Análisis profundo: Explorando las últimas estadísticas sobre fraude por apropiación de cuentas [2024]

¿Qué es el fraude por apropiación de cuentas?

El fraude por apropiación de cuentas (ATO) es cuando los estafadores acceden a la cuenta de un cliente sin su permiso, un tipo de robo de identidad. Cualquier cuenta en línea puede ser un objetivo, con el potencial de causar grandes daños financieros.

Al cometer fraude por apropiación de cuentas, un actor delictivo seguirá dos pasos. Primero, el estafador accede a la cuenta de la víctima utilizando información de cuenta robada o información que ha comprado.

Una vez que un estafador ha obtenido acceso, realizará cambios no monetarios en la cuenta. Estos incluyen:

• Cambiar la información personal identificable de la víctima,
• Solicitar una nueva tarjeta
• Agregar un usuario autorizado
• Cambiar la contraseña

Los estafadores pueden luego realizar una serie de transacciones no autorizadas que parecen legítimas. Alternativamente, pueden vender la cuenta confirmada o los datos del cliente a otra persona.

Utilizar estas credenciales obtenidas ilícitamente a gran escala constituye un uso indebido de credenciales. El uso indebido de credenciales es una de las técnicas más comunes para apoderarse de cuentas de usuarios. Este uso indebido es peligroso para los consumidores y empresas debido a los efectos en cadena de estas brechas. Uno de los otros desafíos es la práctica común de los usuarios de utilizar las mismas contraseñas y nombres de usuario/correos electrónicos en múltiples plataformas. Si estas credenciales se ven comprometidas por medios como una violación de datos o phishing, ingresar estas credenciales robadas en otros sitios web puede potencialmente otorgar al atacante acceso a esas cuentas también.

Tipos de cuentas vulnerables

Los ataques de apropiación de cuentas están creciendo a un ritmo acelerado. Esto se debe en parte a que este tipo de fraude puede cometerse en la mayoría de los tipos de cuentas, tales como:

1) Cuentas corrientes

2) Tarjetas de crédito

3) Cuentas de depósito o ahorros

4) Cuentas de beneficios gubernamentales

5) Cuentas de redes sociales

6) Cuentas de lealtad de tiendas

7) Cuentas de comercio electrónico

8) Cuentas de videojuegos

Algunos de estos tipos de cuentas son un enfoque creciente para los defraudadores por razones obvias, notablemente el potencial de ganancia financiera. Tome el comercio electrónico, por ejemplo: el Informe de Fraude de Identidad de Veriff 2024 registró un aumento del 40% en el fraude neto en 2023 en comparación con 2022, subiendo del 12.4% al 17.4%. O mire las cuentas bancarias, tarjetas de crédito y cuentas de fidelidad de tiendas. Según el informe, el área de pagos en general vio un aumento de una tasa de fraude neto del 4.07% en 2022 a 6.28% en 2023, un salto del 54%.

Las últimas estadísticas y hechos sobre el fraude por apropiación de cuentas

Para descubrir más sobre la prevalencia del fraude por apropiación de cuentas, hemos realizado un análisis profundo de las últimas estadísticas sobre fraude por apropiación de cuentas. Desafortunadamente, nos muestran cuán común se ha vuelto este tipo de fraude.

Los ataques de fraude en línea están creciendo a un ritmo más rápido que las transacciones financieras en línea válidas

Según informes recientes, el número de ataques de fraude en línea en todo el mundo está creciendo a un ritmo más rápido que el número de transacciones financieras en línea válidas. Se estima en el Informe de Mercado de Ciberseguridad que en el primer trimestre de 2022, los ataques de fraude en línea aumentaron un 233% en todo el mundo. Durante el mismo período, el número de transacciones en línea solo aumentó un 65%.

El fraude por apropiación de cuentas está en aumento

En 2024, el sector de los pagos enfrentará niveles elevados de riesgo, un aumento en la supervisión regulatoria y cambios sustanciales en los estándares internacionales. Según los datos de la Comisión Federal de Comercio, los casos de fraude y estafas, incluidos los fraudes de apoderamiento de cuentas (ATO), aumentaron un 49 por ciento en comparación con 2021, lo que resultó en que los consumidores perdieran casi 8.8 mil millones de dólares. Al mismo tiempo, los consumidores anticipan que los proveedores de servicios de pago los protegerán y proporcionarán reembolsos en caso de fraude. Por consiguiente, protegerse contra el fraude se ha vuelto imperativo para mantener la integridad de los sistemas de pago, mejorar la experiencia del cliente y proteger a las empresas del daño reputacional.

Pero, ¿qué nos dicen las estadísticas de apoderamiento de cuentas sobre este tipo de fraude? ¿Y cuán común es el crimen? Un estudio de Javelin Strategy & Research revela un aumento significativo en las pérdidas por fraude de identidad tradicional en 2021, alcanzando 24 mil millones de dólares estadounidenses, un aumento del 79% en comparación con 2020. Esto resultó en que más de 15 millones de adultos en los Estados Unidos se vieron afectados. El estudio destaca el uso por parte de los criminales de vectores de ataque virtual como bots y malware. Las estafas de fraude de identidad agregaron otros 28 mil millones de dólares en pérdidas, victimizando a otros 27 millones de adultos estadounidenses. Se observaron cambios importantes en las tácticas de fraude, incluido un aumento del 109% en el fraude de nueva cuenta y un aumento del 90% en las pérdidas por apoderamiento de cuentas. La pérdida promedio por víctima de fraude de identidad tradicional aumentó a 1,551 dólares, y las víctimas pasaron un promedio de nueve horas resolviendo problemas. Los consumidores expresaron grandes expectativas sobre las medidas contra el fraude por parte de las instituciones financieras. Los expertos enfatizan la necesidad de que las instituciones se adapten y mejoren sus esfuerzos de prevención del fraude para combatir el paisaje en evolución del fraude de identidad.

Casi 1 de cada 4 estadounidenses son víctimas del fraude ATO

Según las últimas estadísticas de ciberseguridad de Spy Cloud, el 22% de los adultos en EE. UU. han sido víctimas de fraude por apropiación de cuentas. Esto equivale a más de 24 millones de hogares.

¿Cuánto cuesta un robo de cuenta? 

Las noticias sobre las filtraciones de ATO probablemente costarán a su empresa futuros clientes, con el estigma empujando a las personas hacia sus competidores. Los ataques de apoderamiento de cuentas pueden generar gastos sustanciales. En una encuesta realizada a 100 ejecutivos de TI por Arkose Labs, la mayoría indicó que los ataques de ATO podrían resultar en gastos que van de 50 a más de 200 dólares por ocurrencia. Multiplicarse en miles representa una carga financiera significativa para las empresas.

Los ataques ATO atacan cuentas de comercio electrónico

Aunque los ATO pueden afectar varias cuentas, la mayoría de los ataques se dirigen a cuentas de comercio electrónico. Esto se debe a que estas cuentas ofrecen a los cibercriminales la oportunidad de obtener ganancias rápidamente. Según el Informe ATO en el Comercio Minorista, un mayor porcentaje de empresas minoristas, el 29%, considera el ATO su principal riesgo, con el 72% situándolo entre sus tres principales preocupaciones en comparación con otras industrias. A pesar de experimentar menos ataques promedio que diferentes grupos, el ATO sigue siendo el principal riesgo para un porcentaje significativo de minoristas de moda, con el 32% clasificándolo en primer lugar, casi un 10% por encima de la media general de la encuesta.

Principales vectores de ataque ATO a vigilar en 2024

Los ataques de ATO están a punto de superar al malware como la principal preocupación para las empresas y los clientes. La investigación del Índice de Seguridad y Confianza Digital Q3 2023 de Sift indica un aumento significativo en los ataques de Toma de Control de Cuenta (ATO), que se dispararon un asombroso 354% en comparación con el año anterior. Casi una quinta parte (18%) de los encuestados informó haber sido víctima de ataques ATO, con el 62% de estos incidentes ocurriendo dentro del último año. Además, más del 34% de los afectados se enfrentaron a fraudes múltiples, a menudo mientras participaban en suscripciones digitales, compras en línea y servicios financieros. Para aumentar la preocupación, se pronostica que las pérdidas por fraude a nivel global aumenten en un 20% en comparación con el año anterior, lo que representa consecuencias económicas sustanciales para comerciantes y consumidores para finales de 2023.

Según las estadísticas de Auth Signal, las tres principales áreas de preocupación en la actualidad son

Session hijacking

En el último año, el secuestro de sesión ha emergido como uno de los ataques más extendidos, afectando a numerosas plataformas prominentes. El método es sencillo: la sesión parece altamente confiable después de que un usuario legítimo se autentica con una aplicación y obtiene un token de sesión o cookie, lo que puede involucrar autenticación de dos factores o múltiples factores para mayor seguridad. Esta sesión privilegiada y a menudo duradera se convierte en un objetivo valioso para los cibercriminales que desean apoderarse de ella y explotarla. Al tomar el control, obtienen acceso sin restricciones a datos sensibles o la capacidad de iniciar un retiro bancario o extraer información personal identificable (PII) como fechas de nacimiento, direcciones e historiales de transacciones.

Uso indebido de credenciales / Descifrado de contraseñas

El credential stuffing se refiere a la inserción automatizada de combinaciones de nombres de usuario y contraseñas robadas ("credenciales") en portales de inicio de sesión de sitios web con la intención de acceder ilícitamente a cuentas de usuarios. Este método de ataque ATO bien establecido sigue siendo rentable y continúa logrando tasas de éxito altas. Estos ataques han evolucionado rápidamente para eludir medidas de seguridad como los CAPTCHAs de protección contra bots mediante el uso de bots avanzados de credential stuffing.

Estos bots más nuevos capitalizan la experiencia poco amigable para el usuario provocada por los desafiantes acertijos CAPTCHA. En escenarios específicos, orquestan ataques que someten a todos los usuarios, incluidos los legítimos, a interminables desafíos CAPTCHA, obligando a las plataformas a bajar sus umbrales de seguridad para mitigar el impacto en los clientes genuinos. Otras tácticas implican resolver sin esfuerzo los CAPTCHAs utilizando IA generativa y ejecutar ataques graduales y discretos que permanecen por debajo de los umbrales, activando medidas de respuesta de seguridad.

Phishing de código de contraseña de un solo uso (OTP)

El phishing de código OTP es un tipo avanzado de phishing que implica intentos de los hackers para adquirir los códigos de autenticación temporales comúnmente utilizados en los sistemas de autenticación de dos factores (2FA). A diferencia del phishing convencional, que generalmente apunta a credenciales de inicio de sesión como nombres de usuario y contraseñas, el phishing OTP se centra en interceptar o engañar a los usuarios para que revelen sus códigos con límite temporal.

La identidad del cliente es el principal objetivo para los atacantes cibernéticos

No sorprende que las últimas estadísticas de fraude por robo de cuentas muestren que el porcentaje de personas preocupadas por la recolección de PII, el credential stuffing y el ATO ha aumentado desde 2021. Todos estos ataques tienen algo en común: implican el robo y uso fraudulento de la identidad.

Los criminales inteligentes llevan a cabo ataques mientras se ocultan detrás de una identidad legítima, brindando numerosas oportunidades para cometer fraude. Esto significa que la identidad del cliente es ahora el objetivo número uno para los atacantes cibernéticos.

Las empresas son lentas para adaptarse a los riesgos emergentes

A medida que las organizaciones crecen y más del mundo se traslada en línea, la superficie de ataque de cada organización sigue expandiéndose. Sin embargo, la investigación muestra que aunque las empresas son conscientes de los riesgos que plantea la migración en línea y que el malware, la recolección de información personal, el uso indebido de credenciales y el ATO son áreas de preocupación, la adopción de herramientas de seguridad para gestionar estos riesgos sigue siendo baja.

Sin embargo, la buena noticia es que los responsables de la toma de decisiones de sitios web dicen que están tratando de volver a encarrilar su infraestructura de seguridad. Según los datos, el 39.8% de las organizaciones están considerando comprar una solución de gestión de bots. Estas soluciones ayudan a defender aplicaciones web y móviles y API de los muchos ataques que utilizan redes de bots, incluidos los ATO, el raspado de contenido y la acumulación de inventario.

Tomando medidas contra el fraude por apropiación de cuentas

Para las empresas, prevenir el fraude por apropiación de cuentas puede ser complicado. Esto se debe a que las actividades asociadas con el fraude por apropiación de cuentas ocurren cientos de veces al día, y la gran mayoría de estas acciones de gestión de cuentas iniciadas por el cliente son legítimas. El desafío para las empresas es determinar cuáles de estas acciones no son legítimas y están vinculadas al fraude por apropiación de cuentas.

Para hacer esto, las empresas deben establecer los procesos y herramientas adecuadas. Estos pueden ayudarles a diferenciar entre clientes reales y estafadores. Después de todo, si una empresa no puede identificar a los estafadores en tiempo real, las pérdidas pueden acumularse rápidamente. Esto se debe a que cuando un cliente sufre fraude por apropiación de cuentas, generalmente considera a la empresa responsable por cualquier medida de seguridad laxa que permita al estafador acceder a su cuenta. Sin embargo, al mismo tiempo, los clientes se frustran fácilmente cuando los cambios solicitados menores resultan en un examen excesivo y se convierten en una molestia.

Las empresas deben encontrar un equilibrio entre implementar una seguridad adecuada y proporcionar una experiencia de cliente fluida. La mejor manera de lograr esto es verificando la identidad de un usuario antes de que se le permita crear una cuenta y luego autenticando a un usuario cada vez que desee realizar un cambio en su cuenta.

Al emplear el uso de software de verificación de identidad para ayudar a incorporar a un cliente, una empresa puede hacer que el proceso de verificación sea rápido, eficiente y preciso. De hecho, con un software como el nuestro, la identidad de un cliente puede ser verificada en tan solo seis segundos.

Cuando el cliente desee realizar un cambio en su cuenta, puede emplear una solución de autenticación biométrica. De esta manera, puede asegurar cuentas, acceso a datos y transacciones. El proceso es tan rápido y fácil como tomar una selfie. Gracias a la potente automatización, la identidad de un cliente puede ser autenticada en tan solo un segundo. Además de mantener los datos de un cliente seguros, también puede hacer que el proceso de autenticación sea simple y fluido.

Cómo Veriff ayuda con la recuperación del fraude ATO

Detener el fraude ATO significa tanto prevenir que ocurra como detectar actividad sospechosa para que pueda intervenir antes de que un criminal tome control de una cuenta.

Con la ayuda de nuestras soluciones, puede gestionar el acceso de los usuarios y mantener su negocio seguro sin dañar la retención de clientes. También puede asegurarse de que sabe que sus clientes son quienes dicen ser.

Cuando se trata de la incorporación del cliente, nuestra plataforma de verificación de identidad le ayuda a cumplir con sus requisitos de regulación

Una vez que su cliente haya creado su cuenta, puede asegurarla con la ayuda de nuestra solución de autenticación biométrica. Esta solución utiliza poderosa automatización para verificar clientes y asegura que su negocio ya no dependa de contraseñas y códigos de acceso de un solo uso, que pueden ser interceptados por defraudadores.

En cambio, confirma que un usuario que regresa es quien dice ser mediante el uso de una selfie, que se compara con una plantilla biométrica verificada previamente. Se verifica por autenticidad y veracidad. La solución es completamente automatizada y se proporciona una decisión en menos de 1 segundo.

Al reemplazar las contraseñas con procesos de autenticación biométrica, Veriff puede ayudar a prevenir que un defraudador utilizando información robada/comprometida acceda a la cuenta de un cliente. Puede detener a los piratas informáticos de robar información del cliente y garantizar que, incluso si los datos de un cliente son comprometidos, un defraudador no puede acceder a su cuenta. La solución de Autenticación Biométrica de Veriff utiliza inteligencia artificial avanzada y análisis biométrico facial para autenticar rápida y seguramente a los usuarios, otorgando acceso instantáneo a productos y servicios. Este proceso rápido y completamente automatizado se puede integrar en cualquier etapa del viaje del usuario, como el acceso a la cuenta, actividades de alto riesgo o recuperación de cuentas.