AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

### El auge de los ataques de fraude multietapa: cómo bots, proxies y credenciales robadas facilitan la toma de cuentas

admin

#### Introducción

En los últimos meses, el panorama de la ciberseguridad ha registrado un preocupante aumento en la sofisticación de los ataques de fraude multietapa. Estos incidentes no solo están dirigidos a la suplantación de identidad y la toma de cuentas (Account Takeover, ATO), sino que emplean cadenas de elementos automatizados como bots, redes de proxies y credenciales comprometidas para operar a gran escala y con elevada tasa de éxito. Un reciente estudio de IPQualityScore (IPQS) expone la criticidad de establecer correlaciones entre IP, dispositivo, identidad y comportamiento del usuario para contrarrestar esta tendencia.

#### Contexto del Incidente o Vulnerabilidad

Los ataques de fraude multietapa se han convertido en una amenaza persistente para plataformas de banca online, comercio electrónico y servicios SaaS. Estas cadenas de ataque involucran distintos vectores, desde el registro masivo de cuentas fraudulentas hasta el escalado hacia la toma de cuentas legítimas. El uso de bots y proxys permite a los actores maliciosos evadir controles tradicionales, fragmentando la operación en fases disimuladas difíciles de rastrear por soluciones de seguridad convencionales.

Según datos de IPQS, más del 60% de los ataques automatizados en 2023 emplearon alguna forma de proxy para ocultar la ubicación real del atacante, y un 45% incorporó credenciales previamente filtradas en la dark web. Esta convergencia de técnicas automatizadas y credenciales robadas plantea serios retos para los equipos de defensa.

#### Detalles Técnicos

Las campañas observadas suelen iniciarse con la automatización de registros o accesos mediante bots programados sobre frameworks como Selenium, Puppeteer o incluso scripts personalizados. Estos bots operan detrás de redes de proxies rotativos (residenciales o datacenter), dificultando la detección por IP.

En la fase de toma de cuentas (ATO), se utilizan credenciales extraídas de brechas previas, muchas veces validadas mediante ataques de credential stuffing. Herramientas como Sentry MBA, Snipr, o módulos de Metasploit para automatización de login han sido detectadas en estos ataques. A nivel MITRE ATT&CK, los TTPs identificados incluyen:

– **T1078 (Valid Accounts):** Uso de credenciales legítimas robadas.
– **T1110 (Brute Force):** Credential stuffing y password spraying.
– **T1090 (Proxy):** Encubrimiento de tráfico mediante proxies y VPNs.
– **T1204 (User Execution):** Manipulación del usuario final en fases posteriores.

Los indicadores de compromiso (IoCs) asociados incluyen patrones de IPs de proxies públicas, fingerprints de dispositivos virtualizados y patrones de comportamiento anómalos como accesos simultáneos desde múltiples ubicaciones.

#### Impacto y Riesgos

El impacto de estos ataques es considerable. Según estimaciones de la industria, la toma de cuentas y el fraude automatizado suponen pérdidas de hasta 4.000 millones de euros anuales en Europa. El riesgo no solo es económico; la exposición de datos personales y el incumplimiento de normativas como el GDPR o la inminente NIS2 pueden derivar en sanciones regulatorias y daño reputacional.

Empresas afectadas reportan tasas de éxito en los ataques de ATO del 8% al 12% en entornos sin protección avanzada. Además, la reutilización de credenciales aumenta exponencialmente el alcance de la amenaza, ya que un solo conjunto de datos filtrado puede ser empleado en cientos de servicios distintos.

#### Medidas de Mitigación y Recomendaciones

Para mitigar estos ataques, los expertos recomiendan un enfoque multicapa que combine:

– **Correlación avanzada de señales:** Unificar datos de IP, fingerprinting de dispositivo, ubicación, reputación de correo y análisis de comportamiento.
– **Autenticación fuerte:** Implementar MFA adaptativo, evitando métodos basados solo en SMS o email.
– **Limitación de velocidad y análisis de tráfico:** Detectar patrones de automatización y bloquear tasas anómalas de solicitudes.
– **Inteligencia de amenazas:** Integrar feeds sobre proxies, bots y credenciales comprometidas.
– **Pruebas de CAPTCHA avanzadas:** Preferiblemente invisibles o basadas en interacción real.

La monitorización continua y la respuesta automatizada mediante playbooks SOAR permiten detectar y bloquear rápidamente campañas coordinadas.

#### Opinión de Expertos

Analistas de ciberseguridad coinciden en que “la agregación de señales de identidad digital es fundamental para anticipar y neutralizar ataques multietapa”. Según Javier Gallego, CISO de una entidad financiera española, “la simple geolocalización de IP ha quedado obsoleta; ahora es imprescindible correlacionar múltiples factores y emplear inteligencia artificial para distinguir usuarios genuinos de operaciones automatizadas”.

#### Implicaciones para Empresas y Usuarios

Las organizaciones deben revisar sus controles de acceso y fortalecer la verificación de identidad digital. El cumplimiento de la NIS2, que entra en vigor en 2024, exige medidas más proactivas de detección y reporte de incidentes, así como la protección de datos personales en línea con el GDPR. Los usuarios, por su parte, deben evitar la reutilización de contraseñas y activar siempre el MFA cuando esté disponible.

#### Conclusiones

El fraude multietapa basado en bots, proxies y credenciales robadas es ya una realidad consolidada en el ecosistema de amenazas. La capacidad de correlacionar datos de IP, dispositivos, identidad y comportamiento se perfila como el principal diferenciador para la defensa eficaz. Ante la evolución constante de las técnicas de evasión, sólo una aproximación integral y automatizada permitirá a las empresas adelantarse a los atacantes y minimizar los riesgos operativos, regulatorios y reputacionales.

(Fuente: www.bleepingcomputer.com)