Apropiacion de cuentas (ATO)
¿Qué es Apropiacion de cuentas (ATO)?
Apropiacion de cuentas (ATO)Ataque en el que un delincuente obtiene el control no autorizado de una cuenta legitima y la usa para robar fondos, datos o cometer fraude adicional.
La apropiacion de cuentas ocurre cuando un atacante obtiene credenciales validas, tokens de sesion o canales de recuperacion de la cuenta de la victima y se autentica como ella. Las vias de entrada habituales incluyen phishing, malware info-stealer, credential stuffing con contrasenas filtradas, SIM swapping para interceptar codigos SMS, abuso de consentimientos OAuth y debilidades en los flujos de recuperacion de cuentas. Una vez dentro, los delincuentes exfiltran datos, vacian carteras, redirigen nominas, envian phishing desde direcciones de confianza o pivotan hacia otros sistemas.
El credential stuffing es la via mas industrializada. En la brecha de 23andMe de 2023, un atacante reprodujo pares de usuario/contrasena filtrados de sitios no relacionados contra la pagina de inicio de sesion durante aproximadamente cinco meses a partir de abril de 2023. Solo unas 14 000 cuentas se vulneraron directamente, pero, como 23andMe no exigia MFA y la funcion DNA Relatives exponia los perfiles conectados, el intruso extrajo datos geneticos y de ascendencia de aproximadamente 6,9 millones de personas. El caso muestra como la reutilizacion de contrasenas sumada a la ausencia de MFA convierte un punado de inicios de sesion comprometidos en una exposicion masiva de datos, y por que importa detectar intentos de inicio de sesion sostenidos y distribuidos.
Las mitigaciones incluyen MFA resistente al phishing (FIDO2/passkeys), vinculacion de dispositivo, analitica de inicios de sesion basada en anomalias, autenticacion reforzada para acciones de riesgo, deteccion de contrasenas filtradas (en linea con NIST SP 800-63B), limitacion de tasa y deteccion de bots en el inicio de sesion, y revocacion rapida de sesiones y tokens cuando se detecta abuso.
flowchart LR
L[Credenciales filtradas /<br/>phishing / info-stealer] --> A[Atacante]
A --> B{Intento de inicio de sesion}
B -->|sin MFA| C[Cuenta comprometida]
B -->|MFA resistente al phishing<br/>+ deteccion de anomalias| D[Bloqueado / refuerzo]
C --> E[Robo de datos, fraude,<br/>extraccion de perfiles conectados]
C --> F[Pivote lateral /<br/>enviar phishing desde cuenta de confianza]
D -.->|puntuacion de riesgo| G[Revocacion de sesion y tokens]● Ejemplos
- 01
Reutilizar credenciales filtradas de otro sitio para acceder a un portal bancario.
- 02
La brecha de credential stuffing de 23andMe en 2023, que expuso datos de ~6,9 millones de usuarios.
● Preguntas frecuentes
¿Qué es Apropiacion de cuentas (ATO)?
Ataque en el que un delincuente obtiene el control no autorizado de una cuenta legitima y la usa para robar fondos, datos o cometer fraude adicional. Pertenece a la categoría de Ataques y amenazas en ciberseguridad.
¿Qué significa Apropiacion de cuentas (ATO)?
Ataque en el que un delincuente obtiene el control no autorizado de una cuenta legitima y la usa para robar fondos, datos o cometer fraude adicional.
¿Cómo defenderse de Apropiacion de cuentas (ATO)?
Las defensas contra Apropiacion de cuentas (ATO) combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Apropiacion de cuentas (ATO)?
Nombres alternativos comunes: ATO, Compromiso de cuenta.