El paso de verificación es el nuevo campo de batalla de la ATO en 2026

Durante años, la adquisición de cuentas (ATO) siguió un guión predecible. Los atacantes compraron credenciales robadas al por mayor, las ejecutaron a través de herramientas automatizadas y esperaron coincidencias. El relleno de credenciales era barato, escalable y relativamente bien comprendido por los defensores.

Esa era está terminando. No porque los atacantes se rindieran, sino porque finalmente fue más difícil abrir la puerta de entrada.

Las claves de acceso ahora son algo común. Según el La investigación de 2026 de la Alianza FIDO, El 75% de los consumidores globales ha habilitado una clave de acceso en al menos una cuenta. Al mismo tiempo, las claves de acceso se están volviendo más comunes en el lugar de trabajo: el 68% de las empresas las utilizan, las prueban o las introducen para el inicio de sesión de los empleados.

La autenticación sin contraseña y resistente al phishing ya no es una aspiración, se está convirtiendo en la opción predeterminada. Cuando la contraseña desaparece, también desaparece el valor de una contraseña robada.

Entonces, ¿hacia dónde irá el próximo ataque? Va río abajo, hasta los momentos en que los sistemas todavía confían en un ser humano para demostrar quiénes son.

La superficie de ataque cambió, no se redujo.

Cuando los flujos de inicio de sesión primarios se fortalecen, el fraude no desaparece. Se reubica en el enlace restante más débil y, en la mayoría de las arquitecturas, ese enlace es la capa de recuperación y verificación de identidad.

Piensa en cada flujo que se sienta alrededor autenticación: recuperación de cuenta, reinscripción del dispositivo, verificación intensificada para una transacción de alto valor, el enlace mágico enviado para «confirmar que eres tú». Estos son cada vez más los caminos de menor resistencia.

La intercepción de enlace mágico es un claro ejemplo. La conveniencia de enviar por correo electrónico un enlace de inicio de sesión único tiene una desventaja: si un atacante puede interceptar ese enlace, a través de un enlace profundo móvil no verificado, una bandeja de entrada comprometida o una redirección habilitada para el intercambio de SIM. Pueden omitir por completo el flujo de autenticación previsto.

Los datos apuntan en la misma dirección. Encuesta de pulso de la industria del fraude de Veriff 2026, basándose en las respuestas de aproximadamente 1200 responsables de la toma de decisiones sobre fraude y cumplimiento, descubrió que las organizaciones se enfrentan a un amplio aumento del fraude en línea, con fraude de suplantación de identidad, malware, fraude autorizado y fraude de documentos entre las categorías más comúnmente reportadas.

La IA hizo que la suplantación de identidad fuera barata y convincente

La segunda fuerza que está remodelando la ATO es la IA generativa, que ha convertido la propia verificación de identidad en un objetivo.

Informe de fraude de identidad de Veriff 2026 descubrió que el 4,18% de los intentos de verificación fueron fraudulentos y que los medios presentados digitalmente tenían un 300% más de probabilidades de ser generados por IA o alterados que en períodos anteriores. La suplantación de identidad representa ahora más del 85% de todos los ataques de fraude observados por la empresa. Los selfies deepfake, las transmisiones de vídeo inyectadas y los documentos sintéticos ya no son técnicas marginales. Son la corriente principal del fraude de identidad.

La conclusión para los defensores es incómoda pero clara: si su paso de verificación supone que los medios de comunicación que tiene delante son genuinos, se está defendiendo del modelo de amenaza del año pasado.

Hacia dónde se dirige la defensa ATO

La defensa contra la apropiación de cuentas está entrando en una nueva fase. Durante los próximos 12 a 18 meses, es probable que tres cambios definan la forma en que las organizaciones fortalecen sus controles.

La vinculación de intenciones será más importante.

Ya no basta con demostrar quién es alguien. Las organizaciones también necesitan garantías más sólidas sobre lo que esa persona está autorizando. Esto está impulsando el interés en la vinculación de intenciones: vincular criptográficamente una acción humana verificada con la transacción o instrucción específica que se está aprobando. A medida que los ataques de inyección impulsados ​​por IA se vuelven más sofisticados, este enfoque se acerca cada vez más a un requisito práctico para transacciones de alto valor y alto riesgo.

Los datos del efecto de red definirán la ventaja defensiva.

Los controles de punto único son cada vez más fáciles de eludir. Una ventaja más duradera proviene de identificar patrones de fraude en millones de sesiones, dispositivos y redes, y luego detectar ataques coordinados antes de que se propaguen. La defensa se fortalece con la escala, especialmente cuando las señales se pueden analizar a través de la persona, el documento, el dispositivo y la red en lugar de hacerlo de forma aislada.

La presión regulatoria seguirá elevando la línea de base.

El cumplimiento y la seguridad están cada vez más entrelazados. Marcos como eIDAS 2.0, el Reglamento contra el lavado de dinero y DORA están impulsando a las organizaciones hacia una garantía de identidad más sólida y estandarizada. Al mismo tiempo, la eliminación gradual de SMS-OTP está acelerando el abandono de los factores de autenticación interceptables. Para muchas organizaciones, eso significa que el estándar mínimo aceptable está superando rápidamente sus controles actuales.

Que hacer ahora

El camino práctico a seguir no es especulativo. Se basa en controles que ya reducen de manera demostrable el ATO: se ha demostrado que la detección biométrica de vida, por ejemplo, reduce el ATO entre un 80% y un 90% cuando se implementa correctamente.

Tres prioridades:

  • Establecer requisitos básicos de autenticación sin contraseña y vida biométricano complementos premium. Las credenciales resistentes al phishing y su vivacidad aumentan drásticamente el coste de la suplantación de identidad.
  • Trate la nueva verificación, los flujos de enlaces mágicos y la autenticación intensificada como eventos de alto riesgo. Merecen el mismo escrutinio que la incorporación inicial, porque los atacantes ahora los atacan primero. Aplique una nueva verificación basada en riesgos en lugar de una única verificación estática.
  • Planifique la vinculación de intenciones y la verificación resistente a la IA. Suponga que los medios que llegan a sus sistemas pueden ser sintéticos y diseñe controles que vinculen la identidad verificada con la intención verificada.

El cambio estratégico es sencillo de afirmar y difícil de ignorar. El fraude sigue el camino de menor resistencia y, una vez que se trata de autenticación, se convierte en verificación. Los equipos que ganen en 2026 son los que ya defienden el siguiente eslabón de la cadena, no los que los atacantes ya han abandonado.

Nota: Este artículo ha sido escrito y contribuido de manera experta por Anton Volkov, gerente senior de productos de Veriff.

¿Encontró interesante este artículo? Este artículo es una contribución de uno de nuestros valiosos socios. Síguenos en noticias de google, Gorjeo y LinkedIn para leer más contenido exclusivo que publicamos.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *