Introducción
A medida que la prevalencia del comercio digital sigue aumentando, los ciberdelincuentes buscan sin descanso formas innovadoras de explotar las vulnerabilidades que persisten en los sistemas en línea. Dos formas particularmente frecuentes de fraude relacionadas con las cuentas en línea son la creación de cuentas falsas o el fraude de nuevas cuentas y la apropiación de cuentas. Estas actividades fraudulentas no solo son perjudiciales desde el punto de vista financiero para las personas y las empresas, sino que también representan una amenaza importante para la confiabilidad de las plataformas en línea y pueden dañar la reputación.
Fraude de cuentas falsas y cuentas nuevas
Las cuentas falsas son perfiles en línea creados con fines malintencionados, a menudo con la intención de aprovechar las promociones o descuentos que las empresas ofrecen a los nuevos clientes. Los estafadores crean varias cuentas para aprovechar estas ofertas de forma reiterada y, a menudo, utilizan direcciones de correo electrónico temporales o desechables, los mismos dispositivos, números de teléfono móviles virtuales e incluso identidades sintéticas. Esta práctica se conoce como «fraude con cupones» y supone una pérdida de ingresos para las empresas.
Otra razón para la creación de cuentas falsas es llevar a cabo un fraude con contracargos. En este tipo de fraude, el defraudador impugna una transacción legítima y recibe un reembolso de la empresa. Esto puede resultar en pérdidas financieras significativas para las empresas, especialmente para las más pequeñas. Además del fraude con cupones y contracargos, las cuentas falsas también se pueden utilizar para otros tipos de actividades fraudulentas, como la apropiación de cuentas o los ataques de ingeniería social. Estos ataques implican obtener acceso a la cuenta de un usuario legítimo y utilizarla para llevar a cabo actividades fraudulentas.
Las cuentas falsas y los bots también son lo que la industria denomina tráfico no válido. Según un estudio de CHEQ, el tráfico no válido representa hasta el 40% del tráfico web. La prevalencia del tráfico no válido tiene un impacto significativo en casi todos los embudos, campañas y operaciones de marketing, lo que a menudo tiene efectos perjudiciales.
En 2021, las pérdidas debidas a cuentas falsas o al fraude de cuentas nuevas (NAF) aumentaron drásticamente, hasta alcanzar un total de 6.700 millones de dólares. La investigación de Javelin reveló un aumento significativo del 109% en las pérdidas de NAF entre 2020 y 2021. El fraude con cuentas falsas es, sin lugar a dudas, una preocupación creciente y se espera que siga aumentando en los próximos años.
Toma de control de cuenta
La apropiación de cuentas, o ATO, se produce cuando un delincuente obtiene acceso no autorizado a una cuenta de usuario genuina, incluidas las redes sociales, el comercio electrónico, el correo electrónico o la banca en línea. Los atacantes suelen utilizar información robada, fuerza bruta o tácticas de ingeniería social para obtener datos confidenciales, lo que dificulta la detección de este tipo de fraude. Según el índice de confianza y seguridad digitales del tercer trimestre de 2021 de Sift, los ataques contra las armas atómicas aumentaron un 307% entre 2019 y 2021, mientras que las fuentes informaron que el 22 por ciento de los adultos estadounidenses han sido víctimas de robos de cuentas, lo que equivale a más de 24 millones de hogares (Security.org).
Los atacantes utilizan una variedad de métodos para cometer el fraude de la ATO, incluidos los ataques de ingeniería social, suplantación de identidad y malware. La ingeniería social consiste en engañar a la víctima para que divulgue información confidencial, como las credenciales de inicio de sesión o los números de identificación personal (PIN), mediante métodos como llamadas telefónicas, correos electrónicos o mensajes de texto. La suplantación de identidad implica enviar a la víctima un correo electrónico o mensaje de texto fraudulento diseñado para que parezca una comunicación legítima de una fuente confiable, como un banco o una plataforma de redes sociales. Cuando la víctima hace clic en el enlace del mensaje, es redirigida a un sitio web falso que parece real, pero que en realidad es una estratagema para robar sus credenciales de inicio de sesión. Los ataques de malware implican infectar el dispositivo de la víctima con software malintencionado que puede robar las credenciales de inicio de sesión u otros datos confidenciales.
Las consecuencias del fraude de la ATO pueden ser graves, tanto desde el punto de vista financiero como emocional. Solo en 2021, las pérdidas de la ATO aumentaron un 90%, hasta alcanzar la asombrosa cantidad de 11.400 millones de dólares (estudio sobre fraude de identidad de Javelin de 2022). El fraude de la ATO es una amenaza importante que requiere la vigilancia y la acción tanto de las empresas como de los particulares. Al implementar medidas de seguridad sólidas y mantenerse alertas ante las señales de fraude, las empresas pueden protegerse a sí mismas y a sus clientes de las devastadoras consecuencias del fraude de la ATO. Los consumidores también deben asumir la responsabilidad de su seguridad en línea y tomar medidas proactivas para protegerse de esta amenaza generalizada.
Estrategias de mitigación
Además de implementar un sofisticado sistema de verificación y autenticación de identidad, las empresas deben adoptar una serie de estrategias para combatir la creación de cuentas falsas y la apropiación de cuentas. Una de estas estrategias es implementar una solución de detección de fraudes con aprendizaje automático en tiempo real que pueda analizar los datos de los clientes y detectar patrones de comportamiento que sean indicativos de actividad fraudulenta. El aprendizaje automático puede identificar patrones inusuales en la creación de cuentas, como el uso de una estructura de direcciones de correo electrónico similar, el uso de direcciones de correo electrónico desechables o el elevado número de creaciones de cuentas a partir de una sola dirección IP, la creación de varias cuentas desde el mismo dispositivo, etc. Las soluciones avanzadas de detección de fraudes también podrían identificar los riesgos al iniciar sesión en la cuenta basándose en el análisis de patrones inusuales y datos de usuario, dispositivo y comportamiento para detectar los intentos de apropiación de cuentas.
Otro aspecto sería implementar una tecnología sólida de huella digital del dispositivo y riesgo del dispositivo que sea capaz de generar una ID de dispositivo única y estable, así como de identificar los riesgos potenciales asociados con el dispositivo del usuario final. Un identificador de dispositivo distintivo permite a las empresas rastrear y correlacionar dispositivos únicos con las cuentas de usuario, la dirección IP, la dirección de correo electrónico o el número de teléfono móvil, lo que genera señales sospechosas cuando se intenta crear varias cuentas desde un solo dispositivo o se encuentra un dispositivo vinculado a varias direcciones IP en un breve período de tiempo, cuando se intenta iniciar sesión en varias cuentas desde el mismo dispositivo y más. El análisis del riesgo de los dispositivos, por otro lado, ayudaría a detectar herramientas fraudulentas, como bots y scripts automatizados, que normalmente se utilizan para la creación masiva de cuentas falsas o software malintencionado que se utiliza para robar credenciales, manipular dispositivos, cambiar la ubicación del GPS, etc.
La combinación del aprendizaje automático y la tecnología de huellas dactilares de los dispositivos puede ayudar a las empresas a identificar y prevenir rápidamente las actividades fraudulentas y, en última instancia, proteger a los usuarios y mantener la integridad de la plataforma.
Conclusiones
Para prevenir y mitigar los riesgos de este tipo de actividades fraudulentas, es esencial que las personas y las empresas adopten medidas proactivas. Una de esas medidas es el uso de técnicas de autenticación sólidas, como la autenticación multifactorial y biométrica, que pueden impedir el acceso no autorizado a las cuentas. Del mismo modo, las herramientas de detección del fraude, como los algoritmos de aprendizaje automático y la toma de huellas dactilares de los dispositivos, pueden ayudar a identificar actividades sospechosas y a frustrar las transacciones fraudulentas.
Estar atento a las actividades dudosas, como los intentos de inicio de sesión inesperados o el comportamiento inusual de la cuenta, también es esencial para prevenir este tipo de fraude. Otras medidas recomendadas son revisar periódicamente la actividad de la cuenta y denunciar oportunamente cualquier actividad sospechosa a las autoridades pertinentes o a los administradores de la plataforma.
En conclusión, protegerse contra los riesgos de las cuentas falsas y la apropiación de cuentas requiere un enfoque integral que integre técnicas de autenticación sólidas, herramientas de detección de fraudes y una vigilancia continua de las actividades sospechosas. Al adoptar estas medidas proactivas, podemos crear un entorno en línea más seguro y protegido para todos.
Las implicaciones de las cuentas falsas y el fraude por apropiación de cuentas son de gran alcance y pueden tener consecuencias importantes tanto para las empresas como para las personas. En el caso de las empresas, este tipo de fraude puede provocar pérdidas financieras, dañar la reputación y erosionar la confianza de los clientes. Por otro lado, las personas pueden sufrir pérdidas financieras y el robo de identidad.
Referencias
MASTICAR (2022). El impacto del tráfico no válido en el marketing
Jabalina (2022). Las pérdidas por fraude de identidad suman un total de 52 000 millones de dólares en 2021 y afectan a 42 millones de adultos estadounidenses
Tamizar (2021). TERCER TRIMESTRE DE 2021 Índice de confianza y seguridad digitales: Luchando contra la nueva generación de fraude por apropiación de cuentas
Security.org (2021). Informe anual de 2021 sobre la apropiación de cuentas: prevalencia, conciencia y prevención
.jpeg)
