Guía con varios capítulos | Verificación de identidad del cliente

Prevención de la toma de control de cuentas: Cómo detectar y detener los ataques de ATO

Tabla de contenidos

Los ataques de toma de control de cuenta (ATO) están en aumento. La Encuesta de pulso de la industria del fraude 2026 de Veriff identificó los ataques de ATO como uno de los diez principales tipos de fraude, y los encuestados informaron que los ataques de ATO son uno de los «más temidos» en 2026.

Los atacantes de ATO usan técnicas como el credential stuffing, el phishing, los ataques de intermediario (MitM) y el malware para tomar el control de las cuentas de los clientes. Los ataques asistidos por IA también están en aumento. En nuestro Informe de Fraude de Identidad Veriff de 2026, documentamos un aumento de 300 veces en los medios presentados digitalmente que fueron generados completamente por IA o alterados de alguna otra manera.

Lo que ha cambiado recientemente es dónde los atacantes centran sus esfuerzos. En el último trimestre, nuestro equipo de fraude ha visto un cambio medible de los ataques de ATO liderados por «credential stuffing» hacia la intercepción de «enlaces mágicos» y los ataques en el paso de verificación; los atacantes manipulan el momento de la verificación de identidad en sí en lugar de intentar superarlo por la fuerza bruta. La señal es clara: a medida que los flujos de inicio de sesión se han vuelto más seguros (MFA, vinculación de dispositivos, passkeys), el momento de la verificación de identidad se ha convertido en el eslabón más débil en el ciclo de vida de una cuenta que, por lo demás, está bien defendida. Esa es la parte del problema en la que se enfoca este artículo.

Los ataques de ATO indican una brecha en la verificación de identidad dentro de la organización. Este artículo explora las tácticas, técnicas y procedimientos (TTP) detrás de los ataques de ATO, las señales de un ATO y las mejores prácticas para la prevención de la toma de control de cuentas.

Resumen de conceptos clave en la prevención de la toma de control de cuentas

Concepto Descripción
Rutas comunes de ataques de ATO 
  • Credential stuffing
  • Secuestro de sesión
  • SIM swapping
  • Ingeniería social y phishing
  • Bots de GenAI
  • Emuladores en ataques de ATO
Puntos ciegos y señales de advertencia 
  • Flujos de autenticación débiles
  • Controles de recuperación de cuenta mal configurados 
  • Visibilidad de sesión limitada
  • Suplantación de dispositivo
Realizar una evaluación de riesgos de ATO
  • Identificar la evaluación de la cuenta 
  • Usar datos de evaluación para establecer áreas de debilidad y fundamentar las políticas de seguridad
  • Realizar un ejercicio de mapeo para identificar las medidas adecuadas.
Determinar las políticas de verificación de identidad
  • Establecer políticas de verificación inicial
  • Desarrollar reglas y eventos que activen la reverificación
  • Mapear políticas a regulaciones locales y globales
Definir políticas y medidas de verificación y autorización
  • Implementar un entorno de confianza cero
  • Asegurarse de que la prueba de vida esté habilitada
  • Usar soluciones biométricas que incorporen tecnología anti-spoofing
  • Usar tecnologías de adaptación del comportamiento
  • Aplicar autenticación basada en riesgos
  • Implementar la autenticación sin contraseña
Otras mejores prácticas de ATO
  • Implementar inteligencia de amenazas de ATO en tiempo real 
  • Educar a los clientes sobre las tácticas y señales de ATO
  • Documentar planes de respuesta a incidentes 
  • Auditar y revisar la respuesta a los ataques de ATO
La principal solución de KYC potenciada por inteligencia artificial de la industria
  • Verifica identificaciones, documentos, direcciones, edad, bases de datos globales de fraude y listas de sanciones

  • Aumenta la confianza con tecnología biométrica, procesamiento de imágenes y Estimación de edad

  • Protégete contra el fraude y el riesgo de lavado de dinero con detección en tiempo real potenciada por IA

Rutas comunes de ataques de ATO

Los ciberdelincuentes usan enfoques innovadores para explotar las cuentas de los clientes, incluido el uso de IA.

Common ATO attack paths: How cybercriminals hijack customer accounts

Rutas comunes de ataques de ATO: Cómo los ciberdelincuentes toman el control de las cuentas de los clientes

 

Credential stuffing y botnets

Las combinaciones de nombre de usuario y contraseña son fácilmente accesibles para los ciberdelincuentes a través de filtraciones de datos o la compra de credenciales robadas. Usan herramientas automatizadas, como Atlantis All-In-One (AIO), para probar credenciales en múltiples sitios web simultáneamente y determinar qué conjuntos proporcionan acceso. Con más de 26 mil millones de credenciales expuestas en filtraciones de datos hasta la fecha, la materia prima para estos ataques es efectivamente ilimitada.

Los mecanismos secundarios para evitar que los bots de automatización usen credential stuffing para obtener acceso no autorizado son cada vez más eludidos. Algunas herramientas incluyen capacidades para saltarse los CAPTCHA. Otras pueden explotar la autenticación multifactor (MFA) mal configurada. Por ejemplo, al interceptar OTP basados en SMS usando proxies de phishing en tiempo real o al explotar flujos de recuperación débiles que recurren a la verificación por correo electrónico.

Las herramientas de credential stuffing están diseñadas para anonimizar los ataques y evitar la detección. Estas herramientas usan Tor, VPN y proxies para evadir la detección. La Fraud Intelligence de Veriff analiza las señales del dispositivo, la red y el comportamiento en el momento de la verificación: marcado de IP de centros de datos y proxy, coherencia de la huella digital móvil vs. de escritorio, atestación de sensores y hardware, y patrones de tiempo que distinguen un intento humano de uno automatizado. Pero el problema más difícil con el credential stuffing no es detectar un solo intento, sino reconocer la campaña. Un intento contra un cliente usando un proxy residencial parece un falso positivo ruidoso y aislado. La misma huella digital de dispositivo apareciendo en tres clientes de dos industrias en 48 horas es una señal inequívoca.

Aquí es donde CrossLinks hace un trabajo que ningún proveedor de instancia única puede replicar. Al vincular sesiones a través de toda nuestra red de clientes mediante señales de documentos, dispositivos, biométricas y de red, revelamos la vista de la campaña: las redes de fraude reciclan los mismos dispositivos y credenciales comprometidos entre nuestros clientes, y CrossLinks convierte ese reciclaje en nuestra ventaja de señal. Detectar el primer intento en el cliente A significa que el segundo, tercero y cuadringentésimo intento en el cliente B ya está en una lista de vigilancia. Secuestro de sesión

El secuestro de sesión es una técnica que intercepta el token de sesión activo de un usuario, eludiendo así la autenticación. El atacante no necesita una contraseña. En su lugar, hereda una sesión que le permite parecer un usuario legítimo que ha iniciado sesión.

Las técnicas comunes de secuestro de sesión incluyen:

  • Cross-site scripting (XSS) para robar cookies de sesión.
  • Man-in-the-Browser (MitB) que usa malware para interceptar tokens en tiempo real.
  • Fijación de sesión: Un atacante establece un ID de sesión conocido antes de que la víctima inicie sesión.
  • Intercepción a nivel de red que se usa en redes Wi-Fi no seguras.

Lo que hace que el secuestro de sesión sea particularmente peligroso es que, desde la perspectiva de la plataforma, la sesión parece completamente legítima. La IP, el dispositivo y el navegador pueden coincidir con el perfil del usuario original. La detección requiere un análisis de anomalías de comportamiento, es decir, cambios en los patrones de navegación, la velocidad de las transacciones o los cambios geográficos a mitad de sesión, combinados con una validación continua de la huella digital del dispositivo. La Device Intelligence de Veriff incluye un análisis de anomalías de comportamiento que va más allá de la autenticación puramente basada en la sesión.

SIM swapping

El fraude por SIM swapping explota los procesos de los operadores de telefonía móvil. El atacante convence o soborna a un empleado del operador para que transfiera el número de teléfono de la víctima a una nueva tarjeta SIM. Una vez que controla el número, puede interceptar los OTP basados en SMS y restablecer las contraseñas de cualquier cuenta que utilice la verificación telefónica. Un ataque de SIM swapping hace que un flujo de autenticación que depende de SMS como segundo factor sea redundante.

En 2025, la FCC reforzó las reglas de SIM swapping en los EE. UU.; sin embargo, su aplicación sigue siendo inconsistente.

Asegúrate de que cualquier flujo de restablecimiento de autenticación o de intensificación incluya una verificación de identidad biométrica que no pueda ser interceptada a través de una red telefónica. El producto de Autenticación biométrica de Veriff incluye una comparación de selfie con selfie frente a una identidad registrada, vinculada a la persona en lugar de a un dispositivo o número de teléfono.

Campañas de ingeniería social y phishing

El phishing sigue siendo el segundo vector de ATO más prolífico porque es fácil de escalar. Las campañas de phishing modernas usan contenido generado por IA para producir réplicas casi perfectas de comunicaciones legítimas. Los proxies de phishing en tiempo real ahora actúan como proxies inversos transparentes entre la víctima y la página de inicio de sesión real, capturando credenciales y tokens de sesión simultáneamente, eludiendo incluso la MFA.

Una de las variantes de phishing más peligrosas para las plataformas de verificación de identidad es el ataque de intercepción de «enlace mágico». El ataque explota una URL de verificación legítima mediante ingeniería social o malware. El engaño redirige al objetivo para que autentique una sesión. La víctima, sin saberlo, completa la verificación de identidad en nombre del estafador. Lo que hace que este tipo de ataque sea excepcionalmente difícil es que cada señal individual parece correcta. El documento es real. El rostro coincide con el documento. La verificación de vida es genuina. La selfie no es un deepfake ni una inyección de video: es una persona, biométricamente presente, que completa voluntariamente el flujo. La mayoría de los controles de fraude en la industria de la verificación de identidad están diseñados para responder a la pregunta «¿es esta la persona correcta?», y la respuesta honesta en una intercepción de enlace mágico es . El atacante ha convertido ese en un arma.

El cambio defensivo que esto requiere es conceptual, no solo técnico: la verificación de identidad tiene que evolucionar de confirmar quién a confirmar quién, haciendo qué y con qué intención.

Veriff está construyendo activamente defensas contra este vector, incluyendo verificaciones de comportamiento que no solo confirman la identidad de un individuo, sino que también capturan la intención de autorizar una acción específica.

Bots de GenAI

Se espera que las IA maliciosas de primera generación, como WormGPT y FraudGPT, junto con candidatos más nuevos como HackerGPT y Xanthorox, se conviertan en un aspecto central de muchos ataques de ATO, haciendo que la detección y prevención sean más complejas. La Encuesta de pulso de la industria del fraude 2026 de Veriff encontró que más del 78 % de las empresas esperan ver más fraudes impulsados por IA en 2026.

En el informe Dark Side of GenAI, se llevó a cabo un concurso de inyección de prompts para encontrar formas de engañar a un chatbot para que revelara una contraseña. Los resultados encontraron que el 88 % de los concursantes pudieron usar un chatbot para revelar contraseñas.

Survey results show that most businesses expect more AI and deepfake-powered fraud in 2026 (source)

Los resultados de la encuesta muestran que la mayoría de las empresas esperan más fraudes impulsados por IA y deepfakes en 2026 (fuente)

Informe de Fraude de Identidad Veriff: últimas tendencias de fraude y técnicas de ataque de IA

Emuladores en ataques de ATO

Las herramientas de emulación son utilizadas legítimamente por los probadores de software para facilitar las pruebas de aplicaciones en múltiples dispositivos y sistemas operativos. Sin embargo, en manos de los ciberdelincuentes, un emulador se convierte en un arma eficaz para la toma de control de cuentas.

Durante un ataque de ATO, se utiliza un emulador para replicar una sesión de usuario, eludiendo así las medidas de seguridad y dificultando la detección de un ATO en progreso. Los kits de herramientas de ATO avanzados combinan emuladores con proxies residenciales para imitar el perfil de dispositivo y la ubicación geográfica típicos de la víctima. Los emuladores también permiten a los estafadores escalar sus ataques.

Los emuladores y la suplantación de identidad son una de las técnicas de evasión más difíciles de detectar con métodos tradicionales. La Device Intelligence de Veriff analiza señales de bajo nivel del dispositivo para marcar entornos emulados, incluso cuando el emulador está configurado para replicar un modelo de dispositivo y una versión de sistema operativo específicos. Combinado con nuestra tecnología CrossLinks, que vincula sesiones por dispositivo, documento, rostro y señales de red en toda nuestra red de verificación, podemos identificar patrones invisibles para la vista de un solo cliente.

Puntos ciegos y señales de advertencia

El ATO es difícil de detectar. Sin embargo, algunos comportamientos inusuales en la cuenta

apuntan a una cuenta de cliente que puede estar bajo ataque. Identificar estos indicadores de un ataque de ATO es un elemento esencial para proteger a los clientes y controlar el fraude.

Múltiples inicios de sesión desde diferentes ubicaciones geográficas

Los intentos de inicio de sesión en una sola cuenta desde múltiples direcciones IP y ubicaciones geográficas podrían ser una señal de un evento de ATO. Los clientes tienden a usar una o dos ubicaciones familiares para iniciar sesión en una cuenta.

Múltiples inicios de sesión fallidos

Los repetidos fracasos al presentar las credenciales correctas en el inicio de sesión podrían indicar un ATO en curso. Sin embargo, esto es cada vez menos común a medida que los ciberdelincuentes cambian de ataques de fuerza bruta a campañas de phishing, ataques de SIM swapping y secuestro de sesiones más exitosos.

Múltiples cuentas a las que se accede desde el mismo dispositivo

Esta señal podría indicar que varios usuarios en el mismo hogar usan una computadora compartida. Sin embargo, también puede ser una señal de un ATO. Es probable que los ciberdelincuentes accedan a múltiples cuentas (a veces cientos o miles) desde el mismo dispositivo. Nuestra investigación reciente sobre redes de fraude reveló que sus operaciones rara vez se limitan a ataques únicos; rutinariamente adaptan tácticas y aprovechan el conocimiento interno para evitar la detección.

Cambios inesperados en la cuenta y patrones de comportamiento

Las personas tienden a formar hábitos en el uso de sus cuentas y patrones de compra. Si un cliente realiza cambios en sus datos personales, especialmente la dirección de correo electrónico, la dirección particular y el número de teléfono, junto con otros comportamientos inusuales como iniciar sesión desde un nuevo dispositivo, es probable que sea un indicador de un ataque de ATO.

Múltiples cuentas que contienen datos similares

Después de un ATO exitoso, los estafadores cambiarán información como números de móvil y direcciones de correo electrónico. Busca señales de que varias cuentas cambian detalles personales, como números de móvil y direcciones de correo electrónico, ya que esto podría indicar un ATO.

Múltiples señales de actividad inusual

Busca actividades inusuales, como iniciar sesión desde diferentes ubicaciones en un corto período de tiempo y usar un nuevo dispositivo.

Esto incluye cambios en el comportamiento típico del usuario, como un repentino alto volumen de transacciones, una compra inusualmente grande o cambios en las rutas de navegación típicas dentro de la aplicación. Estas anomalías pueden ser un indicador de que la cuenta está siendo controlada por un estafador que no está familiarizado con las rutinas del usuario legítimo.

Mejores prácticas para la prevención de ATO

Las siguientes mejores prácticas garantizan que las cuentas de tus clientes reciban el más alto nivel de seguridad.

Realizar una evaluación de riesgos

La evaluación de riesgos de posibles ataques de toma de control de cuenta (ATO) es una revisión formal que recopila inteligencia de todos los sistemas de TI y operadores humanos para identificar vulnerabilidades en las cuentas de los clientes.

El proceso de revisión debe cubrir todo el ciclo de vida de una cuenta de identidad, desde el registro inicial hasta los patrones de uso y el cierre de la cuenta. Cataloga todos los aspectos de la seguridad de la identidad, incluidas las personas, las aplicaciones, los dispositivos y los datos confidenciales. Incluye cuentas en etapa inicial o nuevas utilizadas por ciberdelincuentes para crear cuentas «placeholder» o «sleeper», listas para ser explotadas en el momento adecuado.

La evaluación también debe valorar el impacto de un ataque de ATO en las cuentas de los clientes. Por ejemplo, puede haber implicaciones financieras y de responsabilidad si se toman las cuentas de los clientes.

Los sistemas que no utilizan una verificación robusta durante el registro corren el riesgo de sufrir fraude de identidad en una etapa temprana. Puedes encontrar ayuda para estructurar tu evaluación de riesgos en el Marco de Ciberseguridad del Instituto Nacional de Estándares y Tecnología (NIST) y en la norma ISO 27001 de la Organización Internacional de Normalización (ISO).

Identificar la evaluación de la cuenta

Una evaluación del riesgo de ATO comienza catalogando todos los aspectos de la seguridad de la identidad, incluidas las personas, las aplicaciones, los dispositivos y los datos confidenciales. Las áreas del ciclo de vida de la cuenta y los tipos de cuenta que deben cubrirse incluyen cuentas en etapa inicial o nuevas utilizadas por ciberdelincuentes para crear cuentas «placeholder» o «sleeper», listas para ser explotadas en el momento adecuado. Los sistemas que no utilizan una verificación robusta durante el registro corren el riesgo de sufrir fraude de identidad en una etapa temprana.

La evaluación debe valorar el impacto de un ataque de ATO en las cuentas de los clientes. Por ejemplo, puede haber implicaciones financieras y de responsabilidad si se toman las cuentas de los clientes.

Usar datos de evaluación para establecer áreas de debilidad y fundamentar las políticas de seguridad

La inteligencia recopilada durante la etapa de evaluación de la cuenta de identidad fundamenta las medidas de seguridad de la identidad. La verificación de identidad es una medida para mitigar el riesgo.

Otras medidas de seguridad, como la autenticación robusta y la biometría del comportamiento, deben evaluarse para su inclusión en las políticas de seguridad. Desarrollar las prioridades para las medidas es el siguiente paso en el ejercicio de evaluación de riesgos de ATO.

Realizar un ejercicio de mapeo para identificar las medidas adecuadas

Determinar las medidas más apropiadas para mitigar el riesgo de ataques de toma de control de cuentas es esencial para optimizar tu enfoque de ciberseguridad ante el ATO. Una vez que hayas recopilado la inteligencia de tu análisis de amenazas, crea una tabla de evaluación de riesgos que muestre el riesgo, una descripción y el nivel. Usa esta tabla para generar una tabla de mitigación de riesgos y medidas.

Ejemplo de tabla de evaluación de riesgos

Riesgo/ID Descripción Nivel de riesgo
Registro de cuenta de cliente

001

Los ciberdelincuentes podrían crear cuentas «sleeper» que se pueden usar en una fecha posterior para cometer fraudes. Alto
Robo de credenciales: empleados

002

Los clientes pueden estar en riesgo de phishing. Alto
Potencial de SIM Swap

003

Los clientes pueden estar en riesgo de un ataque de SIM SWAP Medio

Ejemplo de tabla de mitigación de riesgos y medidas

Riesgo e impacto Medidas propuestas Notas sobre la implementación
ID:001

Fraude

ID AT001: Verificación de identidad durante el registro Usa las mejores prácticas para la verificación de identidad del cliente

[añadir enlace al otro artículo sobre verificación de identidad del cliente]

NIST SP800-63A

ID:002

Robo de credenciales

ID: ATO002: Asegurar que los clientes conozcan el fraude potencial de ATO

ID: AT003: Informe y respuesta a incidentes

Educa a los clientes usando varios canales

Asesoría del Centro Nacional de Ciberseguridad

Determinar las políticas de verificación de identidad

La verificación de identidad reduce el riesgo de ATO al establecer una cuenta de identidad asegurada desde el principio. Luego, se puede realizar una reverificación si se sospecha de un ATO o cuando se activan reglas, como una transacción que supera un cierto monto.

Según el Informe de Fraude de Identidad Veriff de 2026, el 4.18 % de todos los intentos de verificación fueron fraudulentos en 2025, lo que significa que uno de cada 25 intentos de verificación que encontramos en los últimos 12 meses fue de alguien que pretendía ser otra persona.

Los medios presentados digitalmente tuvieron un 300 % más de probabilidades de ser generados completamente por IA o alterados de alguna otra manera. El fraude por suplantación de identidad representó más del 85 % de todos los ataques de fraude que encontramos este año, lo que lo convierte, con diferencia, en el tipo más común de fraude en línea.

Veriff combina la IA con un sistema biométrico facial de alta resolución para identificar rápidamente a un individuo, al tiempo que reduce la probabilidad de videos transmitidos o pregrabados, imágenes sintéticas o manipuladas y deepfakes generados por IA.

Establecer políticas de verificación inicial

Un proceso de verificación de identidad (IDV) implica el uso de varios elementos para identificar de manera única y segura a ese individuo.

Por ejemplo, es posible que se le pida a la persona que proporcione documentos de identidad (p. ej., un pasaporte) durante el registro, que se capturen sus datos biométricos faciales y que se realicen verificaciones de nombre y dirección.

Las verificaciones de IDV deben estar alineadas con diversas regulaciones locales y globales, como KYC (Conoce a tu cliente) y PLD (prevención del lavado de dinero).

Desarrollar reglas y eventos que activen la reverificación

La reverificación llevará al usuario a través de un proceso para volver a verificar su identidad. Las reglas de reverificación se activan, por ejemplo, cuando ocurre una transacción de alto valor.

Si un estafador toma el control de una cuenta e intenta usarla para transacciones financieras, es probable que una verificación de reverificación obstaculice el intento.

Mapear políticas a regulaciones locales y globales

Mapear las políticas de verificación y reverificación con las regulaciones locales y globales es un ejercicio esencial. Al decidir sobre el tipo de verificación requerida, una empresa debe verificar que los requisitos cumplan con las exigencias regulatorias como PLD y KYC. Verificar a un individuo implica manejar datos personales y sensibles, por lo que la empresa debe equilibrar la necesidad de verificar con las regulaciones de privacidad como el RGPD. Regulaciones como el Reglamento PLD de la UE (AMLR/AMLA) requieren que las entidades realicen un monitoreo continuo y una reverificación basada en riesgos.

Definir políticas y medidas de verificación y autorización

Políticas sólidas de autenticación y autorización ayudan a reducir el riesgo de ATO. Las siguientes medidas probablemente formarán parte de los resultados de tu evaluación de riesgos:

Implementar un entorno de confianza cero

La confianza cero se basa en la segmentación de la red para contener brechas y en el monitoreo continuo para prevenirlas o detectar rápidamente posibles eventos de seguridad. La base de la confianza cero es una verificación robusta. En este caso, los clientes deben ser autenticados para las solicitudes de acceso y se les debe conceder solo los privilegios de acceso necesarios para realizar una tarea (el principio de mínimo privilegio o POLP). El monitoreo continuo es esencial.

Asegurarse de que la prueba de vida esté habilitada

La verificación de identidad en sí misma es un objetivo para los atacantes de ATO. Se ha demostrado que la biometría facial reduce significativamente la probabilidad de subversión de la verificación, pero el sistema debe admitir la prueba de vida. La prueba de vida de Veriff utiliza una mezcla de IA y un sistema biométrico facial de alta resolución para identificar rápidamente a un individuo mientras reduce la probabilidad de videos transmitidos o pregrabados, imágenes sintéticas o manipuladas y deepfakes generados por IA. Los clientes tienen una experiencia optimizada usando una selfie para completar la verificación.

Usar soluciones biométricas que incorporen tecnología anti-spoofing

Los ciberdelincuentes utilizan técnicas sofisticadas para suplantar los sistemas de verificación, incluidos emuladores y cámaras virtuales. Una defensa de múltiples capas debe analizar los datos faciales, del dispositivo, del sensor, de la marca de tiempo y del comportamiento para permitir una detección precisa de la suplantación de identidad.

Usar tecnologías de adaptación del comportamiento

La biometría facial debe usar múltiples señales antifraude para garantizar una coincidencia precisa. Veriff, además de usar la prueba de vida en tiempo real, captura señales de riesgo del comportamiento, del dispositivo y de la red para detectar actividades fraudulentas.

Aplicar autenticación basada en riesgos

Para transacciones de alto valor o muy sensibles, los clientes pueden ser llevados a través de un proceso de autenticación y verificación escalonada. La autenticación y verificación escalonada son impulsadas por puntos de activación que provocan medidas de seguridad adicionales, como la reverificación.

Implementar la autenticación sin contraseña

Las filtraciones masivas de datos que incluyen combinaciones comprometidas de nombre de usuario y contraseña, junto con las soluciones para eludir la MFA, están impulsando un futuro sin contraseñas. Un informe de la Alianza FIDO (Fast Identity Online), una asociación de la industria de la que Veriff es miembro, está detrás del mecanismo sin contraseña, las passkeys. El informe encontró que el 87 % de los responsables de la toma de decisiones están implementando passkeys en sus empresas. La biometría y las passkeys pueden eliminar las contraseñas y se pueden combinar aún más con la autenticación multifactor (MFA) para transacciones de alto valor o sensibles.

Usar soluciones biométricas que incorporen tecnología anti-spoofing

Los ciberdelincuentes utilizan técnicas sofisticadas para suplantar los sistemas de verificación, incluidos emuladores y cámaras virtuales. Una defensa de múltiples capas debe analizar los datos faciales, del dispositivo, del sensor, de la marca de tiempo y del comportamiento para permitir una detección precisa de la suplantación de identidad.

La biometría facial debe aprovechar múltiples señales antifraude para garantizar coincidencias precisas. El sistema también debe admitir la prueba de vida.

La prueba de vida de Veriff utiliza una mezcla de IA y un sistema biométrico facial de alta resolución para identificar rápidamente a un individuo mientras reduce la probabilidad de videos transmitidos o pregrabados, imágenes sintéticas o manipuladas y deepfakes generados por IA. Los clientes tienen una experiencia optimizada usando una selfie para completar la verificación. Se ha demostrado que reduce el ATO entre un 80 % y un 90 %, proporcionando los siguientes beneficios:

  • Menor riesgo de fraude: prueba de vida pasiva y detección de fraude mediante listas de bloqueo faciales y huellas dactilares de dispositivos.
  • Inicios de sesión más rápidos: tiempo de respuesta de menos de 1 segundo.
  • Experiencia fluida: sin necesidad de abandonar el recorrido del usuario para obtener OTP.
  • Seguridad mejorada: los datos biométricos son únicos, difíciles de suplantar y no se pueden compartir.
  • Reducción de errores humanos: no hay contraseñas que escribir o gestionar.

Implementar inteligencia de amenazas de ATO en tiempo real

Las nuevas amenazas, como los ataques asistidos por IA, cambian las métricas de respuesta. Un aspecto esencial de la mitigación de amenazas de ATO es el monitoreo continuo de amenazas. Identifica actividades inusuales centradas en acciones como:

  • Monitoreo de la actividad de la cuenta y perfilado de usuarios.
  • Actividad de acceso a la cuenta, como eventos de inicio de sesión inusuales (p. ej., desde una nueva ubicación), así como exfiltración de datos inusual.
  • Actividad de correo electrónico inusual, como el cambio de reglas de reenvío.
  • Análisis de las direcciones IP utilizadas durante el inicio de sesión de la cuenta.
  • Monitoreo de la seguridad del dispositivo para prevenir el SIM swapping.

Educar a los clientes sobre las tácticas y señales de ATO

Las amenazas de toma de control de cuentas a menudo utilizan la ingeniería social para iniciar el ataque. Los clientes corren el riesgo de sufrir ataques que contienen un elemento social, como el phishing. Para ayudar a prevenir los ataques de ATO, es importante educar a los clientes sobre cómo identificar posibles intentos de phishing y otras ciberamenazas. Las organizaciones pueden ofrecer educación a través de una campaña de publicaciones de blog que explique cómo los ciberdelincuentes utilizan la ingeniería social para acceder a las cuentas de los clientes. Otros canales, como los boletines por correo electrónico y las redes sociales, también pueden ayudar a los clientes a permanecer vigilantes ante los peligros de un ATO.

Documentar planes de respuesta a incidentes

El plan de respuesta es esencial para restaurar rápidamente las operaciones comerciales y mitigar el impacto de un incidente de ATO. El NIST proporciona una guía de mejores prácticas, basada en cuatro pasos:

  1. Preparación
  2. Detección y Análisis
  3. Contención, Erradicación y Recuperación
  4. Actividad Post-Incidente

Las mejores prácticas de cuatro pasos para crear un plan de respuesta se pueden aplicar a los ataques de ATO, por ejemplo:

  1. Preparación: Realiza una evaluación de riesgos para comprender las áreas de riesgo clave y las prioridades.
  2. Detección y Análisis: Implementa inteligencia de amenazas de ATO en tiempo real.
  3. Contención, Erradicación y Recuperación: Despliega medidas como la seguridad del correo electrónico y copias de seguridad seguras. La recuperación implicará procesos que cierren cualquier cuenta de identidad afectada.
  4. Actividad Post-Incidente: Implementa programas de capacitación en conciencia de seguridad para empleados, revisa tus opciones de verificación y autenticación, y audita y revisa tus respuestas a los ataques de ATO.

 Four stages of incident response for account takeover events (source)

 Cuatro etapas de respuesta a incidentes para eventos de toma de control de cuentas (fuente)

Dado que la preparación, la detección y el análisis, y la revisión post-incidente se cubren en otras partes de este artículo, la parte más relevante para enfocarse aquí es la contención, la erradicación y la recuperación. En un escenario de toma de control de cuenta, esto significa asegurar rápidamente las cuentas afectadas, terminar las sesiones sospechosas, bloquear el acceso no autorizado adicional, revertir los cambios fraudulentos cuando sea posible y restaurar el control al usuario legítimo. También puede implicar el restablecimiento de credenciales, la reverificación, la investigación de cuentas vinculadas y el monitoreo de intentos de fraude posteriores. Los conocimientos obtenidos durante esta etapa deben luego retroalimentar la preparación y mejora futuras.

Auditar y revisar la respuesta a los ataques de ATO

Importante para mantener una detección y prevención efectivas de los ataques de ATO.

  • Realizar auditorías de seguridad periódicas
  • Comprobar la veracidad de la autenticación
  • Validar la aplicación consistente de las políticas de autenticación y autorización
  • ¿Siguen siendo apropiadas las directrices actuales de respuesta a incidentes?
  • Simular escenarios de brecha y probar la capacidad de respuesta
Informe del Índice de Fraude de Veriff: ideas de 2,000 consumidores

Conclusión

El Centro de Quejas de Delitos en Internet del FBI (IC3) recibió aproximadamente 4,700 quejas públicas en 2025 sobre el ATO de consumidores, con ataques que resultaron en pérdidas de $359.7 millones. Los atacantes de ATO están utilizando técnicas y tácticas cada vez más sofisticadas para explotar las cuentas de los clientes. El inicio de sesión ya no es el principal campo de batalla a medida que las Passkeys, la vinculación de dispositivos y la MFA resistente al phishing cierran los puntos de entrada. Los datos de FIDO de 2026 muestran que el 75 % de los consumidores a nivel mundial han habilitado una passkey en al menos una cuenta, y casi la mitad las usa regularmente. Los atacantes lo saben, por lo que su energía ahora se está moviendo hacia los momentos que controlan la cuenta en lugar de los momentos que la abren: flujos de recuperación de cuenta, verificación escalonada en transacciones de alto valor, inscripción de nuevos dispositivos y autorización de pagos. Cualquier lugar donde una reverificación o un enlace mágico se interponga entre un atacante y un resultado, esa es la nueva superficie de ataque. Sin embargo, la era del credential stuffing no ha terminado, con atacantes operando antes de la contraseña y después del inicio de sesión.

Se debe implementar una combinación de soluciones para detectar y prevenir este ciberataque, el más insidioso y dañino de todos. Medidas como la verificación y la autenticación están a la vanguardia de la prevención de ataques de ATO. Sin embargo, las soluciones deben equilibrar la experiencia del cliente con la seguridad. La autenticación sin contraseña, la prueba de vida biométrica y la reverificación basada en riesgos ya no son extras opcionales; se están convirtiendo en requisitos fundamentales para una prevención eficaz de la toma de control de cuentas”

Navigate Chapters:

Suscríbete para recibir información

CTA form illustration