>_
Terminal
© 2026 Diego Soria Ruiz. All rights reserved.
guest@dsr: ~
guest@dsr:~$ ./welcome.sh
guest@dsr:~$ cat 2025-10-25-Account takeover o apropiación de cuentas 6ad3b23650a683008135811998fa240c.md
Última modificación: 25-10-2025
Etiquetas: #CCN-CERT25

Account takeover o apropiación de cuentas

Author: https://jornadas.ccn-cert.cni.es/es/xixjornadas-programa-general/xix-jornadas-ccn-cert/ponente/daniel-howe

Contexto: Charla técnica sobre seguridad en plataformas CDN y mitigación de ataques automatizados

Contexto general

La charla trata sobre cómo Fastly, una plataforma CDN que lleva 15 años en el mercado, está abordando el problema creciente de los bots maliciosos y específicamente los ataques de Account Takeover (ATO). Básicamente, no se trata solo de robos de contraseña, sino de cómo alguien puede usar credenciales comprometidas para usurpar identidades completas. El objetivo es mostrar cómo desde la capa de edge computing se pueden detectar y engañar a estos bots antes de que lleguen al servidor de origen.

Conceptos clave

  • Account Takeover (ATO): usurpación de identidad mediante credenciales comprometidas, más allá del simple robo de password
  • 47% del tráfico total NO es humano según datos del Q1 2025
    • 17% son bots buenos (crawlers de Google, Bing, herramientas de seguridad legítimas)
    • 30% es tráfico sospechoso o directamente malicioso
  • Principales tipos de ataque que ven en la plataforma:
    • Account Takeover (el foco de la charla)
    • Creación masiva de cuentas (genera costes de infraestructura)
    • DDoS distribuido (disponible "a la carta" en cualquier sitio)
    • Escaneo de vulnerabilidades
    • Abuso de tarjetas de crédito
    • Inyección de código en formularios
  • Costes reales: según Forrester, 50% de empresas afectadas gastaron más de 250k USD en recuperarse de estos ataques
  • Los ataques de bots afectan a todos los sectores, no solo e-commerce: media, finanzas, educación, ticketing (ejemplo: entradas de conciertos que desaparecen en segundos)

Desarrollo técnico

Fastly implementa detección en dos capas: lado servidor y lado cliente. En el servidor analizan patrones de tráfico TLS, cabeceras HTTP y comportamiento mediante IA para distinguir tráfico legítimo de bots. En el cliente, inyectan un script JavaScript ligero que ejecuta funciones matemáticas complejas para verificar si el navegador es real o está siendo emulado (detecta herramientas como Puppeteer, Selenium, Headless Chrome).

Lo interesante es el concepto de Deception (engaño): en vez de simplemente bloquear al bot (lo que haría que busque otra vía), la idea es dejarle seguir pero alimentarle con datos falsos. Por ejemplo, si un bot está probando credenciales comprometidas de la dark web, en lugar de devolver un 403 Forbidden honesto, Fastly genera una contraseña aleatoria que garantiza un 403 desde el origen, pero el bot cree que todas sus pruebas han fallado. Al final de sus 1000 intentos, el atacante piensa que ninguna contraseña funcionó, cuando en realidad algunas eran válidas pero fueron interceptadas y modificadas.

El objetivo no es parar el trabajo del bot (que seguirá evolucionando), sino corromper los datos que recopila para que su esfuerzo sea inútil. Fastly está trabajando en más tipos de deception: modificar caracteres, alterar respuestas, etc.

Herramientas y técnicas mencionadas

  • Fastly Edge Platform → CDN con capacidades de seguridad integradas
  • Análisis TLS fingerprinting → identificar bots por patrones en handshake TLS
  • JavaScript challenge → ejecutar código en navegador para verificar autenticidad
  • Deception rules → actualmente disponible para invalid login, más casos en desarrollo
  • Señales enriquecidas → metadata que Fastly añade a cada request para clasificarlo

Términos técnicos importantes

  • Volumetric attacks: DDoS tradicional por volumen, algunos duran menos de 2 minutos (tan rápidos que no da tiempo a reaccionar)
  • Credential stuffing: usar bases de datos de credenciales comprometidas para probar accesos masivos
  • Scrapers: bots que vacían contenido de sitios para replicarlo o venderlo
  • Headless browsers: navegadores sin interfaz gráfica usados para automatización (legítima o maliciosa)

Conclusión

Lo que saco de útil aquí es que la seguridad ya no puede ser reactiva ni binaria (bloquear/permitir). La evolución está en el engaño activo: hacer que el atacante crea que está teniendo éxito cuando en realidad está perdiendo el tiempo con datos corruptos. También es brutal el dato de que casi la mitad del tráfico web ya no es humano, lo que tiene implicaciones enormes en costes de infraestructura y diseño de sistemas.

Para aplicarlo: si estoy diseñando APIs o sistemas de autenticación, pensar desde el principio en observabilidad de patrones de tráfico y en cómo implementar honeypots o respuestas engañosas en lugar de simples bloqueos. La capa de CDN/edge es el lugar ideal para este tipo de detección antes de que el tráfico llegue al origen.

Más

  • Profundizar en cómo funcionan los TLS fingerprints para identificación de bots
  • Ver casos de uso de deception más allá de login (modificación de precios, contenido fake, etc.)
  • Investigar frameworks de JavaScript para detección client-side sin impactar performance
  • Comparar soluciones: Fastly vs Cloudflare Bot Management vs Akamai Bot Manager

<< cd ..

>_