Todos tienen historias de ciberseguridad que involucran miembros de la familia. Aquí hay uno relativamente común. La conversación generalmente va algo como esto:
“Lo más extraño le sucedió a mi cuenta de transmisión. Me bloqueé de mi cuenta, así que tuve que cambiar mi contraseña. Cuando volví a iniciar sesión, todos mis programas se habían ido. Todo estaba en español y había todos estos espectáculos españoles que nunca antes había visto. ¿No es extraño?”
Este es un ejemplo de un ataque de adquisición de cuenta en una cuenta de cliente. Por lo general, lo que sucede es que una cuenta de transmisión se ve comprometida, probablemente debido a una contraseña débil y reutilizada, y el acceso se reveta como parte de un producto de mercado negro digital común, a menudo anunciado como algo como “Cuenta de servicio de transmisión de por vida: $ 4 USD”.
En el gran esquema de las cosas, este es un inconveniente relativamente leve para la mayoría de los clientes. Puede restablecer sus credenciales con una contraseña mucho más sólida, llamar a su banco para emitir una nueva tarjeta de crédito y volver a ver atracones La corona en poco tiempo.
Pero, ¿qué sucede cuando incidentes similares ocurren miles de veces diariamente en las aplicaciones web más populares del mundo?
La escala oculta de adquisiciones de cuentas (ATO)
Informe reciente de Flare, La economía de adquisición de la cuenta y la sesiónrevela cuán generalizado y costoso se ha vuelto este problema. Las industrias como el comercio electrónico, los juegos, la productividad SaaS y la transmisión son particularmente afectados, cada una de las cuales ve más de 100,000 cuentas recientemente expuestas por mes.
El informe encontró una tasa media de exposición de la cuenta de la cuenta del 1.4% entre las plataformas que van desde 5 millones a 300 millones de usuarios. De particular preocupación es el aumento en el secuestro de sesiones, una técnica que permite a los atacantes omitir la autenticación multifactor (MFA) al robar cookies de sesión, a menudo a través de malware de infestas.
Volviendo al ejemplo de transmisión, es probable que el atacante ni siquiera necesite iniciar sesión con una contraseña. Con un token de sesión activo en la mano, simplemente lo inyectaron en un navegador usando una herramienta anti-detect y obtuvieron acceso completo, sin activar alertas o desafíos de MFA.
Una importante plataforma de entretenimiento o comercio electrónico con millones de usuarios, Netflix, Epic Games o Wayfair, puede esperar conservativamente que miles de cuentas de clientes sean vulnerables a la adquisición en un momento dado.
 |
| Nuevas cuentas expuestas promedio (mensual): vista escalada desde el informe de economía de la cuenta y la sesión de la cuenta de Flare |
¿Cuál es el costo real de un ATO?
El peaje económico de ATOS es difícil de cuantificar por completo, pero el informe de Flare lo divide en tres categorías principales: mano de obra, fraude y rotación de clientes.
Revisemos el ejemplo de transmisión del anterior. Algunos usuarios pueden marcar el problema hasta la mala suerte y quedarse para la próxima temporada de Cosas más extrañas. Sin embargo, otros pueden cancelar por frustración, especialmente cuando ya han tenido que restablecer contraseñas, tratar con problemas de tarjetas de crédito o simplemente sentir que su confianza ha sido violada. A Informe 2023 De la compañía de prevención de fraude, SIFT, encontró que el 73% de los usuarios cree que la marca, no el usuario, es responsable de prevenir ATOS.
Hemos utilizado la transmisión como ejemplo en este artículo debido a su importancia cultural en el entretenimiento global, pero no hacemos suposiciones sobre su postura de seguridad, historia de violación o prácticas comerciales.
Para comprender el impacto comercial potencial, considere un ficticio Servicio de transmisión de entretenimiento. Si hay 100 millones de clientes que pagan a $ 120 por año …
- Si el 0.5% de las cuentas se hacen cargo, aproximadamente un tercio de la mediana de la tasa de exposición, esos 500,000 usuarios afectados.
- Si incluso el 20% de esos usuarios se agita, la compañía puede perder $ 12 millones en ingresos anuales.
- En el peor de los casos donde el 73% se aleja, la pérdida crece a $ 44 millones.
Todo esto es muy áspero de las matemáticas de “dorso de servilleta”, pero proporciona un punto de partida para cuantificar los riesgos financieros asociados con los ATOS.
Recuerde, esto es solo un riesgo de rotación. ¡Las pérdidas relacionadas con el fraude son una discusión por separado por completo! Ahora extrapole este desafío en cientos de aplicaciones web que atienden a millones de usuarios diarios.
 |
| Costo de ATOS y mecanismo de fraude por industria |
Recomendaciones para la prevención de ATO
1. Monitorear el ecosistema de infantes
Mientras que el ransomware agarra los titulares, el malware InfoTentealer está alimentando la mayoría de los ataques basados en credenciales. Los datos de Flare muestran un aumento de 26% año tras año en exposiciones que involucran credenciales robadas y cookies de sesiones.
De acuerdo a Informe de Investigaciones de Investigación de Incumplimiento de Datos 2025 de Verizon (DBIR), El 88% de los ataques básicos de aplicaciones web implican credenciales robadas, lo que demuestra cómo los infantes de infantes de infancia de las operaciones modernas de adquisición de cuentas.
2. Detectar y remediar cuentas expuestas
Las organizaciones pueden reducir drásticamente el riesgo de ATO mediante la combinación de inteligencia de infantes de infancia en tiempo real con sus sistemas de gestión de identidad y acceso. Esto permite la detección y remediación de cuentas que se han comprometido, especialmente aquellas con cookies de sesión válidas, que permiten a los atacantes evitar la autenticación por completo.
El monitoreo proactivo y la remediación automotriz pueden prevenir el abuso de la cuenta antes de que afecte la experiencia del cliente o Métricas de fondo.
3. Comunique un enfoque de seguridad primero
La introducción de la fricción, como los reinicios de contraseña forzada, puede sentirse arriesgado para la experiencia del cliente. Pero la mayoría de los usuarios esperan que las empresas no solo protejan sus datos sino que también comuniquen cualquier problema.
También del informe de SIFT: solo su compañía notificó al 43% de las víctimas de ATO que su cuenta había sido comprometida. Los clientes que experimentan este fraude pero no son notificados pueden parecer que la empresa no está al tanto de las adquisiciones de cuentas o tienen medidas para ayudarlos.
Al comunicar claramente el propósito detrás de estas medidas, las organizaciones pueden replantear la seguridad proactiva como una característica de valor agregado. La transparencia en torno a los riesgos de ATO ayuda a los clientes a sentirse más seguros, y más leales, en el tiempo.
Sobre el autor: Nick Ascoli es el director de estrategia de productos en Llamarada y un investigador de amenazas experimentado que es reconocido por su experiencia en fugas de datos, reconocimiento e ingeniería de detección. Nick es un miembro activo de la comunidad de seguridad cibernética que contribuye a proyectos de código abierto, aparece regularmente en podcasts (ciberdíguito, simplemente ciber, etc.) y hablando en conferencias (grrcon, b-lados, pueblos defcon, sans, etc.)
About the Author
