Blog

Mejores prácticas para prevenir el fraude de apropiación de cuentas (eCommerce)

Los atacantes apuntan a cuentas de eCommerce a diario. Conoce las mejores prácticas, señales de fingerprinting y herramientas de prevención que usan las empresas de eCom para detener el ATO.

Apr 08, 2026 • 12 min read

Juan Combariza Growth Marketer

Mejores prácticas para que los comerciantes de eCommerce detengan el fraude ATO - cside - portada del blog

Resumen

Los atacantes apuntan a las cuentas de eCommerce para ATO porque los accesos exitosos son fáciles de monetizar. Las tarjetas de crédito guardadas, las direcciones y los puntos de fidelidad son muy lucrativos para los atacantes.
El fraude ATO es costoso. Los contracargos recaen sobre el comerciante (promedio de $576 por incidente) y el 42% de las víctimas de ATO cancelan su cuenta por completo. Empresas como The North Face han sufrido ataques que comprometieron a más de 200.000 usuarios.
Las mejores prácticas de prevención incluyen aplicar MFA basado en riesgo, reforzar los flujos de recuperación de cuentas (no solo el inicio de sesión), monitorear el credential stuffing con señales a nivel de dispositivo y construir un playbook de respuesta para tu equipo cuando ocurra un ataque.
La mayoría de los equipos de eCommerce utilizan una combinación de tres tipos de herramientas: MFA y verificación de identidad (Okta, Duo), fingerprinting de dispositivos y detección de bots (cside, DataDome), y suites antifraude (Sift, Signifyd).

Por qué las cuentas de eCommerce son objetivos atractivos para el ATO

Gráfico - Por qué las cuentas de eCommerce son objetivo en ataques ATO - cside

Muchos compradores tienen malos hábitos de contraseñas en sus cuentas de eCommerce. Si las usan para compras esporádicas o artículos de bajo precio, no piensan demasiado en la seguridad de la cuenta y reutilizan contraseñas en múltiples sitios. Al mismo tiempo, los equipos de eCommerce están bajo presión constante para priorizar las tasas de conversión por encima de medidas de seguridad sólidas.

Los ATO en cuentas de eCommerce son fáciles de monetizar:

Los atacantes obtienen acceso inmediato a métodos de pago guardados, direcciones, puntos de fidelidad y datos personales.

El alto volumen de inicios de sesión también juega a favor del atacante. La actividad fraudulenta es más difícil de detectar cuando se mezcla con miles de sesiones legítimas de clientes. Esto eleva el riesgo durante los picos estacionales como el Black Friday, las ventas flash o los días de lanzamiento de productos.

Qué es el fraude ATO (eCommerce)

El fraude de apropiación de cuentas ocurre cuando un atacante obtiene acceso a una cuenta real de un cliente y la utiliza para cometer fraude o abuso. En eCommerce, esto generalmente significa que un atacante accede a una cuenta de comprador existente mediante credential stuffing con contraseñas reutilizadas, phishing, o flujos débiles de restablecimiento y recuperación de contraseñas.

El fraude de apropiación de cuentas aumentó un 23% de 2024 a 2025, y se espera que siga creciendo rápidamente a medida que los ataques impulsados por agentes de IA sean capaces de evadir las medidas tradicionales de detección de bots con navegadores sigilosos.

Mejores prácticas para que las empresas de eCommerce detengan el fraude de apropiación de cuentas

1. Exigir una autenticación más sólida en los momentos adecuados (MFA)

Aplica MFA en cuentas de alto riesgo. Las cuentas con métodos de pago guardados, grandes saldos de fidelidad o acceso de administrador deben requerir autenticación multifactor.
Activa la verificación adicional ante inicios de sesión inusuales. Un cliente que inicia sesión desde un dispositivo nuevo, una IP desconocida o un país diferente debe ser solicitado para verificación adicional.
No apliques MFA de forma universal si perjudica la conversión. El MFA basado en riesgo (donde los desafíos solo aparecen cuando algo parece sospechoso) mantiene la fricción baja para los usuarios legítimos.

2. Proteger el restablecimiento de contraseñas y la recuperación de cuentas tanto como el inicio de sesión

Limita la tasa de solicitudes de restablecimiento. Una ráfaga de intentos de restablecimiento de contraseña dirigidos a múltiples cuentas es una señal de credential stuffing.
Verifica la identidad antes de permitir la recuperación. La recuperación solo por correo electrónico es débil si el atacante ya controla la bandeja de entrada. Añade verificación de dispositivo o métodos de contacto secundarios.

3. Vigilar las señales de ATO mediante detección basada en riesgo

Evalúa las señales del dispositivo y del navegador. El fingerprinting del dispositivo, la configuración del navegador y la resolución de pantalla crean una línea base para cada usuario. Las desviaciones de esa línea base pueden ser indicadores de compromiso.
Ten en cuenta las señales de red. El uso de VPN, la detección de proxies, la reputación de IP y las discrepancias de geolocalización añaden contexto para determinar si un inicio de sesión es legítimo.
Rastrea patrones de comportamiento. Una cuenta que inicia sesión e inmediatamente navega a la configuración de pago o cambia una dirección de envío se comporta de manera diferente a un cliente habitual que navega por productos.

4. Detectar el credential stuffing y el abuso automatizado de inicio de sesión de forma temprana

Los intentos repetidos de inicio de sesión, las pruebas automatizadas con bots y la automatización más sigilosa suelen ser parte de un intento de ATO. Esto se ha vuelto más difícil de detectar con el auge de los navegadores sigilosos (que crecen 11 veces en 2025 según un informe de cside) que evaden los CAPTCHAs y la detección tradicional de bots.

No te bases únicamente en la limitación de tasa por IP. Los proxies residenciales hacen que la reputación de IP sea prácticamente inútil como señal independiente.
Combina señales de detección. El fingerprinting TLS, las verificaciones de consistencia del dispositivo y los patrones de comportamiento del ratón y el teclado detectan sesiones automatizadas que superan las verificaciones superficiales de bots.

5. Crear playbooks de respuesta ante sospechas de ATO

Desafiar: Presentar autenticación adicional para dar al titular real de la cuenta una vía de regreso.
Notificar: Enviar una alerta al titular de la cuenta para que el cliente sepa que algo ocurrió, incluso si no está conectado.
Bloquear: Para cuentas de alto valor, restringir las acciones sensibles en la cuenta (cambios de pago, pedidos de alto valor, actualizaciones de dirección).
Investigar: Revisar qué cambió durante la sesión —nuevas direcciones, métodos de pago, pedidos realizados— para determinar si se produjo algún daño.

6. Revisar patrones históricos y ajustar umbrales según la temporada

Los períodos de mayor actividad comercial cambian fundamentalmente lo que se considera un comportamiento de inicio de sesión "normal". Los pasos útiles de ajuste incluyen:

Revisar el comportamiento de inicio de sesión estacional anterior
Ajustar las reglas antes de las campañas principales
Tener en cuenta los picos de tráfico normales
Reajustar después de cada período de alto volumen

7. Asegúrate de que tu propio sitio web no esté robando credenciales de usuarios

Las inyecciones de código son uno de los vectores de ATO más ignorados en el eCommerce. Los atacantes pueden inyectar scripts maliciosos directamente en tu sitio que redirigen a los usuarios a páginas de phishing o secuestran sesiones activas, eludiendo el MFA por completo.

Es la misma superficie de ataque que permite el web skimming. Los ataques al estilo Magecart por sí solos comprometieron más de 23 millones de transacciones en 2025.

Monitorea continuamente tus scripts de terceros y propios. Las etiquetas de terceros, los fragmentos de análisis y los píxeles publicitarios introducen código que no controlas. Cualquiera de ellos puede verse comprometido y convertirse en un punto de inyección.
Usa una plataforma de seguridad web como cside. Para automatizar el monitoreo de scripts de terceros, cside Client-side Security vigila los intentos de exfiltración de datos o las inyecciones de código en tu sitio web que buscan robar datos de tarjetas de crédito o credenciales de cuentas de clientes.

Mejores herramientas de prevención de apropiación de cuentas para empresas de eCommerce

Ninguna herramienta cubre todos los ángulos de la prevención de ATO. La mayoría de las empresas de eCommerce necesitan una combinación de soluciones en tres categorías.

MFA / verificación de identidad: Estas herramientas añaden una segunda capa de autenticación más allá de las contraseñas (como códigos de un solo uso enviados por correo electrónico o SMS). Algunos ejemplos son Okta Adaptive MFA y Auth0.
Fingerprinting / detección de bots: Las herramientas de fingerprinting y detección de bots analizan las señales técnicas y de comportamiento detrás de cada sesión (configuración del dispositivo, entorno del navegador, comportamiento del ratón, reputación de IP). Pueden detectar el credential stuffing y el abuso automatizado de forma temprana, pero principalmente sirven para recopilar señales brutas utilizadas por tus flujos de fraude para identificar ATO. Las opciones más sólidas para eCommerce son cside y DataDome.
Suites antifraude: Son plataformas todo en uno que puntúan el riesgo en el inicio de sesión, el pago y la actividad posterior a la transacción. Generalmente buscan gestionar el fraude en múltiples superficies en una sola solución. Sift y Signifyd son proveedores bien establecidos para eCommerce.

Ejemplos reales de ataques ATO en empresas de eCommerce

The North Face ha sufrido de manera notoria 4 ataques de credential stuffing entre 2020 y 2025 que han afectado a más de 200.000 de sus clientes. Aunque las credenciales robadas provenían de brechas de terceros no relacionadas (no de un compromiso dentro de los sistemas de The North Face), el gran ataque de 2020 los obligó a enviar un aviso público notificando a los clientes sobre las credenciales comprometidas, lo que causó daño a su imagen de marca.

Así es como se desarrollan muchos ataques ATO: Un cliente reutiliza una contraseña de otro sitio, un atacante obtiene ese par de credenciales de un volcado de brechas que compra en la dark web y luego ejecuta intentos de inicio de sesión automatizados en tu sitio cuando el tráfico es bajo. A las 3 de la madrugada, uno de los inicios de sesión tiene éxito. Para la mañana, la dirección de envío ha sido cambiada, se ha realizado un pedido de $400 con la tarjeta guardada y el cliente real recibe un correo de confirmación de algo que nunca compró.

Por qué la apropiación de cuentas importa para el eCommerce

El ATO no es solo un problema de seguridad. Los ataques exitosos impactan los ingresos, las operaciones y la retención de clientes al mismo tiempo:

Pérdidas por fraude: Los atacantes vacían los métodos de pago almacenados, los puntos de fidelidad, los saldos de tarjetas de regalo y realizan pedidos fraudulentos.
Contracargos y disputas de reembolso. Cuando se realizan pedidos fraudulentos a través de una cuenta legítima, el comerciante asume los cargos por contracargo. Disputarlos es prácticamente imposible ya que se trata de fraude genuino. Los contracargos por ATO cuestan un 76% más que los contracargos regulares, con un promedio de $576 por incidente.
Daño a la confianza del cliente. "Me hackearon la cuenta" es algo que la gente no olvida. El 42% de las víctimas de ATO cancelan su cuenta en la plataforma donde ocurrió.
Costos de soporte y operaciones. El ATO genera un aumento en los restablecimientos de contraseñas, los tickets de recuperación de cuentas y las revisiones manuales de pedidos.
Cumplimiento y gobernanza de seguridad. Una postura sólida de seguridad de cuentas es importante durante auditorías, evaluaciones de proveedores y revisiones de controles internos.
Implicaciones para el seguro cibernético. Las aseguradoras evalúan cada vez más la adopción de MFA, los controles de acceso y las medidas de prevención de fraude durante la suscripción.

El papel del fingerprinting en la detección de apropiación de cuentas

Las contraseñas pueden ser robadas. El MFA puede ser eludido. El fingerprinting del navegador añade una capa de detección que recopila señales del dispositivo, el navegador y la sesión que ayudan a los equipos de fraude a identificar y reducir las apropiaciones de cuentas.

Recopila señales que indican ATO: El fingerprint del navegador, los identificadores de hardware, las propiedades de pantalla y los metadatos de red forman un perfil único para cada visitante. Cuando partes de ese perfil parecen anómalas (una zona horaria que no coincide, una resolución de pantalla extraña), puede indicar un intento de ATO. Los equipos pueden construir reglas personalizadas en torno a estas señales o usar combinaciones de riesgo predefinidas para marcar automáticamente las sesiones de alto riesgo.
Detecta intentos de ATO automatizados de forma temprana: Un dispositivo que prueba cientos de combinaciones de usuario y contraseña. Un navegador que dice ser Chrome en macOS pero que se ejecuta en un entorno Linux sin cabeza. Solicitudes de inicio de sesión que llegan a velocidad inhumana desde proxies residenciales rotativos. El fingerprinting detecta las firmas de los bots de credential stuffing y los ataques automatizados que se escapan de los CAPTCHAs y los limitadores de tasa.

Por qué cside es la mejor opción de fingerprinting para empresas de eCommerce

Imagen del panel de actividad de sesiones de fingerprinting de cside

cside combina el fingerprinting del navegador con una monitorización profunda de la integridad de JavaScript para proteger los flujos sensibles en tu sitio web de eCommerce.

Detección de bots de IA maliciosos: cside detecta navegadores sin cabeza y la nueva generación de agentes impulsados por IA que eluden las defensas tradicionales contra bots para llevar a cabo credential stuffing y otros abusos automatizados.
Protege las páginas que los atacantes más atacan: Más allá de la prevención de ATO, cside protege los formularios de inicio de sesión, las páginas de pago y los flujos de transacción contra el web skimming, la exfiltración de datos y el secuestro de sesiones. Es una solución líder para los requisitos de monitoreo de scripts de PCI DSS 4.0.1.
Monitoreo de scripts de terceros: cside vigila cada script servido a los usuarios (incluidas las etiquetas de terceros, los fragmentos de análisis y los píxeles publicitarios) para identificar cuándo alguno de ellos comienza a robar datos de tarjetas de crédito o credenciales de cuentas de clientes.
Integración orientada al desarrollador: Señales brutas de fingerprinting disponibles a través de API para equipos que quieran construir reglas de fraude personalizadas, además de agrupaciones de señales curadas listas para usar desde el primer momento.

Para comenzar, regístrate o reserva una demo.

Growth Marketer Juan Combariza

Researching & writing about client side security.

Don't just take our word for it, ask AI

FAQ

Frequently Asked Questions

La mayoría de los comerciantes de eCommerce confían en un stack por capas. Esto generalmente incluye proveedores de MFA como Okta o Duo para la autenticación de inicio de sesión, herramientas de fingerprinting de dispositivos y detección de bots como cside o DataDome para detectar abusos automatizados y sesiones sospechosas, y suites antifraude como Sift o Signifyd para la puntuación de riesgo a nivel de transacción.

Comienza con MFA basado en riesgo en todas las cuentas. Refuerza los flujos de recuperación de contraseñas y restablecimiento de cuentas, no solo las páginas de inicio de sesión, ya que los atacantes suelen apuntar al flujo más débil. Luego monitorea el credential stuffing usando fingerprinting de dispositivos y señales de comportamiento, construye un playbook de respuesta claro (bloquear, desafiar, notificar, investigar) y ajusta los umbrales antes de los períodos pico como el Black Friday.

Las señales de mayor confianza tienden a ser a nivel de dispositivo: un inicio de sesión desde un fingerprint de dispositivo no reconocido, un entorno de navegador que no coincide con el user agent declarado, o el mismo dispositivo intentando acceder a múltiples cuentas no relacionadas en un corto período de tiempo. Las señales de red, como cambios repentinos de geolocalización, uso de VPN o proxy y cambios en la reputación de IP, añaden contexto. Las señales de comportamiento también importan; por ejemplo, cuando una cuenta inicia sesión e inmediatamente cambia la dirección de envío o el método de pago.

Sí. cside ofrece una API de fingerprinting diseñada para entornos de eCommerce que devuelve señales brutas de dispositivo, navegador y red que puedes incorporar a tu propia lógica de puntuación de fraude. También proporciona agrupaciones de señales de alto riesgo predefinidas para marcar rápidamente sesiones sospechosas, y se extiende hacia la visibilidad de amenazas del lado del cliente, como inyección de scripts y secuestro de sesiones.

En 2020, The North Face reveló un ataque de credential stuffing en el que los atacantes reutilizaron credenciales de brechas de terceros no relacionadas para acceder a cuentas de clientes. Entre 2020 y 2025, más de 200.000 clientes de North Face se vieron afectados en cuatro incidentes separados de credential stuffing.

Las cuentas de eCommerce son muy fáciles de monetizar porque suelen contener tarjetas de crédito guardadas, direcciones de envío, puntos de fidelidad y saldos de tarjetas de regalo. Los atacantes pueden extraer valor en cuestión de minutos. Al mismo tiempo, muchas plataformas utilizan configuraciones de autenticación más débiles por defecto, ya que la optimización de la conversión suele pesar más que las consideraciones de seguridad.

Monitorea y Asegura tus Scripts de Terceros

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Reservar una demo

Comenzar gratis

Comienza gratis, o prueba Business con una prueba de 14 días.

Interfaz del panel de cside mostrando monitoreo de scripts y análisis de seguridad

Cómo detener a los agentes de IA que crean cuentas falsas (Guía)

Los agentes de IA crean cuentas falsas con navegadores reales, IPs residenciales e identidades generadas. Así es la pila de señales para detenerlos.

Cómo bloquear bots de scraping de contenido basados en agentes de IA (Guía)

Los bots de scraping con IA usan navegadores reales, IPs residenciales y LLMs para extraer tus precios y contenido. Aprende a detenerlos.

Banner oscuro de cside que muestra un ataque de cadena de suministro tipo gusano en npm

El efecto bola de nieve: cómo Mini Shai-Hulud convierte npm en una red de distribución de gusanos

Mini Shai-Hulud convirtió paquetes npm en un bucle de robo de credenciales. Así se propagó la ola de AntV y qué deben vigilar los equipos.

Por qué los CAPTCHAs ya no son una defensa fiable contra bots

Los CAPTCHAs ya no son una defensa principal fiable contra bots. Aprende por qué fallan y cómo elevar el coste del atacante.

Banner ilustrado del blog sobre sanciones a Funnull, blanqueo de infraestructura y riesgo de cadena de suministro en el navegador

Funnull sancionada: lo que Polyfill[.]io reveló sobre el blanqueo de infraestructura

Las sanciones de OFAC contra Funnull muestran que Polyfill fue parte de un riesgo mayor de blanqueo de infraestructura.

Ilustración del stack de seguridad con inferencia en el dispositivo

La inferencia en el dispositivo llega a tu stack de seguridad: para bien y para mal

La IA local puede proteger datos sensibles y mejorar la defensa endpoint, pero crea nuevos riesgos de prompt injection, telemetría y navegador.

Portada oscura de cside con puntos sobre herramientas de detección de agentes de IA

4 herramientas para detectar agentes de IA en tu sitio web (prevención de fraude)

Comparación de cside, HUMAN Security, DataDome y Cloudflare para detección de agentes de IA. Descubre cómo cada herramienta aborda la prevención de fraude, precios e implementación.

Portada oscura de cside con puntos sobre bloquear bots de prueba de tarjetas con IA

Bots de prueba de tarjetas basados en agentes de IA | Cómo detenerlos

Los agentes de prueba de tarjetas con IA usan navegadores reales para validar credenciales robadas a escala. Aprenda a detectarlos y bloquearlos antes de que se complete el pago.

Portada oscura de cside con puntos sobre usos y bloqueo de navegadores stealth

Qué son los navegadores stealth (o 'anti-detect') y cuándo bloquearlos

Los navegadores stealth evaden la detección de bots. Los navegadores anti-detect falsifican huellas digitales. Aprende las señales que revelan ambos, incluso cuando parecen humanos.

Insignia SourceForge Spring 2026 Top Performer junto a un gráfico de dashboard de cside

cside nombrado SourceForge Spring 2026 Top Performer en seguridad del lado del cliente

cside fue nombrado SourceForge Spring 2026 Top Performer, señal de confianza de usuarios en seguridad del lado del cliente y PCI.