Según el Informe Global de Pagos y Fraude en eCommerce 2026 del MRC, el 64% de los comerciantes reporta un aumento significativo en el mal uso de primera parte. El multi-accounting es uno de los impulsores más consistentes de ese número: una sola persona real creando múltiples cuentas para extraer valor que la plataforma pretende distribuir una vez por usuario real. Bonificaciones de registro reclamadas dos veces. Recompensas de referidos generadas mediante auto-referidos. Pruebas gratuitas extendidas indefinidamente a través de una secuencia de nuevas direcciones de email. Límites de puestos eludidos presentando a cada usuario concurrente como un titular de cuenta distinto.
Las reglas de velocidad detienen al operador que crea diez cuentas desde la misma dirección IP en treinta minutos. No detienen al operador que entiende ese umbral, usa un proveedor de email diferente y una VPN para cada cuenta, y distribuye la creación durante tres días. El device fingerprinting detecta al segundo operador, porque su dispositivo es más difícil de rotar que su dirección de email o su IP. La inteligencia de dominio de email detecta al tercer operador, el que también rota dispositivos, pero cuya infraestructura de email deja señales que los controles basados en reglas no pueden ver.
Este artículo explica cómo funciona realmente el fraude de múltiples cuentas en fintech y SaaS, dónde las reglas de velocidad dejan de proporcionar señales útiles, y qué añade el device fingerprinting combinado con la inteligencia de dominio de email a la cobertura de detección.
Cómo se ve realmente el fraude de múltiples cuentas en fintech y SaaS
Respuesta rápida: El fraude de múltiples cuentas en fintech incluye apilamiento de bonificaciones, farming de recompensas de referidos, elusión de estructuras de comisiones y evasión de límites de retiro o exposición. En SaaS es principalmente farming de pruebas gratuitas y elusión de límites de puestos. El hilo común es una identidad real única ocultándose detrás de múltiples cuentas registradas para acceder a valor que pretende distribuirse una vez por persona.
La versión fintech del multi-accounting toma varias formas. El apilamiento de bonificaciones es la más sencilla: una bonificación de registro se acredita una vez por cuenta, por lo que un operador que crea cinco cuentas y financia cada una reclama la bonificación cinco veces. Las cuentas pueden financiarse desde la misma cuenta bancaria o tarjeta, lo que puede ser una señal detectable en la capa de pagos, pero los operadores que trabajan a escala usan múltiples fuentes de financiamiento o cuentas mula para enmascarar ese vínculo.
El farming de recompensas de referidos es un segundo patrón cercano. Un programa de referidos paga al referidor una recompensa cuando un nuevo usuario se une y cumple un umbral de actividad. Un operador que controla tanto la cuenta de referidor como la cuenta referida puede generar recompensas de referidos sin ninguna adquisición real de nuevos usuarios. Los bucles de auto-referido son la versión simple; las redes coordinadas donde el operador controla muchas cuentas entre múltiples participantes son más difíciles de identificar.
La elusión de estructuras de comisiones es más específica de las plataformas financieras reguladas. Los límites de transferencia, los topes de retiro y los niveles de comisiones por transacción a menudo se estructuran por cuenta. Un operador que divide su actividad entre múltiples cuentas para mantenerse por debajo de los umbrales de comisiones en cada una está extrayendo valor que la estructura de comisiones fue diseñada para recuperar. Los límites de exposición en plataformas de préstamos o inversión son igualmente objetivo: las cuentas separadas permiten múltiples posiciones que quebrantarían los límites por cuenta si se consolidaran.
En SaaS el patrón es más simple pero no menos costoso. El farming de pruebas gratuitas es la forma más común: una nueva dirección de email genera una nueva prueba, y el operador secuencia a través de proveedores de email para mantener acceso continuo a las características del nivel de prueba sin convertirse. La elusión de límites de puestos es más sofisticada: el operador usa un solo puesto de pago y distribuye las credenciales de inicio de sesión a usuarios adicionales, rotando quién está activo en un momento dado para evitar activar los límites de sesiones concurrentes.
El motivo económico es consistente en todos estos patrones: el operador extrae valor de la plataforma a un costo inferior al que la plataforma pretendía cobrar por él. La escala de esa extracción es directamente proporcional a la facilidad con la que pueden crear y gestionar múltiples cuentas.
Por qué la verificación de email y las reglas de velocidad se pierden la mayoría
Respuesta rápida: Las reglas de velocidad marcan cuentas creadas en ráfagas desde la misma IP o con el mismo patrón de email. Los servicios de email desechable derrotan los controles de unicidad de email. Las VPN y proxies residenciales derrotan la velocidad de IP. Un operador organizado que entiende esos umbrales y trabaja dentro de ellos, con diferente IP, diferente dominio de email, cuentas creadas durante días en lugar de horas, puede registrar docenas de cuentas sin activar ninguna alerta.
La verificación de email prueba que una dirección de email existe y que alguien tiene acceso a la bandeja de entrada. No prueba que dos direcciones de email diferentes pertenezcan a personas reales diferentes. Un servicio de email desechable como Mailinator, Guerrilla Mail, Temp Mail o 10 Minute Mail genera una bandeja de entrada funcional en segundos. Cada bandeja de entrada produce una dirección de email única que pasa la validación de formato y recibe códigos de verificación. Desde la perspectiva del flujo de registro, cada una es un nuevo usuario distinto. Desde la perspectiva del atacante, todos son el mismo operador.
Los operadores que trabajan a escala más allá de los servicios de email desechable usan dominios recién registrados. Un dominio registrado hace 48 horas con registros MX válidos pasará todas las verificaciones de formato y blocklist de email. El operador genera cualquier cantidad de bandejas de entrada en ese dominio y las usa para la creación de cuentas. El costo del dominio es bajo; los registros que habilita son ilimitados.
Las reglas de velocidad de IP son derrotadas por la rotación de proxies. Los servicios de proxies residenciales proporcionan acceso a direcciones IP asignadas a conexiones de internet de consumidores reales, haciendo que cada solicitud parezca originarse desde un hogar diferente. Un operador que rota IPs residenciales para cada intento de creación de cuenta no activará una regla de velocidad por IP porque cada IP aparece solo una o dos veces. El volumen total de intentos es invisible a nivel de IP incluso cuando es grande en agregado.
La dimensión temporal es la brecha más subestimada. Las reglas de velocidad operan en ventanas de tiempo: cinco cuentas desde la misma IP en una hora es sospechoso; una cuenta desde la misma IP cada día durante cinco días puede no serlo. Un operador que crea cuentas a un ritmo que permanece dentro de los umbrales de ventana de tiempo por IP y por email, mientras rota IPs y proveedores de email entre registros, evade casi cualquier sistema basado en reglas sin generar ninguna alerta. El patrón solo es visible en agregado, sobre una ventana de tiempo más larga de lo que monitorizan las reglas.
Qué añade el device fingerprinting a la detección de múltiples cuentas
Respuesta rápida: Una huella digital de dispositivo es más difícil de cambiar que una dirección de email o una dirección IP. Un operador que ejecuta una campaña de múltiples cuentas desde el mismo hardware deja una huella digital de dispositivo consistente en todos los registros, incluso cuando rota proveedores de email y direcciones IP de proxy. La coincidencia de huellas digitales entre cuentas identifica operadores de múltiples cuentas cuyos registros individuales pasan todas las verificaciones basadas en reglas.
El dispositivo que genera una campaña de multi-accounting, su configuración de navegador, características de hardware, comportamiento de renderizado de canvas, conjunto de fuentes, señales de temporización y docenas de otros atributos, es más estable que la dirección IP o el proveedor de email que usa para cada cuenta. Un operador que cambia su email y su IP para cada cuenta pero usa el mismo portátil genera la misma huella digital de dispositivo cada vez.
La coincidencia de huellas digitales entre cuentas es donde esto se vuelve accionable. Una sola cuenta con una huella digital de dispositivo dada no es una señal de fraude. La misma huella digital de dispositivo que aparece en quince registros de cuentas creadas durante siete días, todas con diferentes direcciones de email, es una señal fuerte de multi-accounting, incluso si cada registro individual pasó todas las reglas de velocidad limpiamente. El patrón entre cuentas solo es visible cuando la señal de huella digital persiste y se correlaciona a lo largo de la ventana de tiempo.
El problema de los anti-detect browsers es una contramedida conocida. Los operadores que entienden el device fingerprinting usan herramientas como Multilogin o Linken Sphere, que crean perfiles de navegador aislados con huellas digitales distintas y sintetizadas para cada cuenta. Estas herramientas rotan con éxito los valores de huellas digitales que verifican los controles de fingerprinting simples. La detección de cside aborda esto identificando el propio anti-detect browser: los parámetros de huella digital sintetizados, los artefactos de consistencia de valores generados por perfil y las características del entorno del navegador que distinguen un perfil de anti-detect gestionado del navegador de un usuario real. Detectar que se está utilizando un anti-detect browser es en sí mismo una señal negativa fuerte.
La combinación de correlación de huellas digitales de dispositivos y detección de anti-detect browsers cubre dos perfiles de operador distintos. El operador que no sabe sobre fingerprinting es detectado por la coincidencia de huellas digitales entre cuentas. El operador que usa un anti-detect browser para derrotar el fingerprinting es detectado por la detección de anti-detect browser. Un operador que usa un dispositivo genuinamente diferente para cada cuenta no es detectado por la capa de huellas digitales, pero enfrenta una restricción diferente: el costo y la logística de gestionar docenas de dispositivos distintos limita cuánto puede escalar sin que la capa de huellas digitales también detecte correlaciones a nivel de infraestructura.
Para los equipos de fraude, la correlación de huellas digitales de dispositivos se integra con los flujos de trabajo existentes de gestión de cuentas. El resultado es una asociación entre cuentas: estas cuentas comparten una huella digital de dispositivo y es probable que sean operadas por la misma persona real. El equipo revisa la asociación y toma medidas según su propia política: cierre de cuenta, retención de fondos o solicitud de verificación mejorada.
Más sobre el device fingerprinting y la correlación entre cuentas de cside.
Cómo la inteligencia de dominio de email detecta las cuentas que el device fingerprinting pasa por alto
Respuesta rápida: Un operador que rota dispositivos derrota la correlación de huellas digitales de dispositivos pero sigue trayendo su infraestructura de email al registro. La inteligencia de dominio de email de cside, que incluye listas de proveedores desechables, señales de dominio resolver-v2 y análisis LLM de Brontar, detecta dominios recién registrados, infraestructura de hosting compartida y dominios con apariencia empresarial que el device fingerprinting no puede ver. Las dos capas son complementarias: diferentes estrategias de evasión, diferentes mecanismos de detección.
Un operador lo suficientemente sofisticado como para usar un dispositivo diferente para cada registro de múltiples cuentas ha resuelto el problema de huellas digitales pero no ha resuelto el problema del email. Todavía necesita direcciones de email para la verificación de cuentas, y la infraestructura que usa para generar esas direcciones deja señales a nivel de dominio.
La capa 2 de la inteligencia de dominio de email de cside detecta los casos obvios: Mailinator, Guerrilla Mail, Temp Mail, 10 Minute Mail y cientos de proveedores de email desechable similares se bloquean inmediatamente por coincidencia de dominio. Para los proveedores de correo temporal bien conocidos, esto es rápido y fiable.
El patrón más sofisticado son los dominios recién registrados. Un operador que registra appworklist.com dos días antes de que comience su campaña de multi-accounting pasará todas las verificaciones de blocklist. resolver-v2 lo detecta evaluando la antigüedad de registro WHOIS junto con la calidad de configuración DNS/MX/SPF/DMARC y la reputación ASN de hosting de la IP resuelta. Un dominio registrado hace 48 horas en un proveedor de hosting con mala reputación tiene un perfil de riesgo materialmente diferente al de un dominio registrado hace dos años con un proveedor de correo bien establecido, incluso si ambos pasan las verificaciones de formato y blocklist.
La capa Brontar maneja el terreno intermedio ambiguo: dominios que no son lo suficientemente recientes para que resolver-v2 los marque con confianza, pero que todavía no representan negocios reales en operación. Brontar realiza una búsqueda web en el dominio para evaluar si existe alguna presencia empresarial coherente, resuelve el dominio a su IP, realiza reverse DNS en esa IP para identificar dominios co-alojados y los correlaciona con el corpus de cside de infraestructura asociada al fraude. Un operador que registró su dominio hace tres meses pero no tiene presencia web y comparte un entorno de hosting con quince otros dominios registrados en la misma semana tiene un perfil muy diferente al de un negocio real.
El resultado operacional es que la inteligencia de dominio de email de cside detecta operadores de múltiples cuentas en el registro basándose en su infraestructura de email, incluso cuando sus señales de dispositivo parecen limpias. Combinada con el device fingerprinting, las dos capas cubren las estrategias de evasión más comunes: mismo dispositivo con diferente email (el fingerprinting lo detecta), diferente dispositivo con el mismo patrón de infraestructura de email (la inteligencia de email lo detecta).
Para los equipos que gestionan poblaciones de cuentas existentes, la combinación también permite análisis retroactivo: ejecutar las verificaciones de inteligencia de dominio de email contra las direcciones de email históricas en la base de datos de cuentas identifica grupos de cuentas que fueron creadas con las mismas señales de infraestructura de email, incluso si esas señales no fueron evaluadas en el momento del registro.
Qué significa esto para los equipos de fraude y crecimiento
Respuesta rápida: La detección de múltiples cuentas en cside opera en el registro y en las poblaciones de cuentas existentes. En el registro, la inteligencia de dominio de email y el fingerprinting en la capa del navegador evitan que se creen cuentas duplicadas. En las cuentas existentes, la correlación de huellas digitales de dispositivos identifica cuentas que ya han sido creadas desde el mismo hardware. Ambos resultados se alimentan en la misma señal de riesgo en la que el equipo de fraude ya actúa.
La detección en el momento del registro es la intervención de mayor apalancamiento. El momento adecuado para detener a un operador de múltiples cuentas es antes de que exista su segunda cuenta. Cada cuenta creada antes de la detección extiende el período durante el cual el operador puede extraer valor, y cada cuenta requiere trabajo de remediación posterior. Las señales de cside en el momento del registro, como la inteligencia de dominio de email y el fingerprinting de sesión del navegador, se ejecutan antes de que se complete la creación de la cuenta, dando al equipo de fraude la opción de bloquear o marcar el registro antes de que se acceda al valor.
La correlación entre cuentas aborda las cuentas que ya existen. En cualquier población de cuentas con datos históricos de registro, la correlación de huellas digitales de dispositivos entre cuentas creadas durante la misma ventana de tiempo identifica grupos de posibles operadores de múltiples cuentas. Esto es particularmente útil para plataformas que implementaron detección después de que ya había comenzado una campaña de multi-accounting: el análisis retroactivo identifica qué cuentas existentes revisar.
La pregunta de calibración de riesgo difiere significativamente entre fintech y SaaS. Una plataforma de fintech de consumo donde el multi-accounting genera pagos directos de bonificaciones tiene alta urgencia y baja tolerancia a falsos positivos. Una SaaS de herramientas para desarrolladores donde el farming de pruebas gratuitas retrasa la conversión pero no genera pérdidas directas tiene diferente urgencia y diferente tolerancia. El umbral de confianza de Brontar y el manejo de veredictos de baja confianza pueden ajustarse al perfil de riesgo específico de cada plataforma.
Para los equipos de crecimiento, la integración con la gestión de programas de referidos es particularmente relevante. La detección de fraude de referidos requiere las mismas señales que la detección de multi-accounting: la correlación de huellas digitales entre cuentas identifica bucles de auto-referido; la inteligencia de dominio de email identifica destinatarios de invitaciones de referidos que operan desde la misma infraestructura de email que el referidor. La detección en el paso de referido en lugar de después de pagar la recompensa es materialmente más barata operacionalmente.
En el monitoreo de huellas digitales entre cuentas de cside, el patrón de múltiples cuentas más consistente es la misma huella digital de dispositivo que aparece en registros que usan diferentes proveedores de email en dominios creados dentro de la misma ventana de 72 horas. La rotación de infraestructura de email es casi universal entre los operadores organizados; la rotación de hardware es rara. Esta asimetría es lo que hace que la correlación de huellas digitales entre cuentas sea la capa de detección de mayor señal para las campañas organizadas de multi-accounting, particularmente en los contextos de fintech y SaaS donde las reglas de velocidad ya han sido derrotadas.
La pregunta de gestión de falsos positivos es importante para plataformas donde se espera el uso de múltiples dispositivos. La correlación de huellas digitales de dispositivos de cside distingue entre un solo usuario en múltiples dispositivos (contexto de usuario consistente entre huellas digitales, misma ubicación geográfica, mismos patrones de sesión) y múltiples operadores en lo que se presenta como una sola cuenta (perfiles de dispositivo distintos, potencialmente diferentes ubicaciones geográficas, diferentes comportamientos de sesión). La salida de puntuación de confianza enruta los casos límite, como un hogar donde dos miembros de la familia comparten una suscripción, a una cola de revisión en lugar de a un bloqueo automático.
cside está certificado con SOC 2. La postura de seguridad completa está documentada en trust.cside.com.
