Apropiación de la cuenta

Qué es la toma de control de cuentas, cómo reconocerla y cómo evitar que los malhechores tomen control.

La actividad de la ciberdelincuencia en línea ha tenido un incremento significativo en los últimos dos años. Según el estudio anual de fraude de identidad realizado por Javelin Strategy & Research, las pérdidas por fraude de identidad alcanzaron los $24 mil millones en el 2021, lo que representa un incremento del 79 % respecto del 2020. Una gran parte de este aumento es el uso de la toma de control de cuentas por parte de los ciberdelincuentes.

La toma de control de cuentas es una forma de robo de identidad en línea en la que un delincuente obtiene acceso no autorizado ilegalmente a una cuenta en línea que pertenece a alguien más. Esto incluye los perfiles de redes sociales, las cuentas de comercio electrónico y las cuentas financieras.

El acceso a las cuentas se obtiene usando una variedad de métodos, los cuales incluyen:

• Métodos de ingeniería social, como phishing, smishing (phishing a través de un mensaje de texto) y vishing (phishing a través de un mensaje de voz)
  
• Intrusión a la fuerza: los malhechores ejecutan inicios de sesión de cuenta masivos para intentar entrar a la fuerza, especialmente si la página de la cuenta no tiene un límite de intentos de acceso
• Rellenado de credenciales (credential stuffing): los malhechores pueden usar robots para probar diferentes combinaciones de credenciales de información de cuentas filtradas hasta que logran acceder a la cuenta objetivo
• Reutilizar una contraseña para varias cuentas o usar contraseñas comunes y fáciles de adivinar, como “contraseña” o “123456”
  
• Ataques de malware, ya sea contra objetivos individuales o de forma masiva, tales como la filtración de datos

Cualquier persona y cualquier cuenta puede convertirse en objetivo de la toma de control de cuentas. El ataque cibernético de Twitter en el 2020 en el cual se tomó control de varias cuentas verificadas de alto perfil es un ejemplo de la toma de control de cuentas realizada con la meta de defraudar a los seguidores de las cuentas objetivo.

Aunque algunas personas quizás no consideren tomar medidas con respecto a sus cuentas sino hasta haber recibido noticias de un ataque de datos, puedes practicar la concientización cibernética antes de que ocurra lo peor.

• Evitar realizar actividades financieras o de comercio a través de un Wi-Fi público. Aunque el Wi-Fi público es práctico para ocuparte de ciertos asuntos sobre la marcha, es posible que estas redes sean menos seguras, lo que las hace ideales para que las utilicen los atacantes que roban información de credenciales.
  
• Activa la autenticación multifactorial de tus cuentas. La autenticación multifactorial te permite revisar cualquier cambio que se realice a tus cuentas, como las solicitudes de cambio de contraseña, y además añade otro nivel de seguridad requerido para iniciar sesión en tu cuenta, por ejemplo, un código de acceso de un solo uso.
  
• Evita revelar información personal. Los cuestionarios de redes sociales a menudo usan la información personal que se utiliza en las preguntas de seguridad, lo que incluye fechas de nacimiento, nombres de mascotas y hogares de la infancia. NUNCA contestes estos cuestionarios. Aunque parecen inofensivos, los atacantes pueden usar esta información para ingresar a una cuenta.
  
• Está bien si desconfías de un correo electrónico, un mensaje de texto o una llamada. Dirígete directamente al sitio web en vez de hacer clic en el enlace proporcionado o cuelga y llama a un número confirmado que tengas guardado. (Por ejemplo, el número de contacto que aparece al reverso de tu tarjeta de crédito, o el número que aparece directamente en el sitio web de la compañía.) No respondas directamente al comunicador en sí. Lo que debes hacer es comunicarte con la compañía directamente.