TL;DR
- El MFA es el primer paso más eficaz contra el ATO. Pero no cubre el secuestro de sesión, los proxies de phishing AiTM ni la apropiación posterior a la autenticación. Es una base, no una defensa completa.
- Busca señales que apunten a una apropiación de cuenta exitosa. Ejemplos comunes incluyen viajes imposibles, acceso a múltiples cuentas desde un mismo navegador, cambios sospechosos en el dispositivo y uso de VPN/proxy maliciosos conocidos.
- Para ir un paso más allá, busca indicios de intentos de apropiación antes de que tengan éxito. Secuestro de sesión, credential stuffing, inyecciones de código en tu sitio que redirigen a los usuarios a páginas de inicio de sesión falsas, o automatizaciones de bots que prueban combinaciones de correo electrónico y contraseña.
- La mayoría de los equipos utilizan una combinación de herramientas de proveedores para cubrir toda la superficie de ataque ATO. Estas incluyen capas de señales de fingerprinting (como cside o Castle), herramientas de mitigación de bots (como HUMAN o DataDome), plataformas antifraude (como SEON o Sardine) y proveedores de MFA (Okta).
Qué es el fraude ATO
El fraude por apropiación de cuentas, o fraude ATO, ocurre cuando un actor malicioso obtiene acceso no autorizado a la cuenta real de un usuario. Una vez dentro, el actor malicioso realiza acciones dañinas como compras, cambios en los datos de la cuenta, vaciado de puntos de fidelidad o venta de información sensible en la dark web.
Por qué importa el fraude ATO:
El 60% de los comerciantes encuestados por el Merchant Risk Council experimentaron fraude por apropiación de cuentas en 2025. Payments Journal informa que el fraude ATO le costó a los consumidores 15.600 millones de dólares en 2024. Aunque esa cifra millonaria no la absorbieron directamente las organizaciones, la consultora Javelin encontró que el 42% de las víctimas de ATO optan por cerrar su cuenta en la plataforma donde ocurrió la apropiación.
Guía de 4 pasos para prevenir el fraude por apropiación de cuentas (como empresa)
1. MFA (Autenticación Multifactor)
| Tipo de MFA | Seguridad (1–5) | Notas |
|---|---|---|
| OTP por SMS o correo electrónico | 2/5 | Vulnerable a SIM swapping, compromiso de la cuenta de correo y phishing. |
| Notificación push | 3/5 | Vulnerable a la fatiga de MFA, aprobación accidental y phishing. |
| Aplicación de autenticación | 3/5 | Vulnerable a phishing en tiempo real / AiTM. Buen equilibrio entre seguridad y experiencia de usuario. |
| Passkeys (Biometría o PIN desbloqueado a nivel de dispositivo) |
5/5 | Resistente al phishing. |
| Llaves de seguridad de hardware (Dispositivos físicos que se conectan para verificar el inicio de sesión) |
5/5 | Resistente al phishing; la opción más sólida para usuarios de alto riesgo. |
La autenticación multifactor es uno de los primeros controles que cualquier empresa implementa para reducir el fraude por apropiación de cuentas. Este mecanismo añade un segundo paso de verificación además de la contraseña. La verificación secundaria mediante un código enviado al correo electrónico, número de teléfono o aplicación de autenticación del usuario son ejemplos comunes.
OWASP señala el MFA como una de las mejores defensas contra los ataques basados en contraseñas. Es eficaz contra intentos básicos de apropiación como el password spraying y los inicios de sesión con contraseñas reutilizadas. Incluso si un atacante obtiene la contraseña, tiene otra barrera que superar antes de acceder a la cuenta.
Cómo los atacantes evaden el MFA:
El MFA no es una solución infalible. Los atacantes son cada vez más hábiles para vulnerar cuentas protegidas con MFA mediante:
- Phishing avanzado
- SIM swapping
- Ataques de intermediario (secuestro de sesión)
Por eso, asegúrate de que los flujos de inicio de sesión de alto valor estén protegidos por métodos de MFA con mayor nivel de seguridad.
2. Detectar señales de inicios de sesión fraudulentos por ATO
Los equipos de fraude detectan el ATO cuando algo en el inicio de sesión, el dispositivo o la sesión no cuadra. Los programas maduros combinan distintas señales con puntuación de riesgo en lugar de depender de una sola regla. Las señales de riesgo que usamos en cside, por ejemplo, analizan:
- Viaje imposible: La misma cuenta parece iniciar sesión desde dos ubicaciones que no son alcanzables de forma realista en el tiempo transcurrido entre sesiones.
- Acceso a múltiples cuentas: Un navegador, dispositivo o sesión accede a un número inusual de cuentas, lo que puede indicar automatización mediante scripts.
- Cambios en el fingerprint: Un inicio de sesión proviene de un dispositivo, navegador o patrón que no coincide con el comportamiento habitual del usuario.
- VPN, proxy o IP maliciosa: La sesión llega a través de un proxy, VPN o IP ya asociada con actividad de riesgo. Por ejemplo, Astrill VPN es conocida por ser utilizada frecuentemente por actores maliciosos.
- Ráfagas de inicio de sesión: Se detecta que un dispositivo/navegador intentó iniciar sesión varias veces antes de conseguir acceso.
Estas señales de riesgo relacionadas con el inicio de sesión pueden combinarse con datos de acciones en la cuenta. Ejemplos de combinaciones de alto riesgo incluyen un inicio de sesión desde un dispositivo nuevo por primera vez seguido de una solicitud de restablecimiento de contraseña, o una ráfaga de 20 intentos fallidos seguida de un inicio de sesión exitoso desde un país diferente.
Cómo los equipos acceden a las señales de apropiación de cuentas:
- Desarrollo interno: Recopila registros de autenticación, datos de sesión, contexto del dispositivo y eventos de cambio de cuenta directamente desde tu producto, y crea reglas internas para marcar patrones sospechosos.
- Proveedor de fingerprinting: Añade un proveedor especializado en señales de riesgo a nivel de navegador y dispositivo. Integra esas señales en tus flujos antifraude más amplios.
- Proveedor antifraude completo: Adquiere una plataforma que ya incluya recopilación de señales, lógica de detección y controles de respuesta en una sola oferta.
3. Detectar indicios de intentos de ATO de forma temprana
Muchas herramientas antifraude se centran principalmente en señales del lado del servidor sin analizar realmente lo que ocurre en el navegador. Se están perdiendo la mitad del panorama. Los mejores equipos de fraude buscan la preparación antes del daño: pruebas de inicio de sesión, scripts de terceros comprometidos y señales de automatización maliciosa que indican que alguien está buscando una vía de acceso a la cuenta.
Un buen programa de ATO no solo busca fraude después de que una cuenta ya ha sido comprometida. También busca señales de que un atacante está intentando encontrar una vía para vulnerarla.
- Credential stuffing o pruebas de inicio de sesión: Ráfagas de intentos repetidos de inicio de sesión, prueba de muchas combinaciones de usuario y contraseña, o actividad de inicio de sesión en gran volumen en múltiples cuentas pueden indicar que un atacante está intentando encontrar un conjunto de credenciales robadas que funcione.
- Actividad maliciosa de bots o agentes de IA: Scripts automatizados o agentes de IA que prueban sistemáticamente credenciales robadas en tus páginas de inicio de sesión, a menudo usando navegadores sigilosos y rotando fingerprints para eludir los límites de velocidad y la detección de bots.
- Ataques de intermediario o de interceptación: Algunos atacantes capturan credenciales o datos de sesión en tránsito insertándose en el proceso de inicio de sesión. Esto puede ocurrir mediante phishing, páginas de inicio de sesión falsas u otras técnicas de adversario en el medio diseñadas para robar el acceso antes de que el usuario real se dé cuenta.
- Secuestro de sesión: Cuando un atacante toma el control de una sesión válida con inicio de sesión activo reproduciendo un token de sesión o una cookie. Esto le permite acceder a la cuenta sin introducir la contraseña ni repetir el paso de MFA. Puede manifestarse como una sesión autenticada que aparece sin la continuidad de dispositivo esperada, el paso de MFA o el comportamiento habitual del usuario.
Visibilidad en tiempo de ejecución del navegador para prevenir el fraude ATO
Los usuarios fraudulentos, los usuarios legítimos y los bots interactúan con tu sitio web a través de un navegador. El navegador es tanto un canal de entrega de código malicioso a tus usuarios como una fuente de pistas que indican actividad maliciosa.
- El navegador como punto de partida del ATO: Algunos intentos de ATO comienzan con código inyectado en el navegador del usuario a través de scripts de terceros y propios comprometidos. El código inyectado puede redirigir a los usuarios a una página de inicio de sesión falsa, superponer un formulario de inicio de sesión real con uno falso, o robar credenciales directamente en el navegador sin que el usuario ni tu organización lo noten.
- El navegador guarda pistas de los intentos de ATO: Los atacantes y los bots dejan señales mientras interactúan con tu sitio. La mayoría de estas señales son ignoradas por las herramientas antifraude que solo analizan la actividad a nivel de red. Las señales a nivel de navegador pueden revelar ataques más avanzados, incluidos bots de IA fraudulentos que operan a través de navegadores sigilosos o automatización alojada localmente.
Uno de nuestros analistas de seguridad escribió un análisis detallado de una ruta de ataque ATO mediante inyección en el lado del cliente, basado en una vulnerabilidad que descubrimos en el sitio web de Oracle.
cside combina fingerprinting y monitoreo de integridad de JavaScript para ofrecer a los equipos una imagen clara de los inicios de sesión sospechosos, así como señales de posibles ataques antes de que ocurran.
4. Responder rápidamente a los incidentes de ATO
Cuando ocurre una apropiación de cuenta, la velocidad importa. OWASP recomienda la reautenticación tras comportamientos sospechosos o eventos de recuperación de cuenta. Debes tener un procedimiento estándar para minimizar el daño causado por las apropiaciones de cuentas.
- Revocar el acceso de inmediato: Invalida las sesiones activas, revoca los tokens o cookies y fuerza la reautenticación para que el atacante no pueda seguir usando una sesión activa.
- Notificar al usuario y revisar el impacto: Alerta al cliente sobre la actividad sospechosa y luego verifica si hubo cambios en el correo electrónico, número de teléfono, configuración de pagos, métodos de pago guardados u otras acciones sensibles realizadas tras obtener el acceso.
Consejos adicionales para una defensa más sólida contra el ATO:
- Controles para el usuario: Aplica requisitos de complejidad de contraseña, bloquea contraseñas conocidas como comprometidas en el momento de su creación y anima a los usuarios a activar el MFA durante el proceso de incorporación.
- Formación del personal: Capacita a los equipos de soporte para que reconozcan los intentos de ingeniería social dirigidos a los flujos de recuperación de cuentas.
- Monitoreo proactivo de credenciales filtradas: Comprueba continuamente las combinaciones de correo electrónico y contraseña de tus usuarios en bases de datos de brechas. Si un par de credenciales aparece en una brecha conocida, fuerza un restablecimiento antes de que el atacante lo use.
Herramientas de proveedores para prevenir el fraude ATO
<thead>
<tr>
<th>Tipo de proveedor</th>
<th>Qué cubre</th>
<th>Ideal para</th>
</tr>
</thead>
<tbody>
<tr>
<td>Herramientas de MFA</td>
<td>
Añade un segundo paso de verificación, pero no detiene por sí solo el robo de sesión
ni la apropiación de cuentas (ATO) basada en phishing.
</td>
<td>
Equipos que necesitan una capa de autenticación fundamental.
</td>
</tr>
<tr>
<td>Suites antifraude</td>
<td>
Cubre múltiples flujos de fraude en una sola plataforma mediante reglas
y modelos preconfigurados.
</td>
<td>
Organizaciones grandes que buscan una solución amplia y lista para usar.
</td>
</tr>
<tr>
<td>Herramientas de fingerprinting / señales de identidad</td>
<td>
Proporciona señales profundas de navegador, dispositivo y comportamiento que se integran
en tu stack antifraude.
</td>
<td>
Equipos liderados por desarrolladores que quieren reglas personalizadas para los flujos de inicio de sesión y recuperación.
</td>
</tr>
<tr>
<td>Herramientas de mitigación de bots</td>
<td>
Detecta el abuso automatizado, como el credential stuffing y las pruebas
de inicio de sesión mediante scripts.
</td>
<td>
Equipos que enfrentan ataques de inicio de sesión a gran escala impulsados por bots.
</td>
</tr>
</tbody>
</table>
Una vez que el ATO empieza a generar una carga operativa real, la mayoría de los equipos terminan adquiriendo una o más herramientas de proveedores. Hay una gran oferta de productos en este mercado, pero resuelven partes distintas del problema: algunas herramientas intentan solucionar el ATO de forma integral, mientras que otras profundizan en señales específicas y dan a tu equipo flexibilidad para definir la lógica y las reglas de riesgo.
- Herramientas de MFA: Añaden un paso de verificación mediante aplicaciones de autenticación, correo electrónico o SMS. Son la primera línea de defensa, pero no resuelven el ATO por sí solas, ya que los atacantes aún pueden abusar de sesiones robadas o flujos de phishing. Entre los proveedores de MFA más populares se encuentran Okta y Auth0.
- Suites antifraude: Estas herramientas están diseñadas para abarcar muchos casos de uso de fraude en un solo producto. Algunos proveedores ofrecen una solución integral para un segmento de fraude (AML, fraude en eCommerce, fraude por contracargos). Funcionan de inmediato, lo que también significa que trabajas con reglas preconfiguradas en lugar de adaptar la lógica a tus propias necesidades. Estas soluciones están pensadas para organizaciones grandes y suelen tener precios empresariales y contratos más largos. Entre los proveedores se encuentran Sardine y SEON.
- Herramientas de fingerprinting / señales de identidad: Estas soluciones profundizan en una capa de inteligencia antifraude, como el fingerprinting o el riesgo conductual. Están diseñadas para integrarse en el resto de tu stack antifraude, no para reemplazarlo. Esto da a los equipos liderados por desarrolladores la flexibilidad de construir lógica personalizada, como combinar fingerprints del navegador con el historial interno de la cuenta para proteger los flujos de inicio de sesión y recuperación. Los proveedores en esta categoría incluyen cside y Castle.
- Herramientas de mitigación de bots: Estas herramientas se centran en detectar el abuso automatizado, como el credential stuffing o las pruebas de cuentas mediante scripts. Son útiles, pero generalmente resuelven solo una parte del problema del ATO. Muchos proveedores de fingerprinting también ofrecen herramientas de mitigación de bots, como cside y Fingerprint.com.
El papel del fingerprinting en la prevención del fraude ATO
El fingerprinting desempeña un papel importante en la prevención de la apropiación de cuentas al ayudar a los equipos a determinar si una sesión podría ser un inicio de sesión no autorizado por parte de un atacante. En lugar de tratar cada entrada de contraseña exitosa de la misma manera, ayuda a identificar cuándo la sesión parece ser de riesgo.
- Identificar sesiones de ATO: Analiza señales a nivel de red, navegador y dispositivo para detectar si el entorno de inicio de sesión no corresponde al usuario esperado.
- Detectar actividad fraudulenta vinculada: A medida que se recopilan señales con el tiempo, se detectan patrones que apuntan a riesgo de apropiación de cuentas, como el uso sospechoso de proxy combinado con automatización de bots.
- Respaldar controles más inteligentes: Los equipos pueden intervenir antes, por ejemplo, solicitando verificación adicional o pausando acciones de alto riesgo antes de escalar a una respuesta completa de usuario comprometido.
Por qué cside es la mejor solución de fingerprinting para prevenir el fraude ATO
- Especialización en el navegador: cside fue diseñado específicamente para monitorear el entorno del navegador. No es una adaptación de un WAF. No está acoplado a una CDN. No está limitado a señales a nivel de red. El navegador es donde los usuarios introducen sus credenciales, donde se establecen las sesiones y donde viven las señales de dispositivo más profundas.
- Detección de bots de agentes de IA: La nueva oleada de bots de ATO no son simples scripts. Son agentes impulsados por IA que ejecutan navegadores sigilosos que imitan las interacciones humanas. cside los detecta mediante comprobaciones de velocidad, inconsistencias en el entorno del dispositivo o navegador, y patrones de comportamiento. La mayoría de las herramientas heredadas de mitigación de bots aún no se han adaptado a la era del fraude por agentes de IA.
- Visibilidad del lado del cliente: Un script de terceros manipulado en tu página de inicio de sesión puede robar credenciales antes de que tu servidor reciba la solicitud. Una inyección en la cadena de suministro puede exfiltrar tokens de sesión mientras tu WAF no reporta nada inusual. cside monitorea todo lo que se ejecuta en el navegador y alerta cuando algo está exfiltrando datos que no debería tocar.
- Para equipos liderados por desarrolladores: Obtienes señales brutas a través de API (IP, geolocalización, uso de VPN/proxy, detección de bots, manipulación del navegador y mucho más) para integrarlas en cualquier lógica antifraude que esté usando tu equipo.
Cómo los atacantes llevan a cabo el fraude por apropiación de cuentas
- Credential stuffing: Los atacantes toman pares de usuario y contraseña filtrados en brechas de datos anteriores y los prueban a escala en otras plataformas usando herramientas automatizadas. Con dos de cada tres estadounidenses reutilizando contraseñas, una sola brecha compromete decenas de cuentas.
- Phishing: Páginas de inicio de sesión, correos electrónicos o mensajes falsos que engañan a los usuarios para que introduzcan sus credenciales directamente en un formulario controlado por el atacante.
- Phishing adversario en el medio (AiTM): Una variante más avanzada en la que la página de phishing actúa como un proxy en tiempo real hacia el sitio legítimo. El usuario inicia sesión con normalidad mientras el atacante captura la cookie de sesión autenticada.
- SIM swapping: El atacante convence a un operador de telefonía móvil para que transfiera el número de teléfono de la víctima a una nueva tarjeta SIM, interceptando los códigos de MFA por SMS y los enlaces de restablecimiento de contraseña.
- Ingeniería social en canales de soporte: Los atacantes llaman o chatean con el servicio de atención al cliente, se hacen pasar por el titular de la cuenta y convencen a los agentes para que restablezcan las credenciales o desactiven el MFA.
- Secuestro de sesión mediante scripts maliciosos: JavaScript de terceros comprometido o inyectado que se ejecuta en un sitio web legítimo exfiltra cookies de sesión o tokens directamente desde el navegador del usuario. El atacante reproduce la sesión robada sin necesitar nunca la contraseña del usuario.
- Malware: El malware instalado en el dispositivo de un usuario (como una extensión del navegador) recopila contraseñas, cookies de sesión y tokens de autenticación.
- Fuerza bruta: Herramientas automatizadas que adivinan contraseñas de forma sistemática probando todas las combinaciones posibles o recorriendo un diccionario de contraseñas comunes.
El fraude ATO se verá amplificado por los bots de IA maliciosos
El fraude ATO empeorará a medida que los bots de IA maliciosos hagan la automatización más barata, más rápida y más difícil de detectar.
- Cloudflare informó que los agentes de "acción de usuario" aumentaron más de 15 veces en 2025. Esta categoría de bots representa agentes que realizan acciones en un sitio web en nombre de una solicitud del usuario.
- Las instalaciones de playwright-stealth (uno de los muchos kits de navegadores sigilosos) aumentaron 10 veces a lo largo de 2025 según un informe de cside.
Las herramientas heredadas de detección de bots y fingerprinting aún no se han adaptado a estos bots de IA, que pueden resolver captchas, imitar el comportamiento de navegación humana y rotar de forma autónoma entre perfiles de navegadores sigilosos.
cside está diseñado para esta nueva oleada de abuso, dando a los equipos visibilidad sobre navegadores sigilosos, bots de agentes de IA y señales del lado del cliente que no aparecen en los flujos tradicionales de detección de bots.
Cómo cside protege tu sitio web del fraude por apropiación de cuentas
cside es una plataforma de seguridad web que protege tus flujos sensibles del abuso fraudulento. Nuestra inteligencia a nivel de navegador te ofrece visibilidad en tiempo real sobre las señales de apropiación de cuentas para que puedas bloquear sesiones fraudulentas antes de que causen daño.
- Fingerprinting del navegador: Recopila el espectro completo de señales de dispositivo y red (IP, geolocalización, detección de VPN/proxy, versión del navegador, sistema operativo, resolución de pantalla y muchas más señales) para construir un identificador único de cada dispositivo que accede a tu sitio.
- Detección de bots de IA maliciosos: cside detecta navegadores headless y la nueva generación de agentes impulsados por IA que imitan el comportamiento de navegación humana.
- Monitoreo de scripts de terceros: Rastrea cada script que se ejecuta en el navegador, incluidas las etiquetas de terceros, y detecta cuándo alguno comienza a exfiltrar credenciales, tokens de sesión o datos sensibles hacia dominios no autorizados.
- Integración orientada al desarrollador: Señales brutas a través de API para reglas de fraude personalizadas, además de agrupaciones de señales curadas por expertos listas para desplegar de inmediato.
Para comenzar, regístrate o reserva una demo.
