En primer lugar, ¿qué es el robo de cuentas? Un robo de cuentas es una forma de fraude que ocurre cuando un delicuente obtiene acceso no autorizado a una cuenta de una tienda en línea.

Cuando los estafadores acceden a las cuentas en línea de clientes legítimos, obtienen una gran cantidad de información valiosa. Las transacciones fraudulentas que pueden cometer con esta información son más difíciles de detectar y detener porque aparentan proceder de clientes conocidos. Los robo de cuentas son más dañinos que otras formas de fraude de tarjeta no presente (CNP): además de la pérdida de ingresos por el robo de puntos de lealtad y los costos asociados con los contracargos y la reacción ante los incidentes de fraude, estos ataques tienen un impacto devastador en la reputación de la marca y el valor vitalicio de un cliente.

El almacenamiento de datos se ha convertido en una gran ventaja para los consumidores digitales, ya que hace que las compras en línea sean más fluidas; sin embargo, también significa que las cuentas en las tiendas son más valiosas y, por tanto, más vulnerables para los estafadores. Todo lo que un estafador necesita para apoderarse de una cuenta es un simple punto de entrada: el nombre completo, el correo electrónico, la fecha de nacimiento, etc. A partir de ahí, se encarga de tomar el control de la cuenta.

El robo de cuentas es diferente al de tarjeta física ausente. En el fraude sin tarjeta física común, un estafador compra los detalles de tarjetas de crédito robadas, normalmente en la dark web, y los utiliza para realizar compras. Los ataques de robo de cuentas añaden un paso adicional: antes de cometer el fraude, una persona con malas intenciones obtiene acceso a la cuenta de una tienda en línea perteneciente a un cliente legítimo.

Desde ahí, pueden intentar cometer todo tipo de fraudes, desde utilizar métodos de pago almacenados para realizar compras, hasta utilizar los datos de tarjetas de crédito robadas que no guardan relación alguna o utilizar puntos de lealtad para comprar por ejemplo, millas aéreas.

Como las transacciones de clientes habituales se consideran “seguras”, las empresas no suelen cuestionarlas, lo que permite que se produzcan más robo de cuentas sin que se detecten.

¿Cómo se lleva a cabo un robo de cuenta?

Uno de los efectos secundarios inesperados de fomentar que los clientes abran cuentas en las tiendas es que se convierten en un objetivo muy atractivo para los estafadores. Los ataques de robo de cuentas se han vuelto cada vez más lucrativos y fáciles de hacer. Hoy en día, el robo de cuentas son tan común que el proceso de ataque está completamente optimizado. Incluso un estafador amateur puede acceder a la cuenta de un buen cliente en cuestión de minutos.

Muchas veces, los expertos en “pishing” engañan a los dueños de cuentas y algunas veces hasta a los representantes de servicio al cliente, para que cedan sus credenciales. Otras veces, los estafadores crean una réplica de un sitio web popular, como Amazon.com y le piden a los usuarios que restablezcan sus contraseñas. Los kits para crear estas réplicas se venden en la dark web.

Los estafadores en línea se basan en unos pocos métodos a gran escala para robar cuentas. Algunos de los métodos más reconocidos para el robo de cuentas son:

Ataques de “pishing”: una forma común que utilizan los estafadores digitales para engañar a las personas y que les faciliten información personal y de sus cuentas. Estos ataques se presentan en forma de llamadas telefónicas, mensajes de texto y correos electrónicos.

Uso masivo de credenciales robadas: cuando los estafadores obtienen acceso a datos confidenciales en una violación de seguridad, consiguen una lista de combinaciones de nombres de usuario y contraseñas para después usar bots que prueben los conjuntos de credenciales en varias tiendas en línea. El proceso se realiza en masa: miles de intentos de inicio de sesión potenciales se ponen a prueba.

¿Qué sucede después de un robo de cuentas?

Cuando los estafadores acceden a las cuentas de tienda de clientes legítimos, obtienen una gran cantidad de información valiosa. Las transacciones fraudulentas posteriores son más difíciles de detectar y detener porque aparentan proceder de clientes conocidos. Una vez que se obtiene la cuenta de un buen cliente, los estafadores pueden intentar una serie de esquemas de fraude.

Pueden hacer compras con métodos de pago almacenados, gastar puntos de lealtad (como millas de viajero frecuente) y robar información personal valiosa para usar y vender en otros lugares. Los tipos de datos personales que los compradores suelen almacenar en su cuenta en línea incluyen su dirección, correo electrónico, número de teléfono, métodos de pago y números de identificación, incluidos los números de pasaporte.

Los robos de cuentas también son más costosos: además de la pérdida de ingresos y los costos asociados con los contracargos, estos ataques tienen un impacto devastador en la reputación de la marca y el valor vitalicio de un cliente.

El costo de ataques de bots ATO

Costos directos del fraude: el robo de cuentas provoca contracargos y aunque hoy en día a los vendedores les resulta difícil determinar qué contracargos y transacciones de puntos de lealtad son consecuencia de este tipo de fraude, son significativas las pérdidas.

Costos del servicio al cliente: cuando los clientes ven que sus cuentas quedan bloqueadas y nadie interviene de forma proactiva, es probable que llamen o envíen un correo electrónico a la empresa para quejarse. Los agentes deben verificar que realmente están hablando con el titular de la cuenta y no con un estafador que intenta acceder a ella, ya que se trata de información personal confidencial. La cantidad de horas de trabajo que se necesitan para resolver uno de estos incidentes se acumula rápidamente.

Pérdida del valor del ciclo de vida del cliente (CLV): casi la mitad de los clientes (43%) aseguran que no volverían a comprar en una tienda en línea si su cuenta se viera comprometida, según una encuesta de Riskified.

Daño a la reputación de la marca: los ataques de robo de cuentas tienen un impacto devastador en la reputación y valor de la marca. En casos extremos, los ataques pueden aparecer en los medios y causar incluso colapsos en el precio de las acciones. El daño puede ser difícil de cuantificar, pero la reputación de la marca puede ser lo más grave para la empresa si se vulnera la cuenta de un cliente.

Mitigación de ataques de bots por robo de cuentas

Hay varias medidas de seguridad que las empresas que venden en línea pueden tomar para prevenir ataques de bots no deseados y robo de cuentas, pero primero deben entender cuán vulnerable es su empresa o tienda de ecommerce.

Después de establecer el riesgo y las consecuencias, deben decidir cuán conservadora necesita ser su tienda: debe ser decidido un umbral de riesgo considerando sus posibles vulnerabilidades de fraude. Asimismo, es importante que las empresas consideren cómo reaccionarían sus clientes ante medidas de seguridad adicionales.

El siguiente paso sería determinar cuándo y cómo bloquear a los usuarios con malas intenciones, notificar a los clientes sobre intentos de inicio de sesión sospechosos o solicitar verificación de identidad. La toma de estas decisiones no resulta una tarea fácil, si tenemos en cuenta la escasa información que se dispone sobre el usuario cuando intenta iniciar sesión. Un programa de intercambio de datos con otras empresas puede ayudar a completar información decisiva.

Una solución de aprendizaje automático que incluye la asociación de identidades y una sólida red de empresas es una de las herramientas más poderosas con las que puede contar un vendedor para defenderse de ataques de bots por robo de cuentas.

Aprende más sobre Account Secure

Obtén una experiencia de cliente fluida y evita el robo de cuentas con nuestra solución de seguridad totalmente automatizada.

Conoce más

Fraude con tarjetas regalo: acaba con estas 8 estafas