectores contra los que debe protegerse un equipo antifraude no son intercambiables, y la defensa adecuada depende de cuál predomina en una cartera determinada.

El credential stuffing está orientado al volumen y es intensivo en bots. Se manifiesta como un aumento repentino de intentos de inicio de sesión desde IPs de centros de datos o proxies residenciales, a menudo con tasas de éxito bajas por IP pero con un alto número absoluto de accesos exitosos.

El ATO impulsado por phishing es de menor volumen pero de mayor calidad – el atacante dispone de la credencial real y, con frecuencia, de un OTP recién interceptado. El inicio de sesión parece legítimo en la mayoría de las capas de señales; lo que suele delatarlo es una discrepancia en el dispositivo y en el comportamiento del usuario.

El ATO por SIM swap e ingeniería social sortea por completo la autenticación por SMS. El atacante convence a un agente de la operadora para que realice la portabilidad del número de la víctima y, a continuación, activa el restablecimiento de contraseñas. Es ampliamente utilizado en cuentas bancarias y de criptomonedas de alto valor en Brasil, México e India.

El ATO por malware y acceso remoto es el más difícil de detectar. El atacante utiliza el propio dispositivo de la víctima a través de una herramienta de acceso remoto (AnyDesk, TeamViewer) o un troyano bancario. La huella digital del dispositivo, la IP e incluso los patrones de comportamiento pueden coincidir con los del usuario real; lo que no coincide es el estado de integridad del dispositivo y el patrón temporal de la sesión.

Cómo detectar y prevenir la toma de control de cuentas

La prevención del fraude ATO no proviene de un único control, sino de la combinación de señales que un atacante no puede falsificar simultáneamente.

La autenticación robusta es la primera capa, aunque el OTP por SMS ya no es suficiente frente a atacantes motivados. Los equipos de riesgo están migrando hacia la autenticación basada en riesgo (risk-based authentication), que activa la autenticación escalonada solo ante sesiones anómalas, y hacia factores MFA resistentes al SIM swap (aplicaciones de autenticación, passkeys).

La segunda capa consiste en señales de dispositivo y comportamiento. El device fingerprinting detecta cuándo una cuenta conocida inicia sesión desde un dispositivo sin historial previo, mientras que el análisis de comportamiento identifica señales más sutiles – el ritmo de escritura, los movimientos del mouse, los patrones de navegación – que difieren incluso cuando el atacante dispone de la contraseña y el OTP correctos. La inteligencia de dispositivos probabilística es especialmente valiosa en mercados emergentes, donde un mismo usuario puede alternar entre varios dispositivos, lo que hace que la coincidencia estricta de ID de dispositivo genere demasiados falsos positivos.

La tercera capa es el monitoreo durante la sesión y posterior al inicio de sesión. Las verificaciones de velocidad en cambios de perfil (correo electrónico, teléfono, beneficiarios), los patrones de transacciones inusuales y la presencia de herramientas de acceso remoto o emuladores en el dispositivo indican que una cuenta puede haber sido comprometida. Detectar el ATO en la etapa de transacción, en lugar de en la del inicio de sesión, suele marcar la diferencia entre un fraude bloqueado y un contracargo.

Para las entidades de crédito en particular, el ATO se sitúa en la intersección del fraude y el riesgo crediticio: una cuenta comprometida que agota el crédito máximo genera un incumplimiento que parece una pérdida crediticia pero en realidad es una pérdida por fraude. Tratarlo como tal modifica tanto la lógica de detección como la economía de recuperación.

Toma de control de cuentas vs. fraude de nuevas cuentas

Ambos conceptos se confunden con frecuencia, pero requieren defensas distintas. El fraude de nuevas cuentas utiliza identidades sintéticas o robadas para abrir cuentas que no existían previamente. La toma de control de cuentas emplea credenciales comprometidas para controlar cuentas que sí existen y tienen un historial legítimo. Las señales de detección difieren: el fraude de nuevas cuentas se combate en el proceso de onboarding mediante la verificación de identidad y la revisión del historial del dispositivo, mientras que el ATO se enfrenta durante el inicio de sesión y después de este, a través de señales de comportamiento, sesión y transacción. Un sistema de gestión de riesgos que maneje bien uno de estos tipos puede seguir siendo vulnerable al otro.