¿Cómo detecta Abnormal el secuestro de cuentas sin depender de las credenciales?

Abnormal establece un patrón de referencia conductual para cada usuario analizando los patrones de inicio de sesión, el uso de dispositivos, los hábitos de comunicación y la actividad de las aplicaciones. Cuando un atacante usa credenciales válidas pero se comporta de forma distinta al usuario real, Abnormal identifica la desviación y marca la cuenta como comprometida.

¿Con qué rapidez puede responder Abnormal a una cuenta comprometida?

Una vez confirmado el compromiso, la plataforma finaliza automáticamente las sesiones activas, bloquea el acceso posterior y fuerza el restablecimiento de la contraseña, sin necesidad de intervención manual del SOC.

¿Con qué plataformas se integra Email Account Takeover Protection?

Abnormal se integra mediante API nativas de la nube con Microsoft 365, Google Workspace, plataformas de identidad como Okta y Entra ID, y herramientas de seguridad como CrowdStrike Falcon Identity. Estas integraciones enriquecen los patrones de referencia conductuales con señales de autenticación, contexto de dispositivo y actividad entre plataformas.

¿Esto genera más trabajo para mi equipo de seguridad?

Al contrario. Abnormal automatiza la detección, la investigación y la resolución de cuentas comprometidas. Su equipo obtiene una cronología conductual completa del caso en lugar de correlacionar registros manualmente entre sistemas.

¿Qué ocurre si Abnormal marca por error una cuenta legítima?

Ocurre rara vez. La IA conductual de Abnormal logra una alta precisión al correlacionar múltiples señales de anomalía antes de confirmar un compromiso. Cuando se produce un falso positivo, la cuenta puede restaurarse rápidamente desde el portal. La plataforma está diseñada para sobreproteger y ofrecer anulaciones sencillas en lugar de dejar que una cuenta comprometida persista.

Account Takeover Protection

Analice el comportamiento para detectar y mitigar los secuestros de cuentas de correo electrónico

Account Takeover Protection detecta y resuelve cuentas de Microsoft 365 y Google Workspace comprometidas aprendiendo los patrones normales de inicio de sesión, dispositivo y comportamiento de cada usuario. Bloquea a los atacantes revocando sesiones activas y forzando el restablecimiento de credenciales.

Solicitar demostración

El desafío

El compromiso supera la autenticación y luego avanza rápido

Las cuentas comprometidas son comunes y frecuentes

Casi el 80 % de las organizaciones Fortune 1000 tienen al menos una cuenta comprometida.

Un inicio de sesión válido oculta a un atacante

La fuerza bruta, el credential stuffing y el robo de tokens o sesiones generan inicios de sesión que superan la autenticación. Para las herramientas basadas en reglas y reputación, el atacante parece el usuario real, por lo que el compromiso pasa desapercibido.

La detección se retrasa y la resolución es manual

Cuando se descubre un compromiso, los atacantes a menudo ya se han movido lateralmente, han enviado phishing interno o han transferido fondos. La investigación y el bloqueo manuales prolongan la ventana en la que se acumula el daño.

El phishing lateral procede de una bandeja de entrada de confianza

Una vez secuestrado un buzón, el phishing interno y el abuso de reglas de correo se originan en una cuenta legítima.

Las puertas de enlace no pueden ver el comportamiento de identidad posterior a la entrega

La detección de secuestro de cuentas requiere un análisis de identidad posterior a la entrega: geografía de inicio de sesión, dispositivos, eventos de MFA y comportamiento del buzón que la inspección del flujo de correo no puede alcanzar estructuralmente.

Por qué Abnormal

Conocemos lo Normal, Por Eso Vemos el Secuestro

Abnormal detecta cuando un buzón empieza a actuar como un atacante, y lo expulsa.

Modelos conductuales por identidad

Abnormal aprende las ubicaciones de inicio de sesión, los dispositivos y el comportamiento de correo normales de cada usuario, y detecta el compromiso como una desviación de ese patrón de referencia, no a partir de una regla o un indicador conocido.

Correlación de señales de identidad y correo

A través de la API, Abnormal correlaciona las señales de inicio de sesión de Microsoft 365 y Google Workspace con el comportamiento de comunicación, incluido el correo interno, para detectar compromisos que una sola señal dejaría pasar.

Bloqueo autónomo y explicable

Ante un compromiso confirmado, Abnormal revoca sesiones, bloquea el acceso y fuerza un restablecimiento. Cada caso se respalda con una cronología conductual completa de qué cambió, dónde y por qué.

Descubra qué hace diferente a Abnormal

Construido para el SOC moderno

Detecte, investigue y expulse, de forma autónoma

Descubrimiento de secuestro de cuentas

Detecta el compromiso evaluando anomalías en ubicaciones de inicio de sesión, dispositivos, IP, VPN, contenido de correo y reglas de correo: detecta fuerza bruta, credential stuffing, robo de tokens y phishing lateral.

Neutralización en tiempo real

Resuelve automáticamente un compromiso confirmado cerrando todas las sesiones abiertas, bloqueando el acceso y forzando el restablecimiento de la contraseña, con la opción del administrador de resolución automática o revisión manual.

Cronología conductual del caso

Recrea el compromiso en detalle, revelando comportamientos sospechosos en correo, plataformas de identidad, dispositivos, navegadores y aplicaciones, para que los analistas lleguen a una conclusión definitiva sin cambiar de herramienta.

Detección de elusión de MFA

Identifica los ataques basados en sesión y en tokens que vencen el MFA, revelando compromisos que los controles basados en autenticación tratan como un usuario legítimo y plenamente autenticado.

Cazador de amenazas automatizado

Correlaciona la actividad de IP recurrente y la inteligencia entre clientes para elevar eventos de baja señal relacionados a casos de alta confianza, reduciendo la fatiga de alertas y detectando campañas sigilosas.

Integración nativa con M365 y Google Workspace

Se conecta a través de la API con Microsoft 365 (incluida la telemetría de inicio de sesión de Microsoft Entra ID) y Google Workspace para afinar la precisión de la detección, sin cambios de MX ni una herramienta independiente que implementar y gestionar.

Abnormal correlaciona señales que otros no pueden ver

Abnormal correlaciona inicios de sesión anómalos, cambios de dispositivo, eventos de MFA, modificaciones de reglas de correo y comportamiento de correo sospechoso para identificar cuentas comprometidas que superan todas las comprobaciones de autenticación. Como establece un patrón de referencia por identidad en lugar de cotejar indicadores conocidos, detecta el credential stuffing, el robo de tokens y el secuestro de sesiones que las herramientas basadas en reglas tratan como inicios de sesión legítimos.

Reconstruye el caso en detalle

Cada cuenta comprometida cuenta una historia. Abnormal la reconstruye cronológicamente en correo, proveedores de identidad, dispositivos y aplicaciones para que los analistas comprendan exactamente qué ocurrió: cuándo apareció el atacante por primera vez, a qué accedió y hasta dónde llegó antes de la detección. Sin cambiar de herramienta, sin perder contexto.

Expulsa a los atacantes antes de que puedan pivotar

Una vez confirmado el compromiso, Abnormal cierra automáticamente las sesiones activas, bloquea el acceso y fuerza el restablecimiento de contraseñas. Cada acción de resolución se registra con la evidencia conductual que la activó, de modo que los analistas dispongan de un registro de auditoría completo sin reconstrucción manual.

Más del 25 % de las empresas Fortune 500 confían en Abnormal AI para
decisiones de seguridad autónomas y de misión crítica

La voz del cliente

Lo que dicen los líderes de seguridad

“Abnormal's automation gives our analysts time back to work on other projects, and the fact that it's API-based gives us flexibility to tie in other applications and their data.”

John Roeser

Senior Manager, Information Security, Domino's

“Our goals are to get away from being so reliant on human judgment and leverage AI to be proactive. Abnormal helps us with those goals.”

Corey Kaemming

Senior Director, Information Security, Valvoline

Abnormal impulsa a más de 4500 clientes, incluido más del 25 % de las empresas Fortune 500.

Historias de clientes

Preguntas frecuentes

Related Resources

Webinars

The Detection Gap: Why AI-Powered Attacks Are Winning Against Legacy Email Security

Watch this on-demand webinar to learn how AI-powered BEC attacks bypass secure email gateways, and how behavioral AI can detect what legacy tools miss.

White Papers

The Essential Guide to Human Risk Management

Learn why traditional security awareness training fails to reduce real-world risk and how modern human risk management helps organizations measure and reduce risky behavior over time.

Data Sheets

Displace Your Secure Email Gateway

Stop sophisticated email attacks that target your employees using native cloud-based email security plus Abnormal.

Ver todos los recursos

Vea lo que está superando sus defensas

Obtenga una demostración personalizada que muestra los ataques dirigidos a su organización.

Solicitar demostración

Seguridad de identidad e IA

Plataforma

Recursos de productos

Soporte

Destacado

Liderazgo de pensamiento

Destacado

Empresa

Noticias y eventos

Destacado

Analice el comportamiento para detectar y mitigar los secuestros de cuentas de correo electrónico

El compromiso supera la autenticación y luego avanza rápido

Las cuentas comprometidas son comunes y frecuentes

Un inicio de sesión válido oculta a un atacante

La detección se retrasa y la resolución es manual

El phishing lateral procede de una bandeja de entrada de confianza

Las puertas de enlace no pueden ver el comportamiento de identidad posterior a la entrega

Conocemos lo Normal, Por Eso Vemos el Secuestro