Skip to main content
Blog
Blog

Account sharing en SaaS B2B: cómo aplicar la licencia por puestos sin bloquear a equipos legítimos

El sharing de puestos en SaaS B2B es la forma de abuso de credenciales más poco detectada.

Jun 26, 2026 14 min read
Account sharing en SaaS B2B: cómo aplicar la licencia por puestos sin bloquear a equipos legítimos
Share this post on X (Twitter) Visit cside on Instagram Share this post on LinkedIn

La licencia por puestos es el modelo de ingresos que hace que la economía unitaria del SaaS B2B funcione. Cada usuario que obtiene valor del producto debería tener un puesto de pago. Cuando una sola credencial se comparte entre tres, cinco o siete compañeros en el mismo departamento, la plataforma pierde los ingresos del puesto de cada usuario que no está pagando, y, de forma crítica, nunca obtiene los datos de uso que permitirían al equipo de ingresos ver cuánto valor está entregando el producto a esa cuenta.

El problema del sharing B2B es estructuralmente diferente del sharing de consumidor. Los consumidores comparten credenciales para ahorrar dinero en una suscripción personal. Los usuarios B2B comparten credenciales porque el aprovisionamiento de puestos es un punto de fricción: obtener tres puestos adicionales aprobados por finanzas lleva más tiempo que compartir un login. El sharing no está motivado por la evasión de costos; está motivado por la brecha entre la velocidad a la que los equipos quieren usar una herramienta y la velocidad a la que se mueve su proceso de aprovisionamiento. El usuario que comparte no es un actor malicioso. Es un usuario cualificado del producto que debería estar pagando por el acceso.

El Informe Global de Pagos y Fraude en eCommerce 2026 del Merchant Risk Council encontró que el 64% de los comerciantes notifican un aumento significativo del mal uso de primera parte. En SaaS B2B, esto se manifiesta principalmente como abuso de licencias de puestos: equipos con presupuesto para un puesto que despliegan el producto en todo el equipo bajo una sola credencial. La brecha de ingresos es recuperable (estos son usuarios motivados que quieren el producto) pero solo si el sharing es detectable.

El patrón de sharing de puestos B2B

Respuesta rápida: El patrón de sharing en SaaS B2B más común es un único puesto de pago distribuido entre un departamento, típicamente 3-7 usuarios, todos los cuales acceden al producto desde la red de oficina de la misma organización. El titular original del puesto es usualmente la persona que impulsó la compra del producto o gestiona el equipo. Sus compañeros acceden al producto bajo la misma credencial porque obtener puestos adicionales aprobados es más lento que compartir un login. Cada persona en este acuerdo es un cliente potencial genuino que usa activamente el producto.

En el monitoreo de plataformas SaaS B2B con licencias por puestos de cside, la brecha de aplicación más común es el sharing de credenciales a nivel de departamento: un puesto de pago distribuido entre 3-7 usuarios dentro de la misma organización, a menudo desde el mismo rango de IP pero con device fingerprints distintos. Este patrón tiene varias características que lo distinguen del sharing de consumidores:

Contexto organizacional. Todos los usuarios trabajan para la misma empresa. Se conocen entre sí, comparten objetivos de trabajo y tienen acceso legítimo al contenido o flujos de trabajo que proporciona el producto. El sharing es transparente dentro del equipo; solo la plataforma no lo sabe.

Uso en horario laboral. El acceso se concentra en horario laboral y sigue el calendario organizacional. El uso cae significativamente los fines de semana y durante los días festivos. El patrón temporal coincide con un equipo de usuarios trabajando en horario estándar, no con un único usuario trabajando intensamente.

Alta profundidad de sesión por dispositivo. Cada usuario que comparte tiene una razón genuina para usar el producto. A diferencia del sharing de consumidores, donde un usuario no pagante puede acceder a una cuenta ocasionalmente, los usuarios B2B que comparten tienden a ser activos. Están usando el producto para el trabajo, lo que significa que su profundidad de sesión es comparable a la de un usuario pagante legítimo. El producto está entregando valor a cada persona que comparte la credencial.

Mismos rangos de IP o adyacentes. Todos los usuarios acceden al producto desde la red de oficina de la misma organización o desde un pequeño número de rangos de IP corporativas. Esta es la característica que hace ineficaz la detección basada en IP: las señales de acceso son indistinguibles de las de un único usuario que trabaja en la misma empresa.

Por qué los controles basados en IP fallan en entornos B2B

Respuesta rápida: La detección basada en IP marca el acceso inusual según cambios geográficos o de red. En el sharing B2B, no hay señales de acceso inusual en el nivel de red. Todos los usuarios acceden al producto desde el mismo rango de IP corporativa. El contexto de red es idéntico para cada usuario que comparte la credencial, porque todos se conectan desde la misma oficina, la misma VPN o la misma infraestructura corporativa. Los controles basados en IP no producen ninguna señal cuando el sharing está concentrado dentro de una única organización.

El modo de fallo para la detección de sharing B2B basada en IP es estructural. Los controles basados en IP están diseñados para detectar patrones de account takeover: un inicio de sesión desde una IP en un país donde la cuenta nunca se ha usado, o un rápido cambio entre ubicaciones geográficas distantes. Estas señales indican que la credencial de la cuenta ha sido robada y se está usando de forma remota.

El sharing de puestos B2B no genera ninguna de estas señales. Todos los usuarios en el acuerdo de sharing están en la misma empresa. Acceden al producto desde el mismo rango de IP que usa el titular del puesto de pago. Una plataforma que detecta patrones de "IP inusual" no verá nada inusual, porque la IP es consistente y esperada.

El Informe de Investigaciones de Brechas de Datos 2026 de Verizon encontró que los ataques basados en credenciales están presentes en el 39% de todas las brechas a lo largo de toda la cadena de ataque. Las señales de IP diseñadas para detectar esos ataques están calibradas para atacantes externos que acceden a cuentas desde redes no familiares. Un equipo interno que comparte una credencial desde una red corporativa familiar elude completamente estos controles.

Los límites de sesión concurrente también fallan para el sharing B2B a nivel de departamento. Un equipo de cinco usuarios que comparten una sola credencial y que acceden al producto en momentos escalonados durante el día laborable genera muy pocas sesiones concurrentes. Si la persona A revisa el producto a las 9am, la persona B a las 10am, la persona C a las 11am y la persona D después del almuerzo, el número de sesiones concurrentes nunca supera uno. El acuerdo de sharing no es detectable mediante el monitoreo de concurrencia de sesiones.

Cómo el historial de device fingerprint detecta el sharing en la oficina

Respuesta rápida: El historial de device fingerprint detecta el sharing B2B porque cada usuario individual tiene un dispositivo distinto. Incluso cuando todos los dispositivos comparten la misma IP de oficina, tienen diferentes GPU, diferente hardware de audio, diferentes conjuntos de fuentes, diferentes configuraciones del sistema operativo y diferentes perfiles del navegador. Un departamento que comparte una credencial genera un conjunto creciente de device fingerprints distintos en esa cuenta. Durante una ventana de observación de 14 días, esta diversidad de fingerprints es la firma del sharing de credenciales, no de un único usuario con múltiples dispositivos.

El análisis de device fingerprint de cside construye una imagen de qué dispositivos están asociados con una cuenta durante una ventana de observación de 14 días. Las señales que generan un device fingerprint son atributos de hardware y software inherentes a cada dispositivo individual:

  • Renderizador GPU: el ordenador de cada usuario tiene una tarjeta gráfica específica o GPU integrada que produce una salida de renderizado característica. Un portátil con GPU integrada Intel produce un fingerprint diferente al de una estación de trabajo con GPU discreta, incluso cuando ambos están en la misma red de oficina.
  • Contexto de audio: el hardware de procesamiento de audio del dispositivo produce una respuesta característica a una prueba de procesamiento de audio sintético. Esta señal varía entre configuraciones de hardware y no se ve afectada por el contexto de red compartida.
  • Renderizado canvas: la combinación de GPU, versión del sistema operativo y renderizado de fuentes produce una salida canvas característica. Dos compañeros sentados uno al lado del otro con diferentes modelos de portátil producen diferentes fingerprints canvas.
  • Conjunto de fuentes y renderizado: las fuentes específicas instaladas en un dispositivo, y cómo las renderiza el sistema operativo, varían entre dispositivos. Un dispositivo Windows con una imagen corporativa estándar produce un fingerprint de fuentes diferente al de un dispositivo macOS, incluso dentro de la misma organización.

El historial de device fingerprint durante una ventana de observación de 14 días produce una detección de sharing precisa incluso cuando todo el acceso proviene del mismo rango de IP de oficina, porque el dispositivo de cada usuario tiene una configuración de navegador y hardware distinta. Un único usuario que accede al producto desde tres dispositivos genera tres fingerprints con un contexto geográfico consistente y un patrón de uso que muestra a una persona moviéndose entre dispositivos. Cinco compañeros que comparten una credencial generan cinco fingerprints con uso superpuesto en horario laboral desde la misma red, pero sin una trayectoria geográfica consistente de usuario único.

La ventana de 14 días es el período de acumulación que hace que la distinción sea fiable. En el primer día o dos, un nuevo dispositivo en una cuenta es ambiguo. Para el día 14, una cuenta con cinco device fingerprints distintos, todos activos durante el horario laboral desde el mismo rango de IP corporativa, se clasifica con alta confianza como una cuenta compartida.

Aplicación que protege la relación con el cliente

Respuesta rápida: La aplicación de puestos B2B requiere un enfoque fundamentalmente diferente al de la aplicación de consumidores. En la aplicación de consumidores, el usuario que comparte suele ser un usuario personal con una relación comercial limitada con la plataforma. En la aplicación B2B, la cuenta de sharing puede ser el punto de entrada de la plataforma en una organización grande que podría convertirse en un cliente importante. El objetivo de la detección no es penalizar el sharing. Es identificar la oportunidad para una conversación de expansión de puestos que puede liderar el ejecutivo de cuentas.

La oportunidad de ingresos en el sharing B2B es la expansión de puestos, no la aplicación punitiva. Una cuenta que tiene cinco usuarios compartiendo una credencial es una cuenta prospectiva de cinco puestos que ya está usando el producto y encontrando valor en él. La respuesta correcta es convertir el acuerdo de sharing en una compra legítima de múltiples puestos, no restringir el acceso de una manera que dañe una relación potencialmente valiosa con el cliente.

La secuencia de aplicación recomendada para las plataformas B2B:

Etapa 1: Alerta interna al ejecutivo de cuentas. Cuando el análisis de device fingerprint identifica un patrón de sharing en una cuenta, la primera acción es una notificación interna al ejecutivo de cuentas responsable de ese cliente. La señal es: "La cuenta [X] está mostrando [N] device fingerprints distintos en los últimos 14 días, consistente con [N] usuarios compartiendo un puesto." El ejecutivo de cuentas usa estos datos para abrir una conversación de expansión, no una conversación de cumplimiento.

Etapa 2: Oferta de expansión de puestos basada en evidencias. El ejecutivo de cuentas se pone en contacto con una oferta de expansión específica y factual: "Podemos ver que tu equipo de [N] está usando activamente la plataforma. Nos gustaría pasarte a un plan de [N] puestos que le dé a cada miembro del equipo su propio acceso." La especificidad de la evidencia convierte esto en una observación útil en lugar de una acusación. El cliente no puede disputar el número de dispositivos; la conversación es sobre hacer legítimo el uso existente.

Etapa 3: Propuesta suave en el producto. Si la conversación del ejecutivo de cuentas no produce una expansión de puestos dentro de una ventana definida, puede aparecer una propuesta en el producto para los usuarios del dispositivo secundario: "Estás accediendo a esta cuenta desde un dispositivo que no ha sido vinculado a tu perfil. Pide a tu responsable de equipo que te añada como usuario nombrado, o inicia tu propia prueba." Esta propuesta no bloquea el acceso inmediatamente; crea un camino hacia el acceso legítimo.

Etapa 4: Aplicación de usuario nombrado. Después de la ventana de la propuesta, el acceso se restringe al dispositivo principal del titular de la credencial, y los usuarios secundarios son redirigidos a un flujo de prueba o compra. Esta etapa se alcanza solo cuando la conversación de expansión anterior no ha producido un resultado, y se aplica sabiendo que los usuarios secundarios son usuarios activos y cualificados a los que se les ha ofrecido un camino legítimo.

Esta secuencia trata el sharing B2B detectado como una señal de ventas, no como una señal de fraude. El objetivo de la aplicación es convertir el acuerdo de sharing en puestos de pago, no reducir el uso.

Qué significa esto para los equipos de ingresos y producto

Respuesta rápida: El sharing de puestos B2B representa la forma de account sharing comercialmente más recuperable porque cada usuario que comparte es un comprador cualificado que ya está usando y valorando el producto. El cálculo de recuperación de ingresos es directo: el número de cuentas de sharing detectadas multiplicado por el número promedio de usuarios por cuenta de sharing multiplicado por el precio del puesto. El análisis de device fingerprint de cside proporciona el número de cuentas de sharing y el número de dispositivos por cuenta dentro de una ventana de observación de 14 días, dando a los equipos de ingresos los datos para dimensionar el pipeline de expansión de puestos.

Para los equipos de ingresos, el caso de negocio para la detección de sharing de puestos B2B no es principalmente un caso de seguridad o prevención de abuso. Es un caso de lead cualificado por el producto. Un usuario que ha estado compartiendo la credencial de un compañero durante dos semanas ha demostrado ajuste al producto. Sabe cómo usar el producto. Lo ha incorporado a su flujo de trabajo. Es un candidato de expansión mejor que un lead entrante en frío. Los datos de detección que lo identifican también son los datos que lo cualifican para una conversación con el ejecutivo de cuentas.

El cálculo de ingresos:

  • Cuentas de sharing detectadas: el número de cuentas con dos o más device fingerprints distintos consistentes con el sharing de credenciales durante la ventana de 14 días.
  • Tamaño promedio de sharing: típicamente 3-5 usuarios por acuerdo de sharing en el patrón de sharing a nivel de departamento, basado en el monitoreo de cside en plataformas SaaS B2B.
  • Tasa de expansión de puestos: la proporción de cuentas de sharing que se convierten en compras de puestos expandidos tras la conversación del ejecutivo de cuentas. La tasa base para usuarios de producto motivados que reciben una conversación de expansión específica y basada en evidencias es sustancialmente más alta que las tasas de conversión de ventas adicionales en frío.
  • Precio del puesto: el costo mensual o anual por puesto.

Para una plataforma con 2.000 cuentas activas, una tasa de sharing del 15% (300 cuentas de sharing), un promedio de 4 usuarios por acuerdo de sharing (1.200 nuevos puestos potenciales) y una tasa de conversión de expansión de puestos del 30% (360 nuevos puestos), la recuperación anual de ingresos por puestos a 80 €/puesto/mes es de aproximadamente 3,5 millones de euros al año. Estas son cifras ilustrativas; las tasas reales dependen del precio, la categoría de producto y el perfil de cliente de la plataforma. Los datos de detección hacen que el cálculo sea preciso.

Para los equipos de producto, los datos de device fingerprint también proporcionan información sobre cómo los equipos están usando realmente el producto. Una cuenta con cinco device fingerprints activos pero un solo puesto de pago es un equipo de cinco personas que quieren más acceso del que tienen una persona. Esa señal de uso informa las decisiones de desarrollo de producto sobre características de colaboración, planes de equipo y diseño de niveles de precios.

cside está certificado SOC 2. El análisis de device fingerprint que identifica las cuentas de sharing B2B opera en la capa del navegador y no recopila información de identificación personal. La postura de seguridad completa está documentada en trust.cside.com.

Mike Kutlu
Client-Side Security Consultant

Client-side security consultant at cside. 10+ years of experience implementing technology solutions for enterprises (previously at Oracle, Cloudflare, and Splunk). Now helping teams use client-side intelligence to catch & reduce fraud.

Don't just take our word for it, ask AI

Ask ChatGPT
Ask Perplexity AI
Ask Gemini
Grok Ask Grok
Ask Claude
Ask Copilot

FAQ

Frequently Asked Questions

El sharing de consumidores está motivado por la evasión de costos: una persona paga, un amigo o familiar obtiene acceso gratuito. El sharing de puestos B2B está motivado por la fricción de aprovisionamiento: un equipo comparte una credencial porque obtener puestos adicionales aprobados lleva tiempo. Las implicaciones comerciales son diferentes. El sharing B2B es una oportunidad de expansión de ventas, no un caso de fraude. Cada usuario que comparte es un comprador cualificado que ya está usando y valorando el producto. El enfoque de aplicación debe reflejar esto.

La detección basada en IP marca el acceso inusual a la red: inicios de sesión desde países no familiares o cambios rápidos de ubicación. El sharing B2B no genera ninguna de estas señales porque todos los usuarios que comparten acceden al producto desde el mismo rango de IP corporativa. Detectar el sharing de puestos intraorganizacional requiere señales a nivel de dispositivo, no señales a nivel de red.

En el monitoreo de plataformas SaaS B2B con licencias por puestos de cside, el acuerdo de sharing más común implica 3-7 usuarios compartiendo un único puesto dentro de un departamento. El titular del puesto de pago es típicamente la persona que impulsó la compra del producto o gestiona el equipo, con los compañeros accediendo bajo la misma credencial porque el aprovisionamiento de puestos es más lento que el sharing de credenciales.

Sí. El historial de device fingerprint durante una ventana de observación de 14 días produce un recuento de device fingerprints distintos asociados con una cuenta. En los patrones de sharing B2B, cada fingerprint distinto representa a un usuario diferente. Una cuenta con cinco device fingerprints distintos mostrando uso en horario laboral desde el mismo rango de IP corporativa tiene cinco usuarios compartiendo la credencial, el objetivo de puestos de expansión que recibe el ejecutivo de cuentas en la alerta de sharing interna.

La primera acción correcta es una alerta interna al ejecutivo de cuentas responsable del cliente, no una acción de aplicación en el producto. La señal de sharing es un disparador de ventas: este cliente tiene más usuarios activos que puestos de pago. El ejecutivo de cuentas debe liderar una conversación de expansión con evidencia específica sobre el número de usuarios activos detectados. Las acciones de aplicación (propuestas en el producto, restricciones de acceso) siguen solo si la conversación de expansión no produce un resultado dentro de una ventana definida.

Monitoriza y Asegura tus Scripts de Terceros

Gain full visibility and control over every script delivered to your users to enhance site security and performance.
Reservar una demo
Comenzar gratis

Comienza gratis, o prueba Business con una prueba de 14 días.

Interfaz del panel de cside mostrando monitorización de scripts y análisis de seguridad
Related Articles
Reservar una demo