What is Account Takeover (ATO)?

En un ataque de apropiación de cuentas (ATO), un atacante obtiene acceso no autorizado a las credenciales de la cuenta en línea de un usuario. Este acceso puede utilizarse entonces para el robo de identidad, el fraude y para permitir otros ciberataques, como utilizar el acceso a las credenciales corporativas de un usuario para iniciar sesión y plantar ransomware dentro de la red corporativa.

Solicite una demostración

What is Account Takeover (ATO)?

¿Cómo funciona la apropiación de cuentas?

La mayoría de los sistemas de autenticación se basan en contraseñas, y las contraseñas son notoriamente inseguras. La mayoría de las personas usarán la misma contraseña para varias cuentas, y esta contraseña suele ser débil y fácil de adivinar. Incluso si una organización tiene políticas para hacer cumplir contraseñas seguras (longitud, caracteres obligatorios, etc.), los empleados a menudo modificarán las contraseñas de manera predecible.

La explotación de contraseñas débiles es un medio común de apropiación de cuentas, pero no es el único. Otras técnicas, como el uso de páginas web maliciosas y la ingeniería social, proporcionan al atacante una contraseña de cuenta sin necesidad de adivinarla.

Los tipos de apropiación de cuentas

Los ataques de apropiación de cuentas son una amenaza común de ciberseguridad y se presentan en una variedad de formas diferentes. Algunos de los tipos más comunes de apropiación de cuentas incluyen:

  • Filtraciones de datos: Las filtraciones de datos son una fuente común de información de autenticación filtrada. Si se incluyen hashes de contraseñas en una violación de datos, los ciberdelincuentes pueden usarlos para probar las conjeturas de las contraseñas de las cuentas.
  • Adivinación de contraseñas: Las contraseñas débiles facilitan a los ciberdelincuentes adivinar las credenciales correctas de las cuentas en línea. Cuando Casi el 10% de las contraseñas expuestas son 123456, no se tarda mucho en adivinar la contraseña de muchas cuentas en línea.
  • Llenado de credenciales: Muchas personas reutilizan la misma contraseña en varias cuentas, un error del que los ciberdelincuentes se aprovechan con mucho gusto. Cuando se viola la contraseña de un usuario para una cuenta, los atacantes intentarán las mismas credenciales en otros sitios para aprovechar la contraseña reutilizada.
  • Páginas web maliciosas: Phishing Las páginas o las páginas legítimas comprometidas pueden tener código malicioso diseñado para recopilar y transmitir credenciales de usuario al atacante.
  • Ingeniería Social: Los ataques de phishing y otras técnicas de ingeniería social pueden utilizarse para engañar a los usuarios para que faciliten sus credenciales a un atacante.

Señales de advertencia de ataques de apropiación de cuentas

Los ataques de apropiación de cuentas pueden ser difíciles de detectar al principio porque las credenciales del usuario pueden verse comprometidas en un área en la que la organización carece de visibilidad. Por ejemplo, la exposición de una contraseña reutilizada debido a una violación de una cuenta en línea diferente es indetectable para una organización.

Sin embargo, una organización puede monitorear las señales de advertencia de que la cuenta de un empleado se ha visto comprometida. Algunos indicadores clave incluyen:

  • Inicios de sesión fallidos: Los ataques de apropiación de cuentas que intentan adivinar o rellenar credenciales en portales en línea pueden generar una gran cantidad de detecciones fallidas. La supervisión de estos intentos fallidos de inicio de sesión puede ayudar a detectar algunos tipos de amenazas de apropiación de cuentas.
  • Análisis de usuarios: Los usuarios suelen tener ciertos patrones de comportamiento, iniciando sesión en ciertos momentos desde lugares específicos, etc. Los intentos de acceso que rompen estos patrones de comportamiento pueden ser señales de advertencia de una cuenta comprometida.
  • Configuraciones inseguras: Los ciberdelincuentes suelen desactivar los controles de seguridad y establecer configuraciones inusuales, como el filtrado y el reenvío de correo. Estos tipos de cambios pueden indicar que una cuenta de usuario se ha visto comprometida.

Actividades maliciosas: Los ciberdelincuentes pueden utilizar una cuenta comprometida para enviar correos electrónicos de phishing o intentar exfiltrar información sensible de los sistemas y redes de una organización. Una cuenta que exhiba estos comportamientos maliciosos puede haber sido comprometida por un atacante.

Cómo protegerse contra la apropiación de cuentas

Los ataques de apropiación de cuentas se pueden llevar a cabo de varias maneras. Las empresas pueden protegerse contra estos ataques mediante la implementación de ciertas protecciones, que incluyen:

  • Capacitación en concientización cibernética: Muchas estrategias de apropiación de cuentas implican engañar al empleado o aprovecharse de sus errores de seguridad. Capacitar a los empleados sobre las mejores prácticas de ciberseguridad puede ayudar a prevenir estos ataques.
  • Soluciones antiphishing: Los correos electrónicos de phishing son un método habitual con el que los ciberdelincuentes roban las contraseñas de las cuentas. Soluciones antiphishing puede ayudar a detectar y bloquear el contenido de phishing antes de que llegue al objetivo previsto.
  • Políticas de contraseñas: Muchas estrategias de apropiación de cuentas se aprovechan de contraseñas débiles y reutilizadas. La implementación de políticas de contraseñas seguras puede ayudar a que las contraseñas de los empleados sean más difíciles de adivinar.
  • Multi-Factor Authentication: La autenticación de múltiples factores (MFA) requiere tanto una contraseña como otros factores para la autenticación del usuario. La implementación de MFA en toda la empresa ayuda a limitar el impacto de las credenciales comprometidas.

Monitoreo de cuentas: Una cuenta de usuario comprometida puede generar una serie de señales de alerta. La supervisión de estas señales de advertencia permite a una organización detectar y corregir estas cuentas comprometidas.

Protéjase contra ATO con Check Point

Los ataques de apropiación de cuentas suponen un riesgo significativo para la empresa ciberseguridad porque proporcionan a un atacante el acceso y los permisos asignados al propietario legítimo de la cuenta. Una vez que un atacante tiene acceso a la cuenta de un usuario, puede moverse inmediatamente para consolidar ese acceso y explotarlo para causar daño a la organización.

Check Point y Avanan adoptan un enfoque centrado en la prevención para gestionar los ataques de toma de control de cuentas, detectando y bloqueando el acceso no autorizado a cuentas antes de que suponga un riesgo para la organización. Para obtener más información sobre cómo gestionar el riesgo de ataques de apropiación de cuentas, lea este whitepaper. También es bienvenido a regístrese para una demostración gratuita para saber cómo su organización puede protegerse mejor contra el acceso no autorizado a los recursos corporativos.

x
  Comentarios
Este sitio web utiliza cookies para optimizar su funcionalidad y para fines de análisis y marketing. Al seguir usando este sitio web, usted acepta el uso de cookies. Para obtener más información, lea nuestro Aviso de cookies.