Entre las amenazas más frecuentes se cuenta el ransomware, el phishing y las URLs maliciosas, ya sea como elementos finales o pasos intermedios del ataque. Sin embargo, la toma de control de cuentas o el compromiso de cuentas también avanza posiciones, puesto que resulta muy útil a los ciberdelincuentes cuando intentan penetrar en una organización para cualquier final malicioso.

Proofpoint, empresa de ciberseguridad y cumplimiento normativo, ha presentado datos recientes de estos intentos de apropiación mediante el análisis de aproximadamente 63 millones de cuentas. Respecto a las conclusiones generales de este estudio, el 99% de los clientes inquilinos supervisados fue objeto de tomas de control de cuentas durante 2024. En ese periodo, el 62% experimentó al menos una adquisición de cuenta, siendo la media de 12. Ambas cifras muestran una elevada prevalencia de toma de control de cuentas, que en algunos casos llegan a cientos de ataques exitosos por organización.

Proofpoint tiene acceso a enormes cantidades de datos de seguridad, incluyendo correos electrónicos, malware, URLs, dominios, IPs, vulnerabilidades de identidad y herramientas de atacantes. Asimismo, esta compañía de ciberseguridad cuenta con una amplia base de clientes en todo el mundo, miles de integraciones directas con servicios clave en cloud —por ejemplo, Microsoft Entra ID, O365, Okta y Google Workspace—, así como decenas de millones de cuentas de usuario supervisadas.

Sobre las organizaciones que sufrieron intentos de apropiación de cuentas, los porcentajes varían entre el 95% y el 100%, lo que pone de relieve que dichos conatos por parte de los ciberdelincuentes se dan en todos los sectores. En cambio, los éxitos en toma de control de cuentas muestran mucha más variabilidad: por incidencia, en un extremo se encuentran los sectores de la educación (88%), la electrónica (88%) y aeroespacial (86%); y, al otro lado, los servicios jurídicos (50%), la alimentación y las bebidas (50%) y los servicios financieros (47%). No obstante, pese a que el 47% es mejor que el 88%, sigue siendo un porcentaje elevado.

Estados Unidos, Alemania, Rusia, India y Países Bajos encabezan la lista de países origen de estos ataques. En cuanto a los principales dominios que sirvieron de fuente para estos ataques, Proofpoint señala a Datacamp.co.uk, Microsoft.com, Amazon.com, Biterika.ru y Cyberassets.ae.

“Desde Proofpoint observamos millones de intentos de robo de cuentas cada año, lo cual resulta tremendamente valioso para afinar nuestros algoritmos de detección. Tras este estudio, podemos decir con confianza que el bloqueo geográfico o de dominios no es suficiente para defenderse de los intentos de apropiación de cuentas. Salvo algunas excepciones, los atacantes utilizan los mismos proveedores de servicios y países de alojamiento que las organizaciones legítimas”, explica el equipo de investigación de esta compañía de ciberseguridad.

No existe un único indicador de compromiso de cuenta que sea seguro. Por ejemplo, si la detección depende en gran medida de anomalías por ubicación de inicio de sesión, se puede dar una alta tasa de falsos positivos. Hacerlo bien es difícil; y soluciones como la autenticación multifactor pueden ser una buena opción, pero no la panacea. Se requiere una combinación de elementos de datos en tiempo real que se analicen continuamente con un sofisticado motor de detección que utilice múltiples técnicas, como inteligencia artificial, machine learning, inteligencia sobre amenazas, y supervisión del comportamiento antes y después del acceso.

Para los expertos en amenazas de Proofpoint, “el enfoque de los atacantes en comprometer cuentas es parte de una estrategia de ataque más amplia de centrarse en sus usuarios. Por lo tanto, una defensa óptima debe ser igualmente estratégica: una solución integral y proactiva, con formación sobre concienciación de seguridad, preventiva en cuanto a seguridad del correo electrónico y reactiva respecto a detección y respuesta”.