¿Qué es el Fraude de Apropiación de Cuentas (ATO) en SaaS? 

El secuestro de cuentas (ATO) en SaaS describe el acceso a una cuenta de usuario por parte de un tercero externo, con métodos que pueden incluir credenciales, phishing, actividad de sesión o rutas relacionadas con OAuth.

El ATO puede ser difícil de detectar porque la actividad puede parecerse a inicios de sesión de usuario normales, lo que puede dificultar su separación del acceso legítimo en comparación con algunos ataques basados en malware.

El secuestro de cuentas (ATO) en SaaS se relaciona con el acceso a través de sistemas conectados e identidades compartidas.

Una única identidad puede estar asociada con el correo electrónico, CRM, el almacenamiento en la nube y otras aplicaciones vinculadas.

Los atacantes prefieren credenciales válidas porque les permiten eludir las defensas perimetrales tradicionales y pasar desapercibidos entre la actividad normal del usuario, lo que dificulta la detección.

Las técnicas de phishing, incluyendo los métodos de adversario en el medio que involucran MFA, representan uno de los factores observados en relación con los eventos ATO en entornos SaaS.

Los efectos de la Toma de Control de Cuenta (ATO) para las empresas SaaS pueden agruparse en varias áreas. Estas incluyen:

• escenarios relacionados con la seguridad, como el acceso a datos y el monitoreo de transacciones, lo que puede implicar un movimiento lateral a sistemas conectados.
• esfuerzos de respuesta a incidentes y consideraciones de cumplimiento.
• cambios en la reputación, cambios en la retención de clientes, y puede ocurrir incluso con MFA implementado, particularmente cuando están involucradas cuentas de administrador o de soporte, resultando en consideraciones a nivel de inquilino. 

Los métodos comunes incluyen:

• relleno de credenciales
• pulverización de contraseñas
• Phishing
• phishing de adversario en el medio
• phishing de consentimiento de OAuth
• secuestro de sesión
• cambios de operador móvil (intercambio de SIM)
• malware/ladrones de información
• ingeniería social

El phishing moderno puede implicar la focalización en tokens de sesión, y puede eludir los flujos de autenticación que utilizan autenticación multifactor (MFA).

Objetivos de ATO: 

• Educación
• comercio minorista/electrónico
• Telecomunicaciones
• servicios financieros
• Atención médica

Estas industrias son objetivo debido a los valiosos datos que poseen, el gran número de cuentas de usuario y su dependencia de las herramientas de acceso remoto y colaborativas.

Los proveedores de SaaS pueden detectar y prevenir los ATO utilizando un enfoque por capas con prevención, detección y respuesta. Los componentes clave incluyen:

• MFA resistente al phishing
• análisis de comportamiento
• huella digital del dispositivo
• detección de anomalías
• protección de sesión
• mitigación de bots
• registro y alertas

Existen múltiples formas en las que las soluciones ATO pueden integrarse con los servicios SaaS, como a través de SSO y MFA, API, SDKs, y conectores de proveedores de identidad. 

Además, integre con servicios SIEM y SOAR para gestionar las respuestas a incidentes y utilice la evaluación dinámica de riesgos para evaluar las solicitudes de acceso.

También es necesario proteger los tokens OAuth y las cuentas de servicio, asegurando que no haya latencia para los usuarios legítimos. 

Proteger sus cuentas SaaS implica varios pasos.

1. Primero, utilice contraseñas fuertes y únicas para cada cuenta, y considere usar un gestor de contraseñas para generarlas y almacenarlas.
2. A continuación, habilite la autenticación multifactor (MFA) con métodos resistentes al phishing o claves de acceso cuando sea posible.
3. Preste atención a las alertas de inicio de sesión, revise las solicitudes inesperadas de MFA y verifique las pantallas de consentimiento de aplicaciones OAuth antes de aprobar los permisos.
4. Finalmente, notifique cualquier actividad inusual en la cuenta a su proveedor de SaaS tan pronto como la detecte.

Los métodos actuales de prevención de ATO incluyen varios enfoques diferentes, cada uno con compensaciones específicas.

La autenticación multifactor (MFA) tradicional puede utilizarse junto con técnicas como el phishing AiTM, la fatiga de MFA, el intercambio de SIM y el robo de tokens.

Los sistemas estáticos basados en reglas puede que no identifiquen todos los patrones de inicio de sesión y podrían producir resultados de revisión variados.