
Durante años, las adquisiciones de cuentas (ATO) han seguido un guión predecible. Los atacantes compraron credenciales robadas al por mayor, las ejecutaron a través de herramientas automatizadas y esperaron a que coincidieran. El relleno de credenciales era barato, escalable y relativamente bien comprendido por los defensores.
Esos días están llegando a su fin. No porque los atacantes se rindieran, sino porque finalmente fue más difícil abrir la puerta de entrada.
Las claves de acceso ahora son algo común. Según el estudio de 2026 de FIDO Alliance, el 75% de los consumidores globales tienen claves de acceso habilitadas en al menos una cuenta. Al mismo tiempo, las claves de acceso se están volviendo más comunes en el lugar de trabajo: el 68 % de las empresas las utilizan, las prueban o las implementan para los inicios de sesión de los empleados.

La autenticación sin contraseña y resistente al phishing ya no es una aspiración, sino que se está convirtiendo en la opción predeterminada. Si se pierde una contraseña, también se pierde el valor de la contraseña robada.
Entonces, ¿hacia dónde irá el próximo ataque? Avanza en sentido descendente hasta el momento en que el sistema todavía confía en los humanos para demostrar quiénes son.
La superficie de ataque ha cambiado, no se ha reducido.
Fortalecer el flujo de inicio de sesión primario no elimina el fraude. Se reubica en el enlace restante más débil, que en la mayoría de las arquitecturas se convierte en la capa de recuperación y verificación de identidad.
Piense en todos los flujos de autenticación, incluida la recuperación de cuentas, la reinscripción de dispositivos, la autenticación intensificada para transacciones de alto valor y los enlaces mágicos enviados para «verificar su identidad». Estos se están convirtiendo cada vez más en el camino de menor resistencia.
La intercepción de enlaces mágicos es un claro ejemplo de ello. La conveniencia de enviar por correo electrónico un enlace de inicio de sesión único también tiene una desventaja. Un atacante puede interceptar ese enlace a través de un enlace profundo móvil no verificado, una bandeja de entrada comprometida o una redirección habilitada para el intercambio de SIM. Puede omitir por completo el flujo de autenticación previsto.
Los datos apuntan en la misma dirección. El estudio Fraud Industry Pulse Study 2026 de Veriff, basado en respuestas de aproximadamente 1200 tomadores de decisiones sobre fraude y cumplimiento, encontró que las organizaciones enfrentan un aumento generalizado del fraude en línea, y las categorías más comúnmente reportadas incluyen fraude de identidad, malware, fraude y fraude de documentos.

La IA permite un engaño barato y convincente
La segunda fuerza que está remodelando la ATO es la IA generativa, cuyo objetivo es la propia verificación de identidad.
El Informe de fraude de identidad de 2026 de Veriff encontró que el 4,18% de los intentos de verificación son fraudulentos, y los medios presentados digitalmente tienen un 300% más de probabilidades de ser generados o manipulados por IA que en períodos anteriores. Actualmente, más del 85% de todos los ataques de fraude que observa la empresa se deben a suplantación de identidad. Los selfies deepfake, las secuencias de vídeo insertadas y los documentos sintéticos ya no son técnicas marginales. Estos son los principales tipos de fraude de identidad.
La lección para los defensores, aunque desagradable, es clara. Si su paso de validación supone que los medios que tiene delante son reales, se está defendiendo del modelo de amenazas del año pasado.
Dirección de defensa ATO
La protección contra la apropiación de cuentas ha alcanzado un nuevo nivel. Durante los próximos 12 a 18 meses, es probable que tres cambios definan la forma en que las organizaciones fortalecen su gestión.
La vinculación de intenciones se vuelve más importante.
Ya no basta con demostrar quién es alguien. Las organizaciones también necesitan mayores garantías sobre lo que aprueba su gente. Como resultado, existe un interés creciente en vincular la intención o vincular criptográficamente una acción humana verificada a una transacción o instrucción específica que debe aprobarse. A medida que los ataques de inyección de IA se vuelven más sofisticados, este enfoque se está convirtiendo en un requisito práctico para transacciones de alto valor y alto riesgo.
Los datos de efectos de red definen la ventaja defensiva.
Los controles de un solo punto son más fáciles de evitar. Se obtienen beneficios más duraderos al identificar patrones de fraude en millones de sesiones, dispositivos y redes y detectar ataques coordinados antes de que se propaguen. Las defensas se vuelven más fuertes a escala, especialmente cuando las señales pueden analizarse entre personas, documentos, dispositivos y redes, en lugar de hacerlo de forma aislada.
La presión regulatoria seguirá elevando la línea de base.
El cumplimiento y la seguridad están cada vez más entrelazados. Marcos como eIDAS 2.0, el Reglamento contra el lavado de dinero y DORA están impulsando una garantía de identidad más sólida y estandarizada para las organizaciones. Al mismo tiempo, la eliminación gradual de SMS-OTP está acelerando la transición hacia los factores de autenticación interceptables. Para muchas organizaciones, esto significa que los estándares mínimos aceptables están superando rápidamente los estándares de gestión actuales.
que hacer ahora
El camino práctico a seguir no es especulativo. Esto se basa en controles que ya reducen claramente el ATO. Por ejemplo, se ha demostrado que la detección biométrica de vida reduce el ATO entre un 80 y un 90 % cuando se implementa correctamente.

Tres prioridades:
Cree requisitos básicos para la autenticación sin contraseña y la capacidad de supervivencia biométrica en lugar de complementos premium. Las credenciales resistentes al phishing y la capacidad de supervivencia aumentan significativamente el costo de la suplantación. Trate la revalidación, los flujos de enlaces mágicos y la autenticación intensificada como eventos de alto riesgo. Estos merecen el mismo escrutinio que la incorporación inicial porque los atacantes los atacan primero. Aplique una revalidación basada en riesgos en lugar de una única verificación estática. Planifique la vinculación de intenciones y la validación resistente a la IA. Suponga que los medios que llegan al sistema pueden ser sintéticos y diseñe controles que vinculen las identidades verificadas con las intenciones verificadas.
Un cambio estratégico es fácil de decir, pero difícil de ignorar. El fraude sigue el camino de menor resistencia y, una vez autenticado, a su vez se verifica. El equipo que gana en 2026 es el que ya defendió el siguiente eslabón de la cadena, no el que los atacantes ya abandonaron.
Nota: Este artículo fue escrito y contribuido profesionalmente por Anton Volkov, gerente senior de productos de Veriff.
Source link
