Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Entry № 011

Apropiacion de cuentas (ATO)

Revisado porCybersecurity entrepreneur & security researcher

¿Qué es Apropiacion de cuentas (ATO)?

Apropiacion de cuentas (ATO)Ataque en el que un delincuente obtiene el control no autorizado de una cuenta legitima y la usa para robar fondos, datos o cometer fraude adicional.


La apropiacion de cuentas ocurre cuando un atacante obtiene credenciales validas, tokens de sesion o canales de recuperacion de la cuenta de la victima y se autentica como ella. Las vias de entrada habituales incluyen phishing, malware info-stealer, credential stuffing con contrasenas filtradas, SIM swapping para interceptar codigos SMS, abuso de consentimientos OAuth y debilidades en los flujos de recuperacion de cuentas. Una vez dentro, los delincuentes exfiltran datos, vacian carteras, redirigen nominas, envian phishing desde direcciones de confianza o pivotan hacia otros sistemas.

El credential stuffing es la via mas industrializada. En la brecha de 23andMe de 2023, un atacante reprodujo pares de usuario/contrasena filtrados de sitios no relacionados contra la pagina de inicio de sesion durante aproximadamente cinco meses a partir de abril de 2023. Solo unas 14 000 cuentas se vulneraron directamente, pero, como 23andMe no exigia MFA y la funcion DNA Relatives exponia los perfiles conectados, el intruso extrajo datos geneticos y de ascendencia de aproximadamente 6,9 millones de personas. El caso muestra como la reutilizacion de contrasenas sumada a la ausencia de MFA convierte un punado de inicios de sesion comprometidos en una exposicion masiva de datos, y por que importa detectar intentos de inicio de sesion sostenidos y distribuidos.

Las mitigaciones incluyen MFA resistente al phishing (FIDO2/passkeys), vinculacion de dispositivo, analitica de inicios de sesion basada en anomalias, autenticacion reforzada para acciones de riesgo, deteccion de contrasenas filtradas (en linea con NIST SP 800-63B), limitacion de tasa y deteccion de bots en el inicio de sesion, y revocacion rapida de sesiones y tokens cuando se detecta abuso.

flowchart LR
  L[Credenciales filtradas /<br/>phishing / info-stealer] --> A[Atacante]
  A --> B{Intento de inicio de sesion}
  B -->|sin MFA| C[Cuenta comprometida]
  B -->|MFA resistente al phishing<br/>+ deteccion de anomalias| D[Bloqueado / refuerzo]
  C --> E[Robo de datos, fraude,<br/>extraccion de perfiles conectados]
  C --> F[Pivote lateral /<br/>enviar phishing desde cuenta de confianza]
  D -.->|puntuacion de riesgo| G[Revocacion de sesion y tokens]

Ejemplos

  1. 01

    Reutilizar credenciales filtradas de otro sitio para acceder a un portal bancario.

  2. 02

    La brecha de credential stuffing de 23andMe en 2023, que expuso datos de ~6,9 millones de usuarios.

Preguntas frecuentes

¿Qué es Apropiacion de cuentas (ATO)?

Ataque en el que un delincuente obtiene el control no autorizado de una cuenta legitima y la usa para robar fondos, datos o cometer fraude adicional. Pertenece a la categoría de Ataques y amenazas en ciberseguridad.

¿Qué significa Apropiacion de cuentas (ATO)?

Ataque en el que un delincuente obtiene el control no autorizado de una cuenta legitima y la usa para robar fondos, datos o cometer fraude adicional.

¿Cómo defenderse de Apropiacion de cuentas (ATO)?

Las defensas contra Apropiacion de cuentas (ATO) combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.

¿Cuáles son otros nombres para Apropiacion de cuentas (ATO)?

Nombres alternativos comunes: ATO, Compromiso de cuenta.

Términos relacionados

Véase también