El secuestro de cuentas es el acto de tomar el control de la cuenta de otra persona. Por lo general, se lleva a cabo con la esperanza de robar información personal, hacerse pasar por la víctima o chantajearla. El secuestro de cuentas es un problema común, pero no es fácil de realizar. Para tener éxito, el atacante obviamente necesita averiguar la contraseña de la víctima.
Los investigadores han descubierto un nuevo tipo de ataque conocido como secuestro previo de cuentas. Se trata de cuentas que aún no se han creado y permite a los atacantes lograr el mismo objetivo sin acceso a una contraseña.
Entonces, ¿qué es el secuestro previo de cuentas y cómo puede protegerse de él?
¿Qué es el secuestro previo de cuenta?
El secuestro previo de cuentas es un nuevo tipo de ciberataque. El atacante crea una cuenta en un servicio popular utilizando la dirección de correo electrónico de otra persona.
Cuando la víctima intenta crear una cuenta con la misma dirección de correo electrónico, el atacante retiene el control de la cuenta. El atacante puede acceder a cualquier información proporcionada por la víctima, y luego puede tomar el control exclusivo de la cuenta en una fecha posterior.
¿Cómo funciona el secuestro previo de cuentas?
Para llevar a cabo el secuestro previo, el atacante primero necesita acceder a una dirección de correo electrónico. Estos están ampliamente disponibles en la web oscura. Cuando una se produce violación de datos, grandes lotes de direcciones de correo electrónico generalmente se publican como volcados de datos.
Luego, el atacante crea una cuenta en un servicio popular que el propietario de la dirección de correo electrónico aún no ha utilizado. Este ataque es posible en muchos grandes proveedores de servicios, por lo que predecir que las víctimas en algún momento querrán una cuenta de este tipo no es necesariamente difícil.
Todo esto se lleva a cabo a granel, con la esperanza de que una cierta cantidad de ataques finalmente tengan éxito.
Cuando la víctima intente crear una cuenta en el servicio objetivo, se le informará que ya tiene una cuenta y se le pedirá que restablezca su contraseña. Muchas víctimas restablecerán su contraseña asumiendo que es un error.
Luego, se notificará al atacante sobre la nueva cuenta y es posible que pueda retener el acceso a ella.
El mecanismo específico por el cual ocurre este ataque varía, pero hay cinco tipos distintos.
Ataque de combinación federado clásico
Muchas plataformas en línea le ofrecen la opción de iniciar sesión con una identidad federada, como su cuenta de Gmail, o crear una nueva cuenta con su dirección de Gmail. Si el atacante se registra con su dirección de Gmail y usted inicia sesión con su cuenta de Gmail, es posible que ambos tengan acceso a la misma cuenta.
Ataque de identificador de sesión no caducado
El atacante crea una cuenta utilizando la dirección de correo electrónico de la víctima y mantiene una sesión activa. Cuando la víctima crea una cuenta y restablece su contraseña, el atacante retiene el control de la cuenta porque la plataforma no los desconectó de su sesión activa.
Ataque de identificador troyano
El atacante crea una cuenta y agrega una opción adicional de recuperación de cuenta. Esta podría ser otra dirección de correo electrónico o un número de teléfono. La víctima puede restablecer la contraseña de la cuenta, pero el atacante aún puede usar la opción de recuperación de la cuenta para controlarla.
Ataque de cambio de correo electrónico no vencido
El atacante crea una cuenta e inicia un cambio de dirección de correo electrónico. Reciben un enlace para cambiar la dirección de correo electrónico de la cuenta, pero no completan el proceso. La víctima puede restablecer la contraseña de la cuenta, pero esto no necesariamente desactiva el enlace que recibió el atacante. El atacante puede usar el enlace para tomar el control de la cuenta.
Ataque de proveedor de identidad sin verificación
El atacante crea una cuenta utilizando un proveedor de identidad que no verifica las direcciones de correo electrónico. Cuando la víctima se registra con la misma dirección de correo electrónico, es posible que ambos tengan acceso a la misma cuenta.
¿Cómo es posible el secuestro previo de la cuenta?
Si un atacante se registra en una cuenta usando su dirección de correo electrónico, generalmente se le pedirá que verifique la dirección de correo electrónico. Suponiendo que no hayan pirateado su cuenta de correo electrónico, esto no será posible.
El problema es que muchos proveedores de servicios permiten a los usuarios mantener la cuenta abierta con una funcionalidad limitada antes de que se verifique el correo electrónico. Esto permite a los atacantes preparar una cuenta para este ataque sin verificación.
¿Qué plataformas son vulnerables?
Los investigadores probaron 75 plataformas diferentes del top 150 según Alexa. Descubrieron que 35 de estas plataformas eran potencialmente vulnerables. Esto incluye grandes nombres como LinkedIn, Instagram, WordPress y Dropbox.
Todas las empresas que se descubrió que eran vulnerables fueron informadas por los investigadores. Pero no se sabe si se han tomado medidas suficientes para prevenir estos ataques.
¿Qué le sucede a la víctima?
Si cae en este ataque, cualquier información que proporcione será accesible para el atacante. Dependiendo del tipo de cuenta, esto puede incluir información personal. Si este ataque se lleva a cabo contra un proveedor de correo electrónico, el atacante podría intentar hacerse pasar por usted. Si la cuenta es valiosa, también podría ser robada y se le podría pedir un rescate por su devolución.
Cómo protegerse contra el secuestro previo de la cuenta
La principal protección contra esta amenaza es saber que existe.
Si configura una cuenta y se le dice que ya existe una cuenta, debe registrarse con una dirección de correo electrónico diferente. Este ataque es imposible si usa diferentes direcciones de correo electrónico para todas sus cuentas más importantes.
Este ataque también depende de que el usuario no use Autenticación de dos factores (2FA). Si configura una cuenta y activa 2FA, cualquier otra persona con acceso a la cuenta no podrá iniciar sesión. 2FA también se recomienda para protegerse contra otras amenazas en línea como el phishing y violaciones de datos.
El secuestro previo de la cuenta es fácil de evitar
El secuestro de cuentas es un problema común. Pero el secuestro previo de cuentas es una nueva amenaza y, hasta ahora, en gran parte teórica. Es una posibilidad cuando se suscribe a muchos servicios en línea, pero aún no se cree que sea algo habitual.
Si bien las víctimas de este ataque pueden perder el acceso a la cuenta y que les roben su información personal, también es fácil de evitar. Si se registra para obtener una nueva cuenta y le dicen que ya tiene una, debe usar una dirección de correo electrónico diferente.