Fraude de apropiación de cuentas: ¿Qué es y cómo prevenirlo?

Piense en los servicios en línea de los que depende a diario, como la banca y las compras en línea. 

Ahora imagine cómo se sentiría si de repente le bloquearan esas cuentas. Cuando cunde el pánico, se da cuenta rápidamente de que un estafador ha conseguido acceder y probablemente ha realizado transacciones no autorizadas. Se apresura a llamar a un teléfono de atención al cliente, donde trabaja para recuperar el control de su cuenta. 

Se trata de un fraude de apropiación de cuenta (también conocido como secuestro de cuenta) - cuando un estafador o delincuente se hace pasar por un cliente real para hacerse con el control de una cuenta y luego realiza transacciones no autorizadas. El fraude de apropiación de cuenta puede tener repercusiones muy personales, como desencadenar implicaciones financieras inmediatas, impedir el acceso a prestaciones o servicios y provocar una mala calificación crediticia hasta que se resuelva el asunto.

• Alrededor del 22% de los adultos estadounidenses han sido víctimas de casos de fraude por apropiación de cuentas, con una pérdida financiera media aproximada de casi 12.000 dólares.
• El fraude por apropiación de cuentas va en aumento: los casos denunciados aumentaron un 90%, con un coste estimado de 11 400 millones de dólares en 2021, en comparación con 2020.

Afortunadamente, existe una solución. La autenticación facial biométrica ayuda a las organizaciones a prevenir el fraude por apropiación de cuentas. Un delincuente puede robar información de seguridad basada en el conocimiento, como una contraseña o el nombre de soltera de la madre. Pueden engañar a la gente para que revele sus PIN y la información de recuperación de la cuenta mediante ingeniería social. Una vez que tienen esos datos, pueden cambiar el número de contacto y la dirección de correo electrónico asociados a la cuenta, de modo que las contraseñas de un solo uso (OTP) y los enlaces de restablecimiento de contraseña.

Dynamic Liveness® ayuda a defenderse contra el fraude de apropiación de cuentas garantizando que sólo el propietario auténtico de la cuenta pueda acceder a ella.. La tecnología de iProov permite a las organizaciones salvaguardar las cuentas en línea de los usuarios y garantizar que las cuentas no terminen bajo el control de otra persona. Con iProov, las organizaciones pueden verificar que cada usuario en línea es la persona correcta, una persona real, y que se está autenticando en este momento.

¿Qué es el fraude por absorción de cuentas?

El fraude de apropiación de cuenta se produce cuando un estafador accede a la cuenta de un usuario real para obtener beneficios financieros o blanquear dinero mediante la suplantación de identidad. Funciona mediante una serie de pequeños pasos:

Un estafador accede a la cuenta de una víctima. El estafador puede utilizar varias tácticas para conseguirlo: malware, ingeniería social, phishing, datos procedentes de violaciones de datoso simplemente utilizando información que conoce sobre un compañero de piso o un familiar.

Una vez que el estafador tiene acceso a una cuenta, puede cambiar los datos de contacto para redirigir la información a otro correo electrónico y número de teléfono.

Por último, como ahora pueden confirmar métodos de autenticación como OTPs por SMS o restablecimientos por correo electrónico, el atacante puede realizar más cambios para estafar a la cuenta. Esto podría incluir solicitar una nueva tarjeta de pago, cambiar la contraseña o añadir otro titular o beneficiario de la póliza de seguro. 

El fraude por apropiación de cuentas es un problema enorme; es una de las consecuencias más comunes del robo de identidad. También puede ser escalable, ya que los consumidores tienden a reutilizar las contraseñas; la investigación de iProov descubrió que El 59% de los encuestados admitió reutilizar las mismas contraseñas en varios sitios.

El problema se agrava con los ataques de "relleno de credenciales", en los que se introducen credenciales de inicio de sesión procedentes de filtraciones de datos en un bot que, a continuación, intenta acceder a otras cuentas para automatizar el proceso de toma de control de la cuenta. Sólo el sector bancario estadounidense se enfrenta a pérdidas potenciales de casi 50 millones de dólares al día debido a los ataques de "relleno de credenciales". 50 millones de dólares al día en pérdidas potenciales debidas al robo de credenciales..

Todos los sectores pueden ser objeto de fraude en la adquisición de cuentas. Los proveedores de servicios financieros, como bancos y aseguradoras, son objetivos habituales. Pero otros sectores, como la sanidad y la enseñanza superior, también se convierten en objetivo, ya que estas cuentas suelen contener muchos datos confidenciales, como historiales financieros o médicos, que pueden utilizarse en otras estafas (como el fraude de cuentas nuevas) o venderse en Internet.

Fraude de adquisición de cuenta frente a fraude de cuenta nueva: ¿cuál es la diferencia?

• Fraude de apropiación de cuentas: Los malos actores se dirigen a cuentas existentes para extraer valor financiero o información sensible de esa cuenta socavando la débil seguridad de autenticación. En este caso, la solución es reforzar usuario autenticación.
• Fraude de cuentas nuevas: los malos actores crean nuevas cuentas utilizando identidades falsas, robadas o sintéticas para acceder a bienes o servicios con el fin de cometer delitos, robar y blanquear dineroo acceder a servicios a los que no podrían acceder con su propia identidad. La solución al fraude de cuentas nuevas debe centrarse en una mayor verificación de los usuarios. usuario.

¿Qué significa el fraude por apropiación de cuentas para los consumidores y las organizaciones?

Las organizaciones se enfrentan a una serie de retos a la hora de detectar el fraude por absorción de cuentas:

• ¿Cómo sabe una organización qué transacciones proceden de un usuario legítimo y cuáles son fraudulentas? El defraudador puede cambiar la dirección o el número de teléfono de la cuenta, pero también podría hacerlo el propietario de buena fe. Y si autenticación escalonada como los OTP por SMS o un código de correo electrónico, es probable que el sistema no emita señales de alarma que den lugar a una investigación.
• Pueden acumularse rápidamente importantes pérdidas financieras. Si una empresa ha pagado una reclamación falsa al seguro, por ejemplo, es difícil recuperar ese dinero. Cualquier daño a los fondos de los clientes tendría que ser reembolsado.
• Las víctimas pueden perder la confianza en que esa empresa sea capaz de proteger adecuadamente sus cuentas, mientras que los compromisos de alto perfil pueden tener un impacto duradero en la reputación del que es difícil recuperarse.
• En sectores más regulados, como el financiero, esto también puede dar lugar a más sanciones económicas y otras reprimendas. 

El fraude por apropiación de cuentas puede ser devastador para las víctimas:

• Como el defraudador suele cambiar los datos de contacto, el titular auténtico de la cuenta puede ser inconsciente y totalmente impotente para detener este fraude durante mucho tiempo.
• Los usuarios pueden verse bloqueados inesperadamente de servicios vitales cuando más los necesitan -como reclamar un seguro o una ayuda pública-, lo que les provoca un enorme estrés emocional y dificultades económicas.
• Una vez tomada una cuenta, los atacantes también pueden utilizarla para hacerse con el control de más servicios y aplicaciones, y pueden escalar rápidamente hasta la usurpación total de la identidad.
• Pueden acumularse rápidamente enormes pérdidas financieras en varias cuentas. 

¿Cómo se protegen ya las organizaciones contra el fraude por apropiación de cuentas?

Para evitar el fraude, muchas empresas han implantado la autenticación de dos o más factores (2FA o MFA). autenticación multifactor (2FA o MFA).Esto es obligatorio para las instituciones financieras en Europa en virtud de la autenticación fuerte del cliente (SCA) de la PSD2 (SCA). Esto significa que la autenticación debe cumplir dos o más de los siguientes requisitos:

• Algo que un usuario es (inherencia) - por ejemplo, biometría
• Algo que un usuario sabe (conocimiento) - por ejemplo, contraseñas
• Algo que un usuario tiene (posesión) - por ejemplo, un dispositivo, un número de móvil, para recibir una OTP

Sin embargo, los métodos tradicionales basados en el conocimiento, como las contraseñas, se consideran cada vez más inseguros. Las contraseñas son "phishables", es decir, "secretos compartibles" que los atacantes pueden adquirir a través de filtraciones de datos o ataques de ingeniería social. A los atacantes les resulta más fácil que nunca adquirir esta información y, con tantas cuentas, los consumidores utilizan cada vez más contraseñas fáciles de recordar en varias cuentas.

Las contraseñas ya no sirven. Del mismo modo, combinarlas con otros métodos de 2FA como los OTP por SMS (autenticación basada en la posesión) es inadecuado, porque los números de teléfono pueden intercambiarse fácilmente en las cuentas y los mensajes pueden ser secuestrados. Estados Unidos ya está publicando directrices, como la Orden ejecutiva 14028recomendando el abandono de los métodos de autenticación que no resisten el phishing, como las OTP por SMS.

¿Cómo evita la autenticación biométrica el fraude por apropiación de cuentas?

Las credenciales biométricas no pueden "compartirse" del mismo modo que otros autenticadores. Su rostro genuino no puede perderse ni ser robado, ni utilizarse a gran escala en un ataque de relleno de credenciales. Son únicas para una persona, lo que las hace considerablemente más seguras como factor de autenticación.  

La biometría facial es una opción convincente basada en la inherencia, ya que las organizaciones pueden cotejar a los usuarios con documentos de identidad emitidos por el gobierno (la mayoría de los cuales incluyen fotos) para validar a los usuarios durante la incorporación y la inscripción.

Los usuarios pueden utilizar su rostro para la autenticación continua. Con la solución biométrica adecuada, esto significa que nadie más que el auténtico propietario puede acceder a esa cuenta o realizar cualquier actividad/transacción. Las soluciones biométricas pasivas como Dynamic Liveness de iProov también ofrecerán una experiencia de usuario mucho mejor. En lugar de tener que recordar e introducir una contraseña complicada, un usuario puede simplemente mirar hacia atrás en un dispositivo, haciendo que el proceso de seguridad sea sencillo. 

Pero recuerde que no todas las soluciones de biometría facial son iguales...

¿Cómo previene la liveness el fraude por apropiación de cuentas?

Detección de actividad utiliza tecnología biométrica para verificar que un usuario en línea es una persona real. Sin la detección de la vitalidad, un delincuente podría utilizar una foto o un vídeo de una víctima y presentarlo a la cámara, falseando el proceso de autenticación.

Para evitar el fraude de apropiación de cuenta con una seguridad de autenticación ultrasegura, necesita verificar los tres aspectos de la presencia genuina: persona correcta, persona real y autenticación en tiempo real. Ahí es donde entra iProov Dynamic Liveness.

¿Cómo evita iProov Dynamic Liveness (GPA) el fraude por apropiación de cuentas?

iProov Dynamic Liveness (GPA) La solución de iProov se ha diseñado específicamente para que sea fácil de usar y, al mismo tiempo, muy segura, y valida tres aspectos vitales: que el usuario es la persona correcta, una persona real y que se está autenticando en tiempo real.

El aspecto más difícil de validar es verificar que un usuario se autentique en este momento. Para ello se utiliza iProov tecnología Flashmarkque ilumina la cara del usuario remoto con una secuencia única de colores que no puede reproducirse ni manipularse sintéticamente, lo que impide la suplantación de identidad.

Además, Dynamic Liveness es una tecnología basada en la nubelo que significa que sus defensas están ocultas a los atacantes, por lo que es mucho más difícil realizar ingeniería inversa. GPA funciona con Centro de Operaciones de Seguridad iProov (iSOC)que utiliza tecnología de aprendizaje automático para supervisar las operaciones diarias e identificar nuevos ataques, lo que significa que GPA proporciona una gestión activa de las amenazas. Dynamic Liveness puede ofrecer un valor adicional a través de su tranquilizadora "ceremonia", ya que Flashmark garantiza a los usuarios que se está llevando a cabo una seguridad adicional. Cuando se accede a una cuenta sensible, esta ceremonia es un gran consuelo, especialmente si se han sufrido fraudes en el pasado.

Ejemplo: un estafador adquiere el correo electrónico y la contraseña de una víctima que han sido compartidos en la dark web tras una violación de datos. Introduce las credenciales en una serie de cuentas en línea, como bancos y comercios. Algunas cuentas no disponen de autenticación por pasos o de dos factores, por lo que el estafador puede entrar directamente y causar enormes daños. Pero en este ejemplo, el banco de la persona utiliza la autenticación facial iProov. Cuando el estafador intenta acceder a la cuenta protegida por iProov, la autenticación falla. Aunque tuvieran imágenes de la cara de la persona estafada, la tecnología Dynamic Liveness de iProov detectaría que la persona auténtica no está presente y la solicitud de acceso sería rechazada.

Fraude en la absorción de cuentas: resumen

• El fraude de apropiación de cuenta se produce cuando un atacante obtiene acceso a una cuenta por medios ilícitos, antes de utilizar ese acceso para bloquear al usuario genuino y estafarle.
• El "relleno de credenciales" es una forma popular de ataque que puede automatizar el fraude de toma de control de cuentas. Suele utilizar bots automatizados para introducir credenciales robadas a escala e intentar acceder a otros múltiples servicios.
• El fraude por apropiación de cuentas es habitual porque las credenciales que se utilizan para proteger las cuentas, como las contraseñas, pueden ser robadas o solicitadas mediante ataques de ingeniería social.
• La autenticación biométrica puede ofrecer mayores niveles de seguridad porque es una "credencial no compartible", a diferencia de las contraseñas y los OTP.
• La tecnología iProov puede ayudar a las organizaciones a evitar la apropiación de cuentas verificando que la persona en línea que intenta acceder a la cuenta es la persona correcta, una persona real, y que se está autenticando en ese momento.

El fraude por apropiación de cuentas causa un gran estrés emocional a sus víctimas, así como pérdidas financieras y de datos. Las organizaciones se enfrentan a daños en su reputación y a clientes insatisfechos, así como a implicaciones financieras. Al añadir la autenticación facial, ya sea como único autenticador o como parte de un despliegue de autenticación multifactor, las organizaciones pueden evitar que las cuentas se vean comprometidas.

Si desea ver cómo la tecnología de iProov puede aportar seguridad sin esfuerzo a sus procesos de incorporación y autenticación, ayudándole a combatir el fraude por apropiación de cuentas... reserve una demostración iProov aquí.