AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

### Fraude cibernético tras el fallecimiento: cómo los ciberdelincuentes explotan cuentas de personas fallecidas

admin

#### Introducción

En el panorama actual de amenazas, los actores maliciosos han identificado un vector de ataque particularmente sensible y, a menudo, desprotegido: las cuentas de personas fallecidas y las de sus familiares en duelo. Este fenómeno, conocido como “fraude póstumo” o “ghosting fraud”, está experimentando un aumento significativo, impulsado por la facilidad de obtención de información personal, la lentitud de los procesos administrativos y las carencias en la protección de identidades tras el fallecimiento. Para los profesionales de la ciberseguridad, comprender las técnicas utilizadas y establecer controles robustos es esencial para proteger tanto la privacidad de los fallecidos como la de sus allegados.

#### Contexto del Incidente o Vulnerabilidad

Cuando una persona fallece, sus huellas digitales —cuentas bancarias, perfiles de redes sociales, suscripciones y otros servicios online— suelen permanecer activas durante semanas o meses, a veces incluso indefinidamente. Los ciberdelincuentes aprovechan esta “ventana de oportunidad” para realizar actividades fraudulentas, desde vaciar cuentas bancarias hasta lanzar campañas de suplantación (phishing) dirigidas a familiares, o incluso para vender datos personales en foros de la dark web.

Según un informe reciente de la Digital Legacy Association, en 2023 se detectó un aumento del 35% en intentos de acceso no autorizado a cuentas de personas fallecidas. La lentitud en la notificación y cierre de cuentas, junto con la falta de protocolos estandarizados, facilita estas actividades ilícitas.

#### Detalles Técnicos

**Vectores de Ataque**

Los atacantes emplean diversas técnicas para explotar estas situaciones:

– **Ingeniería social**: Utilización de obituarios, redes sociales y registros públicos para recolectar datos personales del fallecido y sus familiares.
– **Compromiso de cuentas**: Uso de credenciales expuestas en breaches previos, combinadas con técnicas de credential stuffing y phishing.
– **SIM swapping**: En casos donde los familiares mantienen activas líneas telefónicas del fallecido.
– **Ataques dirigidos a herederos**: Phishing altamente personalizado para obtener información sensible o acceso a cuentas bancarias.

**Vulnerabilidades y CVEs**

Aunque no existe una vulnerabilidad específica asociada a este vector, los atacantes aprovechan debilidades conocidas en plataformas de autenticación y recuperación de contraseñas. Por ejemplo:

– **CVE-2023-23397 (Outlook Elevation of Privilege Vulnerability)**: Exploitable si las cuentas del fallecido siguen activas y vulnerables a exploits de correo electrónico.
– **Debilidades en MFA**: Si los familiares no desactivan mecanismos de autenticación basados en SMS o email, pueden ser explotados mediante ataques de SIM swapping o acceso a buzones desprotegidos.

**TTPs según MITRE ATT&CK**

– **Reconocimiento (Reconnaissance)**: T1598 (Phishing for Information), T1589 (Gather Victim Identity Information)
– **Acceso inicial**: T1078 (Valid Accounts), T1190 (Exploit Public-Facing Application)
– **Movimientos laterales**: T1550 (Use Alternate Authentication Material)
– **Impacto**: T1486 (Data Encrypted for Impact), T1499 (Endpoint Denial of Service)

**Indicadores de Compromiso (IoC)**

– Accesos a cuentas desde ubicaciones inusuales tras el fallecimiento documentado.
– Cambios de contraseñas o métodos de recuperación poco después del obituario.
– Intentos de transferencia de fondos o solicitudes de cierre de cuentas bancarias online.

#### Impacto y Riesgos

El fraude póstumo puede tener consecuencias devastadoras:

– **Pérdidas económicas**: Según la Federal Trade Commission de EE. UU., solo en 2023 se reportaron fraudes por valor de 3.100 millones de dólares relacionados con identidades de fallecidos.
– **Compromiso de privacidad**: Datos personales y sensibles pueden ser expuestos, en contravención de la GDPR y la legislación europea de protección de datos.
– **Daño reputacional**: Las entidades que gestionan activos digitales de fallecidos pueden sufrir pérdidas de confianza y sanciones regulatorias (NIS2, GDPR), si no implementan medidas adecuadas.

#### Medidas de Mitigación y Recomendaciones

– **Cierre proactivo de cuentas**: Establecer procedimientos claros y rápidos para la notificación y desactivación de cuentas tras un fallecimiento.
– **Revisión de políticas de acceso**: Implementar autenticación multifactor robusta y limitar las opciones de recuperación por email o SMS.
– **Monitorización de accesos**: Configuración de alertas para detectar accesos anómalos en cuentas inactivas o recientemente reportadas como pertenecientes a fallecidos.
– **Sensibilización y formación**: Informar a familiares y herederos sobre los riesgos y mejores prácticas en la gestión del legado digital.
– **Uso de soluciones de protección de identidad**: Implantar herramientas de monitorización de identidad y dark web scanning para detectar intentos de abuso.

#### Opinión de Expertos

Raquel Martín, CISO de una entidad financiera española, señala: “El fraude póstumo es un vector en alza. La coordinación entre departamentos legales, IT y atención al cliente es vital para reducir la ventana de exposición. Además, la capacitación del personal para identificar solicitudes fraudulentas es clave”.

Por su parte, Pedro Ruiz, analista SOC, advierte: “El análisis de logs y la correlación con eventos de fallecimiento pueden ayudar a detectar patrones de ataque. No se trata solo de proteger a los vivos: la seguridad del legado digital es ya un componente esencial del ciclo de vida de la identidad”.

#### Implicaciones para Empresas y Usuarios

Para las organizaciones, la gestión del ciclo de vida de las cuentas debe contemplar el fallecimiento. Esto incluye desde políticas de retención de datos hasta la notificación a familiares y la verificación rigurosa de solicitudes de cierre o cambio de titularidad, en cumplimiento de la GDPR y la NIS2.

Para los particulares, es crucial planificar el legado digital, informar a los herederos y usar gestores de contraseñas seguros. Además, es recomendable solicitar el cierre formal de cuentas y eliminar información sensible de perfiles públicos tras el fallecimiento.

#### Conclusiones

El auge del fraude digital post mortem subraya la necesidad de una visión holística de la protección de las identidades, más allá del ciclo vital individual. Adoptar medidas técnicas y administrativas, junto con la colaboración intersectorial, es fundamental para mitigar estos riesgos emergentes y proteger tanto los activos digitales como la dignidad de los fallecidos y sus familias.

(Fuente: www.welivesecurity.com)