acceder
Prueba gratuita

Cómo prevenir los ataques de toma de control de cuentas en su sitio web (2026)

Ilustración sobre la prevención del fraude por apropiación de cuentas, que muestra amenazas como el robo de contraseñas, los ataques de phishing y el relleno de credenciales, bloqueadas por medidas de seguridad como CAPTCHA, la autenticación multifactor, la supervisión del inicio de sesión y la toma de huellas dactilares del dispositivo.
captcha.eu

El fraude por apropiación de cuentas costó a los consumidores $15,6 mil millones en 2024, y 33% de las víctimas abandonan por completo el servicio afectado incluso después de que se restaure su cuenta. Los atacantes no necesitan romper sus sistemas. Utilizan credenciales robadas de otras violaciones, bots automatizados y phishing para entrar por su puerta principal. Esta guía explica cómo funcionan realmente los ataques ATO, a qué flujos se dirigen en primer lugar y cómo estratificar sus defensas para que ningún fallo exponga a sus usuarios.

Tiempo estimado de lectura: 13 minutos

Pruebe CAPTCHA.eu gratis - sin tarjeta de crédito
Ver todas las integraciones

De un vistazo

Qué significa ATO

Un atacante obtiene acceso a una cuenta de usuario real y puede robar datos, realizar pedidos, drenar saldos o cambiar detalles de la cuenta desde una posición de confianza.

Punto de entrada más común

Relleno de credenciales: los atacantes prueban pares de nombre de usuario-contraseña robados de otras violaciones porque los usuarios siguen reutilizando contraseñas en distintos servicios.

Dónde encaja CAPTCHA

La protección contra bots en el inicio de sesión, el registro y el restablecimiento de contraseñas aumenta el coste de los ataques automatizados antes de que lleguen a su lógica de autenticación.

Contenido de esta guía

Qué es la absorción de cuentas y por qué es importante

La apropiación de cuentas, o ATO, se produce cuando un atacante obtiene acceso no autorizado a una cuenta de usuario real. Una vez dentro, pueden cambiar contraseñas, exportar datos personales, realizar pedidos fraudulentos, canjear puntos de fidelidad, activar pagos o pivotar en otros sistemas vinculados a esa cuenta.

Esto es más peligroso que el spam ordinario o el sondeo porque el atacante ya no parece un intruso externo. Parece un usuario legítimo. Esta es la razón por la que los costes de reparación aumentan rápidamente después de que las cuentas se vean comprometidas, y por la que evitar el acceso en primer lugar cuesta mucho menos que contener el daño después. El informe de IBM sobre el coste de una filtración de datos en 2025 cifra el coste medio de una filtración basada en credenciales en $4,67 millones.

Por qué la ATO es más difícil de lo que parece

Los atacantes no siempre necesitan romper su sistema de autenticación. En muchos casos, aprovechan los puntos débiles que lo rodean: contraseñas reutilizadas, flujos de recuperación débiles, ausencia de MFA o puntos finales de inicio de sesión desprotegidos que invitan a la automatización. La seguridad de las cuentas no depende únicamente de la política de contraseñas.

Cómo suele empezar la absorción de cuentas

La usurpación de cuentas no es una técnica única. Es el resultado de varias vías de ataque que conducen al mismo resultado: el acceso no autorizado a una cuenta real.

RUTA DE ATAQUE
LO QUE SUCEDE
POR QUÉ FUNCIONA
Relleno de credenciales
Los robots prueban a escala pares de nombres de usuario y contraseñas violados de otros servicios
Los usuarios reutilizan las contraseñas, por lo que una brecha expone las cuentas de muchos servicios.
Fuerza bruta / pulverización de contraseñas
Los robots prueban contraseñas comunes en muchas cuentas, o muchas conjeturas contra una cuenta.
Las contraseñas débiles y la ausencia de límites de velocidad hacen que las cuentas sean fáciles de adivinar
Phishing / adversario en el medio
Los atacantes engañan a los usuarios para que introduzcan sus credenciales en páginas de inicio de sesión falsas que las transmiten en tiempo real.
Los ataques de retransmisión interceptan los códigos MFA a medida que el usuario los introduce, eludiendo la protección de dos factores.
Abuso del restablecimiento de contraseña
Los atacantes aprovechan los flujos de recuperación débiles, enumeran las cuentas válidas o interceptan los códigos de restablecimiento.
Los flujos de recuperación suelen recibir menos protección que el propio inicio de sesión
Robo de sesión
Los atacantes roban un testigo de sesión válido en lugar de iniciar sesión
Los navegadores comprometidos, el malware o los controles de sesión débiles exponen las sesiones activas.

El relleno de credenciales es la vía más escalable. OWASP lo describe como el uso automatizado de credenciales robadas de violaciones anteriores contra otros sistemas de inicio de sesión. Sin embargo, una vez que una cuenta dispone de MFA o claves de acceso, los atacantes a menudo se decantan por el phishing o el abuso de recuperación. Por eso, una defensa completa protege todo el ciclo de vida de la cuenta, no sólo el formulario de inicio de sesión.

Adquisición de cuentas vs relleno de credenciales vs fuerza bruta

Estos términos están relacionados pero no son intercambiables. La distinción más clara: la apropiación de cuentas es el resultado final. El relleno de credenciales y la fuerza bruta son dos de las vías de ataque que lo provocan.

La forma más sencilla de pensarlo

La apropiación de cuentas es el problema empresarial. El robo de credenciales y la fuerza bruta son dos vías técnicas que conducen a ello. Necesitas defensas contra cada camino por separado: detener la fuerza bruta no detiene el relleno de credenciales, y detener ambos sigue dejando abiertos el phishing y el robo de sesión.

PLAZO
QUÉ SIGNIFICA
DEFENSAS PRIMARIAS
Adquisición de cuentas (ATO)
Acceso no autorizado a una cuenta de usuario real, el resultado final
Seguridad por capas: MFA, protección contra bots, detección de anomalías, refuerzo de la recuperación
Relleno de credenciales
Utilización de credenciales reales robadas en infracciones anteriores, probadas automáticamente a escala.
MFA, CAPTCHA en el inicio de sesión, detección de contraseñas violadas
Fuerza bruta / pulverización de contraseñas
Adivinar contraseñas mediante repetidos intentos automatizados contra una o varias cuentas.
Limitación de tarifas, bloqueo de cuentas, CAPTCHA, MFA

Flujos a los que se dirigen primero los atacantes

Reducir rápidamente el riesgo ATO significa centrarse en los flujos de los que los atacantes abusan con más frecuencia. El orden de prioridad que figura a continuación refleja patrones de ataque reales, no clasificaciones de riesgo teóricas.

  • Inicia sesión. El principal punto de entrada para el relleno de credenciales, la pulverización de contraseñas y la ATO impulsada por bots. El mayor volumen de ataques de todos los flujos.
  • Restablecer contraseña. Los atacantes investigan aquí para enumerar cuentas válidas, activar correos electrónicos de reinicio a escala o interceptar códigos mediante el intercambio de SIM. Suele estar menos protegido que el inicio de sesión a pesar de conllevar un riesgo equivalente.
  • Inscripción. La creación de cuentas falsas no es ATO en sí misma, pero los bots registran cuentas en masa para abusar de las pruebas gratuitas, los programas de recomendación y los puntos de fidelidad, y para sembrar futuros fraudes.
  • Acciones en cuentas de alto riesgo. Los cambios de correo electrónico, las adiciones de métodos de pago, los canjes de fidelización y las exportaciones de datos dentro de una sesión ya autenticada merecen comprobaciones más estrictas que un clic en una sesión normal.

El orden de prioridad correcto

Proteja primero el inicio de sesión. A continuación, proteja el restablecimiento de la contraseña. A continuación, añada protección contra bots al registro. A continuación, añada una verificación escalonada para las acciones de alto riesgo posteriores al inicio de sesión. Esta secuencia cubre las rutas de ataque que causan la mayoría de los incidentes ATO en la práctica.

Lo que detiene cada capa de defensa

Ningún control detiene todas las rutas ATO. El relleno de credenciales elude la limitación de velocidad débil. El phishing elude la AMF basada en SMS. El abuso del restablecimiento de contraseñas elude las protecciones de sólo inicio de sesión. Una prevención eficaz requiere capas que ataquen cada una de las diferentes partes de la cadena de ataque.

TIPO DE ATAQUE
DETENIDO POR
NO DETENIDO POR
Relleno de credenciales
CAPTCHA, MFA, detección de contraseñas violadas
Limitación de velocidad sola (ataques distribuidos)
Fuerza bruta / pulverización
CAPTCHA, limitación de tarifas, bloqueo de cuentas
Sólo bloqueo de IP (ataques distribuidos)
Phishing / retransmisión AiTM
FIDO2/claves de acceso, AMF resistente al phishing, formación de usuarios
SMS MFA, CAPTCHA, limitación de tarifas
Abuso del restablecimiento de contraseña
CAPTCHA en el flujo de restablecimiento, diseño de recuperación segura
Protecciones sólo para el inicio de sesión
Creación de cuentas falsas
CAPTCHA en el registro, verificación por correo electrónico
Protecciones sólo para el inicio de sesión
Abuso de sesión posterior al inicio de sesión
Detección de anomalías, reautenticación, comprobaciones escalonadas
CAPTCHA o controles de inicio de sesión

Siete defensas que funcionan

  • Exigir MFA, o mejor aún, Passkeys

    La AMF es la defensa individual más sólida contra la apropiación de cuentas, porque una contraseña robada ya no es suficiente por sí sola. CISA recomienda la AMF como protección básica contra el acceso no autorizado a cuentas, y los datos de Microsoft muestran que bloquea más del 99,2% de los intentos automatizados de apropiación de cuentas. Como mínimo, exija la MFA para las cuentas de administrador y privilegiadas y anímelas a utilizarla para todos los usuarios. En la medida de lo posible, utilice claves de acceso o autenticación FIDO2 respaldada por hardware. Éstas son resistentes al phishing por diseño, ya que la credencial se vincula al dominio exacto, por lo que una página de inicio de sesión falsa no puede interceptar una respuesta de clave de paso válida.

  • Añadir CAPTCHA invisible al inicio de sesión, registro y restablecimiento de contraseña

    CAPTCHA invisible hace algo que MFA no hace: aumenta el coste del abuso automatizado antes de que se compruebe cualquier credencial. Las campañas de apropiación de cuentas se basan en la escala. Tanto si el atacante utiliza contraseñas vulneradas como si recurre a la pulverización o al restablecimiento abusivo, necesita enviar un gran número de solicitudes a bajo coste. CAPTCHA invisible aplica resistencia a los bots en segundo plano sin mostrar rompecabezas a los usuarios reales. El funcionamiento de los bots resulta más caro, mientras que los usuarios legítimos no experimentan ninguna fricción visible. Para los sitios web europeos, la elección de un CAPTCHA sin cookies y alojado en la UE también elimina por completo la pregunta de consentimiento de privacidad electrónica de las páginas de autenticación, algo que las soluciones CAPTCHA tradicionales no pueden ofrecer.

Detenga el relleno de credenciales y la fuerza bruta antes de que lleguen a la lógica de su cuenta

CAPTCHA.eu protege el inicio de sesión, el registro y el restablecimiento de contraseñas sin cookies ni transferencias de datos estadounidenses. Alojado en Austria, certificado WCAG 2.2 AA, 100 verificaciones gratuitas para empezar.

Iniciar prueba gratuita
Contactar con ventas

  • Comparación de contraseñas con conjuntos de datos de infracciones conocidas

    Si un usuario elige una contraseña que ya aparece en un corpus público de violaciones, es posible que los atacantes ya la estén probando. El NIST recomienda cotejar las contraseñas con las listas de credenciales comprometidas en el momento del registro y del cambio de contraseña, y rechazar las contraseñas conocidas antes de establecerlas. Esto no detiene un ataque en curso. Sin embargo, con el tiempo, elimina de su base de usuarios los objetivos más fáciles para el robo de credenciales. La API Have I Been Pwned proporciona acceso gratuito a más de 10.000 millones de credenciales comprometidas con este fin.

  • Detectar patrones de autenticación anómalos

    La simple limitación de velocidad es importante, pero no suficiente. La apropiación de cuentas a menudo parece una actividad normal repartida entre muchas cuentas, IP o dispositivos. Esté atento a patrones que indiquen actividad automatizada o posterior a la vulneración, como muchas cuentas atacadas desde la misma huella digital de dispositivo, una cuenta a la que se accede desde ubicaciones geográficas imposibles o un inicio de sesión exitoso seguido inmediatamente de cambios en el correo electrónico, la contraseña o el pago. La guía de autenticación de OWASP recomienda la reautenticación tras eventos sospechosos. En la práctica, eso significa intensificar la verificación siempre que el comportamiento de la cuenta cambie repentinamente o toque ajustes sensibles.

  • Recuperación de cuentas y restablecimiento de contraseñas

    Muchos equipos protegen bien el inicio de sesión, pero dejan débil la recuperación. Esa es una brecha que los atacantes explotan activamente. OWASP's Forgot Password Cheat Sheet recomienda respuestas consistentes si una cuenta existe o no, tokens de restablecimiento de un solo uso de corta duración, y el cuidado de no revelar la existencia de la cuenta a través de diferentes mensajes de error. Aplique CAPTCHA y limitación de velocidad al flujo de recuperación. Exigir la reautenticación antes de cambiar atributos de cuenta de alto riesgo tras la recuperación. Estas medidas son sencillas de aplicar y cierran uno de los puntos de entrada de ATO que más se suelen pasar por alto.

  • Exigir una verificación escalonada para las acciones arriesgadas en la cuenta

    No todas las acciones dentro de una sesión autenticada deben depender del mismo nivel de seguridad. Cambiar una dirección de correo electrónico, restablecer la AMF, añadir un destino de pago o exportar datos deberían desencadenar una comprobación más estricta que navegar por un panel de control. Esto limita el radio de explosión si un atacante obtiene acceso pero aún no ha superado un paso de verificación más fuerte, lo que da tiempo a que la detección de anomalías marque la sesión.

  • Notificar rápidamente a los usuarios y a los equipos de seguridad

    La notificación rápida reduce los daños. Alerte a los usuarios cuando un nuevo dispositivo, navegador o geografía acceda a su cuenta. Alerte a su equipo de seguridad cuando se produzca un pico de fallos en el inicio de sesión, solicitudes de restablecimiento o cambios de cuenta de alto riesgo. OWASP recomienda notificar a los usuarios los intentos de inicio de sesión fallidos o sospechosos y facilitar a los usuarios el cierre de todas las sesiones y el cambio de credenciales cuando la actividad parezca desconocida.

Qué hacer durante un ataque activo

Si sospecha de una campaña activa de toma de control de cuentas, la rapidez importa más que la perfección. El objetivo es frenar el ataque de inmediato, proteger las cuentas expuestas y conservar pruebas suficientes para comprender lo ocurrido. En la práctica, la respuesta suele seguir cuatro pasos.

Frena el ataque inmediatamente

Comience por reforzar la protección en los flujos que el atacante probablemente utilice de forma abusiva: inicio de sesión, restablecimiento de contraseña y registro. Habilite o refuerce CAPTCHA en primer lugar, porque suele ser la forma más rápida de aumentar el coste del tráfico automatizado. Al mismo tiempo, aumente los límites de velocidad y restrinja temporalmente el tráfico sospechoso por geografía, rangos de proxy o reputación IP del proveedor de alojamiento si sus registros muestran un patrón de ataque claro.

Proteger las cuentas de mayor riesgo

Exija MFA o reautenticación para las cuentas que muestren un comportamiento sospechoso, especialmente cuando observe ubicaciones de inicio de sesión inusuales, repetidos intentos fallidos o cambios repentinos de cuenta. Si el compromiso ya está confirmado o es muy probable, fuerce el restablecimiento de la contraseña y revoque inmediatamente las sesiones activas. Esto limita la capacidad del atacante para seguir operando desde dentro de la cuenta.

Compruebe lo que ha ocurrido después de iniciar sesión

No se detenga en el evento de autenticación en sí. Revise las acciones posteriores dentro de las cuentas afectadas, incluidos los cambios de dirección de correo electrónico, las actualizaciones de pagos o bancarias, los pedidos, los canjes de fidelización, los cambios de contraseña y las exportaciones de datos. En muchos incidentes ATO, el daño real ocurre sólo después de que el inicio de sesión tiene éxito, por lo que esta revisión le indica hasta dónde llegó el atacante y qué usuarios necesitan un seguimiento urgente.

Preservar las pruebas y prepararse para la notificación

Conserve los registros, los datos de sesión y los eventos de autenticación durante toda la ventana de ataque. Necesitará esas pruebas para la respuesta a incidentes, el análisis de fraudes y, si se ha accedido a datos personales, para la evaluación del artículo 33 del GDPR. Si sólo puede reforzar un flujo adicional mientras dure el incidente, proteja el restablecimiento de contraseñas. Los atacantes a menudo se mueven allí tan pronto como el inicio de sesión se vuelve más difícil de explotar.

Una regla práctica durante un incidente activo

Si sólo puede proteger un flujo adicional en este momento, proteja el restablecimiento de contraseña a continuación. Los atacantes suelen cambiar de flujo tan pronto como el inicio de sesión se vuelve más difícil de explotar.

Por qué la ATO es un problema de GDPR para los operadores europeos

Para los operadores de sitios web europeos, la apropiación de cuentas crea dos problemas a la vez: un incidente de seguridad y una posible infracción del GDPR. Si un atacante accede a los datos personales de una cuenta de usuario, esto constituye una violación de los datos personales en virtud del GDPR, con las obligaciones específicas que se derivan inmediatamente.

En Artículo 32, los responsables del tratamiento deben aplicar medidas de seguridad técnicas y organizativas adecuadas. Para cualquier sitio que almacene datos personales tras la autenticación del usuario, la protección contra bots y la AMF forman parte de esa obligación. Una organización que sufra una ATO de robo de credenciales sin protección contra bots en la capa de inicio de sesión tendría dificultades para demostrar que se habían tomado las medidas adecuadas.

En Artículo 33, Si se produce una violación de datos personales, debe evaluarse en un plazo de 72 horas. Si es probable que suponga un riesgo para los derechos y libertades de las personas, debe informar de ello a su autoridad supervisora dentro de ese plazo. Los datos de IBM de 2025 sitúan el tiempo medio para identificar una violación basada en credenciales en 186 días, mucho más allá del plazo de 72 horas. La detección de anomalías y la supervisión de sesiones mejoran directamente su capacidad para cumplir el artículo 33 al acortar el tiempo de detección.

En Artículo 34, Si es probable que la violación suponga un alto riesgo para las personas (por ejemplo, en contextos de asistencia sanitaria, servicios financieros o datos personales sensibles), también debe notificarlo directamente a los usuarios afectados.

El ángulo cookie-consentimiento en las páginas de autenticación

Los servicios CAPTCHA tradicionales suelen instalar cookies o basarse en el seguimiento del comportamiento. En las páginas de inicio de sesión y recuperación, esto crea una cuestión de consentimiento de privacidad electrónica además del propio problema de seguridad. Un CAPTCHA de prueba de trabajo sin cookies elimina por completo esa pregunta de consentimiento del flujo de autenticación.

Preguntas frecuentes

¿Qué es la absorción de cuentas en términos sencillos?

La apropiación de cuentas se produce cuando un atacante obtiene acceso no autorizado a una cuenta de usuario real y la utiliza como si fuera el propietario legítimo: para ver datos, realizar pedidos, transferir fondos o cambiar los detalles de la cuenta.

¿Es lo mismo apropiarse de una cuenta que rellenar credenciales?

No. El relleno de credenciales es un camino común para la toma de posesión de cuentas. La apropiación de cuentas es el resultado final. Los atacantes también pueden llegar a ella a través de phishing, flujos de recuperación débiles, robo de sesión o fuerza bruta, cada uno de los cuales necesita defensas separadas.

¿Impide la AMF la apropiación de cuentas?

MFA bloquea la mayoría de los ataques basados en el robo de credenciales, porque una contraseña robada ya no es suficiente para iniciar sesión. Sin embargo, la MFA no detiene los ataques de relé basados en phishing, en los que el atacante intercepta el código de un solo uso en tiempo real mientras el usuario lo introduce. Para las cuentas de alto valor, los métodos resistentes al phishing, como las claves de paso o las claves de seguridad de hardware, ofrecen una protección más sólida.

¿Impide CAPTCHA la toma de posesión de la cuenta?

CAPTCHA detiene la capa bot automatizada (relleno de credenciales, fuerza bruta y abuso de registro masivo) antes de que esos ataques lleguen a su lógica de autenticación. No detiene el phishing, no sustituye a MFA y no detecta el abuso posterior al inicio de sesión. Funciona mejor como una capa en una pila de defensa más amplia, no como una solución independiente.

¿Cuál es la defensa más eficaz contra la apropiación de cuentas?

La MFA o las claves de acceso son el control individual más potente. Los datos de Microsoft muestran que la MFA puede bloquear más del 99,2% de los intentos automatizados de comprometer cuentas. El enfoque más eficaz en el mundo real es por capas: MFA combinada con protección contra bots en todos los flujos de autenticación, filtrado de contraseñas violadas, diseño sólido de recuperación y detección de anomalías.

¿Qué páginas debo proteger primero?

Primero el inicio de sesión, ya que recibe el mayor volumen de ataques. A continuación, el restablecimiento de contraseñas, que los atacantes atacan activamente pero los equipos suelen dejar menos protegido. A continuación, el registro y las acciones de alto riesgo posteriores al inicio de sesión, como los cambios de correo electrónico o la configuración de pagos.

¿Cuál es la obligación del GDPR si se produce una absorción de cuenta?

Si la adquisición da lugar a un acceso no autorizado a datos personales, se trata de una violación de datos personales con arreglo al RGPD. Debe evaluarla en un plazo de 72 horas y notificar a su autoridad de control si es probable que la violación cree un riesgo para las personas. Si el riesgo es alto, también debe notificarlo directamente a los usuarios afectados. La protección mediante bots y la detección de anomalías reducen tanto la probabilidad de que se produzca una violación como el tiempo necesario para detectarla.

Lecturas relacionadas

Servicios financieros de la Reserva Federal: Fraude de absorción de cuentas (febrero de 2026): En 2024, los fraudes de ATO supusieron 1.400 millones de euros en pérdidas en EE.UU.; el 331% de los clientes que sufren ATO abandonan por completo el servicio afectado.
IBM Cost of a Data Breach Report 2025: coste medio de una filtración basada en credenciales $4,67 millones; tiempo medio de identificación 186 días.
Documentación de Microsoft Entra MFA: La AMF puede bloquear más del 99,2% de los intentos automatizados de poner en peligro una cuenta.
Guía CISA MFA: La AMF como sólida protección contra el acceso no autorizado a cuentas
Hoja de trucos de OWASP para la prevención del relleno de credenciales
Hoja de trucos de autenticación OWASPReautenticación tras sucesos sospechosos
Hoja de trucos de OWASP para el olvido de contraseñasRespuestas coherentes y diseño seguro de fichas de recuperación
Amenazas automatizadas de OWASP a las aplicaciones web: patrones de abuso automatizado relacionados con las cuentas
NIST SP 800-63-4: orientaciones sobre la identidad digital, incluidas recomendaciones sobre la detección de contraseñas violadas
¿Me han engañado con la API?: comprobación gratuita de credenciales de violación para los flujos de registro y cambio de contraseña

Pruebe la alternativa europea concebida para dar prioridad a la privacidad

Si su equipo necesita protección contra bots de baja fricción con alojamiento austriaco, sin cookies en la capa CAPTCHA, procesamiento basado en la UE, precios transparentes y accesibilidad certificada por TÜV, pruebe CAPTCHA.eu en un flujo real antes de decidirse. Comience con su formulario de inicio de sesión, registro o contacto. 100 solicitudes gratuitas, sin necesidad de tarjeta de crédito.

Iniciar prueba gratuita
Contactar con ventas

Entradas recientes

es_ESSpanish
en_USEnglish de_DEGerman fr_FRFrench nl_NLDutch it_ITItalian es_ESSpanish