Account Takeover
CríticoAccount Takeover (ATO)
Definición
Account Takeover (ATO) es el compromiso completo de una cuenta de usuario, permitiendo al atacante acceder y controlar la cuenta como si fuera el propietario legítimo. Puede lograrse mediante múltiples vectores: robo de credenciales, XSS, CSRF para cambio de email/contraseña, IDOR en funcionalidades de password reset, o manipulación de tokens OAuth.
Impacto
Control total de la cuenta de la víctimaAcceso a datos personales, financieros y privadosPosibilidad de realizar acciones en nombre de la víctimaAcceso a servicios vinculados (OAuth) desde la cuenta comprometidaPérdida financiera directa si hay métodos de pago asociados
Ejemplos
Account Takeover vía password reset token predecible
Si el token de restablecimiento de contraseña es predecible (basado en timestamp, email, o secuencial), el atacante puede generar o adivinar el token sin acceso al email de la víctima, permitiendo cambiar la contraseña y tomar control de la cuenta.
# Solicitar reset de contraseña
POST /api/auth/forgot-password
{"email": "victima@ejemplo.com"}
# El servidor genera un token basado en timestamp
# Token = MD5(email + timestamp_segundos)
# El atacante puede:
# 1. Anotar el timestamp exacto de la petición
# 2. Calcular el token: MD5("victima@ejemplo.com" + "1713262800")
# 3. Usar el token para resetear la contraseña
GET /reset-password?token=abc123calculado&password=nuevapassword