La nueva cara del fraude: ¿Qué es la apropiación de cuentas y cómo protegerse?

Con el crecimiento sostenido del comercio electrónico en Latinoamérica —que ya representa cerca del 16 por ciento de las ventas minoristas en países como México— también han evolucionado las amenazas a la seguridad digital.

Una de las más preocupantes en 2025 es la apropiación de cuentas, un tipo de fraude que permite a los ciberdelincuentes tomar control de cuentas legítimas para cometer actividades ilícitas, desde compras no autorizadas hasta el robo de datos personales.

Este fenómeno se ha expandido más allá del sector bancario. Hoy, cualquier empresa que opere en línea —como marketplaces, gimnasios, restaurantes o tiendas digitales— puede ser blanco de este tipo de ataques.

¿Cómo ocurre la apropiación de cuentas?

La apropiación de cuentas ocurre cuando un tercero malintencionado logra acceder a una cuenta digital utilizando credenciales robadas o mediante técnicas de suplantación.

Una vez dentro, los atacantes pueden realizar transacciones, modificar configuraciones o incluso escalar su acceso a otras plataformas vinculadas.

Entre los métodos más comunes utilizados por los delincuentes digitales se encuentran:

• Phishing: correos electrónicos o mensajes falsos que imitan comunicaciones oficiales para obtener contraseñas o códigos de acceso.
• Fugas de datos: información filtrada en ciberataques anteriores, muchas veces vendida en la dark web.
• Reutilización de credenciales: usuarios que emplean la misma contraseña en múltiples plataformas, facilitando accesos no autorizados.
• Malware: programas espía que capturan información confidencial directamente desde el dispositivo del usuario.

La incorporación de inteligencia artificial en estos ataques permite a los delincuentes generar suplantaciones más creíbles, como videos deepfake o bots que simulan comportamientos humanos para evadir sistemas de detección.

¿Por qué es una amenaza creciente?

Un estudio reciente titulado “Pagos en Latinoamérica en 2025: De la inclusión a la sofisticación”, elaborado por Kushki junto con Payments and Commerce Market Intelligence (PCMI), advierte que si bien la inteligencia artificial es una herramienta clave para detectar fraudes, también está siendo aprovechada por ciberdelincuentes para perfeccionar sus métodos de ataque.

Esto ocurre en un contexto donde la confianza en los pagos digitales está en alza. De acuerdo con la Asociación Mexicana de Venta Online (AMVO), 9 de cada 10 consumidores se sintieron seguros al realizar compras en línea durante el Hot Sale 2025. Mantener esta percepción positiva será crucial para el crecimiento del comercio digital, pero requerirá un esfuerzo mayor en materia de ciberseguridad.

¿Cómo protegerse ante la apropiación de cuentas?

Frente a esta amenaza, especialistas recomiendan adoptar una estrategia integral de protección, tanto para empresas como para usuarios. Kushki ha identificado siete buenas prácticas que ayudan a reducir los riesgos:

1. Autenticación multifactor (MFA): requiere al menos dos elementos de verificación (contraseña + OTP, huella digital, etc.) para acceder a cuentas sensibles.
2. Supervisión transaccional con IA: utiliza modelos de aprendizaje automático que detectan actividades anómalas en tiempo real.
3. Tokenización de datos: sustituye la información real de tarjetas por tokens cifrados, que no pueden reutilizarse.
4. Protección de credenciales en el front-end: cifra todos los datos enviados desde el navegador o aplicación móvil, utilizando algoritmos robustos como bcrypt o Argon2.
5. Alertas en tiempo real al usuario: notificaciones automáticas ante cambios de contraseña, nuevos dispositivos o accesos desde ubicaciones no habituales.
6. Gestión de accesos privilegiados: limita los permisos de administradores y revisa su vigencia regularmente.
7. Educación continua a usuarios: promueve el uso de contraseñas seguras y únicas, y enseña a detectar correos o enlaces sospechosos.

Un reto ético y técnico

A medida que el ecosistema digital latinoamericano madura, también lo hacen las técnicas empleadas por los ciberdelincuentes. Herramientas de código abierto y la accesibilidad a tecnologías como la inteligencia artificial generativa están acelerando esta evolución.

En este entorno, invertir en ciberseguridad no solo es una necesidad técnica, sino una responsabilidad ética para garantizar la protección de los usuarios.