TL;DR
- La compartición de cuentas ocurre cuando los usuarios comparten voluntariamente sus credenciales de acceso con personas que no han pagado. Va desde el uso compartido casual en el hogar hasta la reventa de credenciales.
- La compartición de cuentas le cuesta a las plataformas de streaming miles de millones de dólares cada año y representa una oportunidad directa para que los productos SaaS recuperen ingresos.
- Una estrategia de defensa típica: MFA para dificultar los inicios de sesión simultáneos, límites de dispositivos y límites de sesiones simultáneas que bloquean múltiples sesiones activas.
- Los equipos usan una combinación de herramientas: los proveedores de fingerprinting (p. ej., cside) recopilan señales (viaje imposible, múltiples dispositivos) que activan mecanismos de defensa como un desafío de MFA (p. ej., Okta) o una pantalla de actualización dentro de la aplicación mediante código desarrollado internamente.
Qué es la compartición de cuentas
La compartición de cuentas ocurre cuando varias personas usan una única cuenta de pago, normalmente compartiendo credenciales de acceso. Es distinta del robo de cuentas, donde el acceso se obtiene sin el conocimiento del titular. En la compartición de cuentas, el titular es consciente de ello y la intención suele ser ahorrar dinero con una suscripción o servicio compartido.
La compartición de cuentas adopta muchas formas, desde las más inocentes hasta las más organizadas:
- Compartición en el hogar: familia, parejas, compañeros de piso. La forma más extendida. Netflix estimó que 100 millones de hogares compartían contraseñas antes de que aplicaran restricciones en 2023.
- Compartición en el trabajo: equipos que comparten un único inicio de sesión de SaaS entre varias personas para evitar los costes por puesto. La contraseña vive en un canal de Slack o en un documento compartido. A menudo no es intencionado, pero viola los términos de licencia y supone una pérdida de ingresos para las empresas.
- Mercados de compartición de cuentas: un vector comercial en crecimiento. Sitios web como Sharesub y Spliiit permiten a los titulares de cuentas compartir su acceso a cambio de dinero en un mercado. Aunque la intención de la mayoría de los usuarios es ahorrar unos euros en su presupuesto, esto abre la puerta al robo fraudulento de credenciales y a la compartición abusiva de cuentas.
Métodos probados para prevenir la compartición de cuentas
| Método | Cómo funciona | Limitación principal |
|---|---|---|
| MFA | Añade un segundo paso de verificación al iniciar sesión (SMS, aplicación de autenticación, correo electrónico). | No impide la compartición en dispositivos ya autenticados. |
| Monitorización de sesiones simultáneas | Rastrea las sesiones activas simultáneas por cuenta. | Los usuarios legítimos en múltiples dispositivos o pestañas pueden generar falsos positivos. |
| Límites de dispositivos | Limita el número de dispositivos reconocidos por cuenta en una ventana de tiempo (p. ej., 30 días). | Una sola persona con varios dispositivos puede alcanzar el límite. |
| Fingerprinting o ID de visitante | Recopila decenas de señales de navegador, dispositivo y comportamiento para crear un ID de visitante persistente. | Los navegadores orientados a la privacidad y las herramientas anti-detección pueden interferir con la recopilación de señales. |
| Restricciones basadas en IP | Marca las cuentas a las que se accede desde demasiadas direcciones IP distintas. | Las VPN, las IP dinámicas y el roaming móvil hacen que las señales de IP sean ruidosas y poco fiables. |
1. MFA (Autenticación Multifactor)
- El MFA añade un segundo paso de verificación (código SMS, aplicación de autenticación, enlace por correo electrónico) al iniciar sesión. Disuade de forma natural la compartición porque el titular de la cuenta debe intervenir cada vez que alguien inicia sesión. Es especialmente eficaz en entornos empresariales donde SSO + MFA puede reemplazar por completo la necesidad de credenciales compartidas.
- Limitaciones: Si el titular de la cuenta completa el MFA una vez en el dispositivo de un amigo, esa sesión puede persistir. Un MFA excesivo también añade fricción al usuario legítimo en cada nuevo inicio de sesión.
2. Monitorización de sesiones simultáneas
- La monitorización de sesiones simultáneas rastrea el número de sesiones activas al mismo tiempo en la misma cuenta. Demasiadas sesiones activas en una cuenta puede indicar compartición. Piensa en servicios de streaming como Netflix y Disney+, que limitan el acceso simultáneo según el nivel del plan.
- Cómo implementar la monitorización de sesiones simultáneas: La mayoría de los equipos lo construyen ellos mismos. Una configuración típica: almacena las sesiones activas en el servidor (p. ej., Redis), indexadas por ID de usuario. En cada nuevo inicio de sesión, tu backend comprueba cuántas sesiones están activas. Si el recuento supera el límite, cierra la más antigua o lanza un desafío de MFA. Plataformas de autenticación como Auth0 o Firebase ofrecen algunas funciones de gestión de sesiones, pero la lógica de umbrales y la respuesta de UX suelen ser lo suficientemente específicas del producto como para que el código personalizado sea la mejor opción.
- La monitorización de sesiones simultáneas es diferente de los límites de dispositivos. Rastrea cuántas sesiones están activas al mismo tiempo, no cuántos dispositivos tienen acceso.
Una nota práctica sobre los umbrales: no establezcas el límite en uno. Un único usuario puede tener una sesión abierta en su portátil, su teléfono y una pestaña del navegador sin cerrar. Detectar sesiones simultáneas de forma repetida o en combinación con otras señales (distintas ubicaciones) es un indicador mucho más sólido.
3. Límites de dispositivos
- Rastrea los IDs de dispositivos únicos por cuenta. Establece un número máximo de dispositivos reconocidos por cuenta. Permite un número configurable (por ejemplo, 3 dispositivos en una ventana de 30 días). Cuando se alcanza el límite, exige al usuario que elimine un dispositivo antes de añadir uno nuevo, o activa un desafío de verificación.
- Cómo implementar los límites de dispositivos: Necesitarás una herramienta de fingerprinting que devuelva un ID de dispositivo persistente. Tu backend almacena y rastrea esos IDs por cuenta, comprobando el recuento en cada inicio de sesión. Luego integras esas señales en mecanismos de respuesta como un desafío de verificación a través de tu herramienta de MFA o una pantalla de "gestiona tus dispositivos" en tu aplicación.
4. Señales de fingerprinting
- El fingerprinting de navegador y dispositivo recopila decenas de señales (resolución de pantalla, sistema operativo, VPN/proxy, fuentes, zona horaria, etc.) y las resuelve en un ID de visitante persistente. Este ID se mantiene entre sesiones, en modo incógnito, con el almacenamiento borrado y con uso de VPN.
- Ciertas combinaciones de estas señales en bruto indican que se está produciendo una compartición de cuentas. Por ejemplo: viaje imposible (la misma cuenta en dos ciudades a 5.000 km de distancia en menos de una hora sin uso de VPN), anomalías de múltiples dispositivos (este usuario normalmente accede desde dos dispositivos de confianza y de repente añade 3 nuevos en una semana) y señales de comportamiento.
- Cuando se detectan patrones sospechosos, los equipos pueden desafiar el inicio de sesión (verificación escalonada) o bloquear la sesión por completo.
El fingerprinting es la base que hace más precisos los límites de dispositivos y las comprobaciones de sesiones simultáneas. La mayoría de las empresas se apoyan en el fingerprinting para combatir la compartición abusiva de cuentas en paralelo con otros vectores de fraude como el robo de cuentas, el multi-accounting y la actividad de bots.
Las restricciones basadas en IP se quedan cortas para la compartición de cuentas
La detección basada en IP (marcar cuentas a las que se accede desde demasiadas direcciones IP distintas) fue uno de los primeros enfoques para resolver este problema, pero tiene debilidades significativas.
- Los actores maliciosos y los usuarios legítimos inician sesión a través de VPN o proxies que enmascaran su IP y ubicación reales.
- Los usuarios legítimos generan falsos positivos al iniciar sesión desde el trabajo, casa, redes móviles y mientras viajan.
Se necesitan señales más avanzadas. La detección más eficaz combina datos de IP con huellas de dispositivo, señales de comportamiento y geolocalización, ya que ninguna señal individual debe ser el único factor de decisión.
Cómo los equipos acceden a las señales que detectan la compartición de cuentas
Hay dos caminos bien trazados aquí. El primero: comprar una suite antifraude completa como Sift o Forter. Son completas pero caras, las configuraciones no siempre son flexibles y acabas pagando por muchas capacidades que no tienen nada que ver con la compartición de cuentas.
El segundo camino: conectar señales de fingerprinting en bruto de una herramienta como cside o Castle a tu stack de fraude. Los IDs de dispositivos, la geolocalización, la detección de VPN y los datos de comportamiento se entregan a través de una API o webhook. Tu equipo conecta esas señales a herramientas de MFA, gestión de sesiones, flujos de UX dentro de la aplicación, lógica de sesión o cualquier pipeline que se adapte a tu objetivo. Este camino ofrece más control y flexibilidad. Los proveedores de fingerprinting suelen tener combinaciones curadas que alertan de inmediato sobre una posible compartición de cuentas de forma predeterminada.
Compartición de cuentas vs. robo de cuentas
La compartición de cuentas y el robo de cuentas se apoyan en señales de detección similares, pero son problemas fundamentalmente distintos.
- Compartición de cuentas = voluntaria. El titular de la cuenta entrega sus credenciales a otra persona y ambas partes saben lo que está ocurriendo.
- Robo de cuentas = no autorizado. Un atacante obtiene acceso sin el conocimiento del propietario, normalmente mediante phishing, relleno de credenciales o secuestro de sesión.
Esta distinción importa para la detección: muchas de las mismas señales (nuevo dispositivo, nueva ubicación, patrones de sesión inusuales) aparecen en ambos escenarios. Pero la respuesta debe ser completamente diferente. La compartición de cuentas requiere un prompt de actualización, mientras que el robo de cuentas requiere la terminación de la sesión, el restablecimiento de credenciales y una alerta de seguridad.
El robo de cuentas le costó a los consumidores 15.600 millones de dólares en 2024. Para un análisis más profundo sobre la prevención del robo de cuentas específicamente, consulta nuestra guía para detener el fraude por robo de cuentas.
Herramientas populares para la prevención de la compartición de cuentas
<thead>
<tr>
<th>Categoría de herramienta de prevención de compartición de cuentas</th>
<th>Ejemplos</th>
<th>Qué hace</th>
<th>Relación con los métodos de prevención</th>
</tr>
</thead>
<tbody>
<tr>
<td>MFA / Proveedores de identidad</td>
<td>Okta, Auth0, Duo</td>
<td>
Capa de autenticación que requiere verificación adicional mediante SMS,
correo electrónico o aplicaciones de autenticación.
</td>
<td>
Impulsa la aplicación de MFA: verificación escalonada, prompts de segundo factor en
nuevos dispositivos y controles de política SSO.
</td>
</tr>
<tr>
<td>Herramientas de fingerprinting</td>
<td>cside, Rupt, Castle</td>
<td>
Proporciona señales en bruto como IDs de dispositivos, geolocalización, detección de VPN/proxy
y datos de comportamiento a través de APIs o webhooks.
</td>
<td>
Alimenta los datos que activan mecanismos de defensa como límites de dispositivos, detección de
viaje imposible y aplicación consciente de VPN.
</td>
</tr>
<tr>
<td>Suites antifraude completas</td>
<td>Sift, Forter</td>
<td>
Plataformas llave en mano que agrupan la detección y aplicación de compartición de cuentas
junto con otros flujos de trabajo antifraude.
</td>
<td>
Combina múltiples métodos de detección con reglas preconfiguradas. Completas
pero a menudo más caras y menos flexibles.
</td>
</tr>
<tr>
<td>Gestión de sesiones / código interno</td>
<td>Desarrollo interno</td>
<td>
Rastrea las sesiones activas por cuenta, aplica límites y fuerza
la reautenticación cuando se superan los umbrales.
</td>
<td>
Implementa la monitorización de sesiones simultáneas, la invalidación de sesiones, los prompts de UX
y los flujos de actualización para recuperar ingresos.
</td>
</tr>
</tbody>
</table>
La mayoría de los equipos usan una combinación de herramientas en lugar de depender de una única solución. El stack adecuado depende de tu presupuesto y del nivel de control que quieras sobre la lógica de detección.
Tipos de herramientas de prevención de compartición de cuentas
- MFA / Proveedores de identidad → Okta, Auth0, Duo. Son tu capa de autenticación. No detectan la compartición de cuentas directamente, pero añaden fricción que la disuade. En el contexto de los métodos descritos anteriormente, estas herramientas impulsan la aplicación de MFA (verificación escalonada, políticas SSO) cuando son activadas por las señales que monitorizas.
- Plataformas de fingerprinting / inteligencia de dispositivos → cside, Fingerprint, Rupt. Te proporcionan las señales en bruto: IDs de dispositivos, geolocalización, detección de VPN/proxy, datos de comportamiento. Las señales son accesibles a través de una API o webhooks, para que puedas incorporarlas a tus flujos de trabajo antifraude o usar detección preconfigurada. Estas plataformas hacen posibles los límites de dispositivos, la detección de viaje imposible y la aplicación consciente de VPN.
- Suites antifraude completas → Sift, Forter, Riskified. A menudo combinan múltiples métodos de detección (fingerprinting, análisis de sesiones, señales de comportamiento) en una única plataforma con reglas preconfiguradas. Completas, pero caras y menos flexibles, lo que hace más difícil evitar falsos positivos mediante ajustes informados por el producto.
- Gestión de sesiones / código interno → El rastreo personalizado de sesiones simultáneas se integra en tu capa de autenticación. Muchos equipos lo construyen ellos mismos porque la lógica es sencilla: rastrear las sesiones activas por cuenta, aplicar límites y forzar la reautenticación cuando se superan.
Por qué la compartición de cuentas es un problema para las empresas
Ingresos perdidos que pueden recuperarse de inmediato
- La aplicación de restricciones a la compartición de cuentas es un camino directo hacia ingresos netos nuevos con un coste de adquisición mínimo. Los usuarios de cuentas compartidas ya están en tu producto. Ya han completado el onboarding. Lo único que falta es el pago.
- Para SaaS: incluso tasas de conversión conservadoras (del 10 al 20% de los usuarios que comparten convirtiéndose en clientes de pago) representan una recuperación significativa de ARR.
La mayoría de las cifras públicas sobre la prevención de la compartición de cuentas provienen de empresas de streaming de medios. Un estudio de investigación de Cord Cutting estimó que las plataformas de streaming perdieron 2.300 millones de dólares en 2022 debido a la compartición de contraseñas.
Netflix tomó medidas drásticas contra la compartición de cuentas en 2023. Aunque la decisión generó críticas, resultó en un aumento (de millones) de nuevos suscriptores y un crecimiento de ingresos que superó las expectativas de los analistas. Disney+ y Hulu siguieron poco después.
Riesgo de seguridad de la compartición de cuentas
- Las credenciales compartidas son inherentemente más débiles: se eligen para ser fáciles de recordar y se almacenan en canales de baja seguridad (correos electrónicos, mensajes de texto, Slack, documentos compartidos).
- Las cuentas compartidas destruyen el rastro de auditoría. Cuando varias personas usan un mismo inicio de sesión, no puedes atribuir las acciones a usuarios individuales. Esto se convierte en un problema de cumplimiento enorme.
- El canal de compartición también es un canal de vulnerabilidad: si una credencial vive en un Google Doc compartido entre cinco personas, ¿qué tan lejos está de quedar expuesta a alguien que no debería tenerla y que puede revender las credenciales en la dark web?
Cómo afecta la compartición de cuentas a industrias específicas
SaaS (compartición de puestos)
- Los precios por puesto crean un incentivo directo para compartir. Los equipos comparten un único inicio de sesión para evitar pagar puestos adicionales, especialmente en herramientas caras donde no todos necesitan acceso diario.
Streaming (compartición de suscripciones)
- El problema de compartición de cuentas de mayor perfil público. Netflix estimó que más de 100 millones de hogares compartían contraseñas antes de sus medidas de 2023. La compartición está normalizada en el streaming y la mayoría de los usuarios no la considera una infracción.
Contenido de pago (compartición de cuentas)
- Los sitios de noticias, las plataformas de investigación y los editores de contenido premium se enfrentan a una compartición que socava directamente el modelo de suscripción.
Sitios de membresía (compartición de membresías)
- Las comunidades en línea, las redes profesionales y las plataformas de membresía premium (especialmente aquellas con costes de membresía elevados) pierden ingresos y visibilidad por la compartición de cuentas. El acceso compartido también distorsiona las métricas de engagement y los datos de audiencia.
Software educativo
- Los estudiantes comparten frecuentemente licencias de plataformas de aprendizaje, herramientas de preparación para exámenes y acceso a cursos en línea, a menudo impulsados por la sensibilidad al coste. En educación, la compartición de cuentas crea un problema más allá de la pérdida de ingresos: el fraude académico. Una credencial compartida puede dar a varios estudiantes acceso a evaluaciones calificadas y materiales de preparación.
Por qué el fingerprinting es crucial para reducir la compartición de cuentas
El fingerprinting es la capa de detección de la que dependen muchos métodos de prevención de la compartición de cuentas. Un script ligero recopila señales de navegador, dispositivo y comportamiento en cada carga de página y las resuelve en un ID de visitante persistente sin cookies ni fricción para el usuario.
- Identifica visitantes únicos: combina decenas de señales (resolución de pantalla, sistema operativo, GPU, fuentes, zona horaria, datos de red) en un único ID que se mantiene entre sesiones, en modo incógnito y con uso de VPN.
- Detecta patrones de compartición: marca el viaje imposible, la acumulación rápida de dispositivos y el uso malicioso de VPN/proxy en la misma cuenta.
- Activa mecanismos de defensa: alimenta señales a tu motor de reglas, herramientas de MFA o gestión de sesiones para desafiar un inicio de sesión o mostrar una pantalla de gestión de dispositivos cuando se sospecha compartición.
- Funciona de forma pasiva: las señales se recopilan durante las cargas de página normales. No se requieren pop-ups ni banners de consentimiento de cookies. Los usuarios legítimos nunca saben que está ahí.
Por qué usar cside Fingerprinting para reducir la compartición de cuentas
cside recopila más de 102 señales de navegador, dispositivo y comportamiento a través de un script ligero. El resultado es un ID de visitante persistente que se mantiene entre sesiones, en modo incógnito, con el almacenamiento borrado y con VPN.
- Señales en bruto a través de API o webhooks: incorpora IDs de dispositivos, geolocalización, detección de VPN/proxy, viaje imposible y datos de velocidad a tus herramientas de MFA o lógica de gestión de sesiones para gestionar la compartición de cuentas sospechosa.
- Cobertura de múltiples vectores de fraude: el script de cside también te ayuda a detectar robo de cuentas, multi-accounting, fraude de contracargo por uso indebido de primera parte y otros vectores de fraude sin configuración adicional.
- Detección de bots con IA: los navegadores headless stealth han dificultado la detección mediante fingerprinting. cside utiliza señales avanzadas para mantener una alta precisión.
- Sin fricción de UX y respetuoso con la privacidad: la recopilación es pasiva. No se requieren banners de consentimiento ni pop-ups. El fingerprinting es válido bajo el RGPD para seguridad/prevención del fraude.
- Amigable para desarrolladores: la configuración puede completarse en un día. El nivel gratuito incluye 1.000 llamadas a la API por mes, con planes de pago desde 20 $/mes.
Guía de respuesta cuando sospechas de compartición de cuentas
La forma en que respondes a la compartición de cuentas sospechosa determina si recuperas ingresos o pierdes un cliente. El objetivo es que no parezca un castigo. Empieza de forma suave y aumenta la fricción gradualmente.
1. Avisos suaves y prompts de actualización
- Empieza con una oferta, no con una advertencia. Cuando se detecta actividad en múltiples dispositivos, muestra al usuario: "Parece que esta cuenta se está usando en varios dispositivos. Añade un miembro del equipo por X $/mes."
2. Desafíos de verificación
- Cuando se detecta un dispositivo nuevo o sospechoso, exige verificación por correo electrónico o SMS antes de conceder acceso.
3. Límites de sesión y reautenticación forzada
- Aplica límites de sesiones simultáneas vinculados al nivel del plan. Cuando se supera el límite, fuerza el cierre de sesión de la más antigua o exige reautenticación.
4. Bloqueos totales (usar con moderación)
- Reserva los bloqueos totales para abusos claros, como la reventa comercial.
Enmarca la restricción como una medida de seguridad al comunicarla a los clientes. Podría ser un mensaje como:
"Hemos detectado actividad inusual en tu cuenta y hemos restringido temporalmente el acceso para proteger tus datos. Por favor, contacta con soporte o vuelve a verificar tu identidad para recuperar el acceso."
Consideraciones estratégicas al aplicar la prevención de compartición de cuentas
Reducir la fricción de UX
- Define qué es "compartición excesiva de cuentas": antes de aplicar cualquier medida, define tus umbrales. ¿Cuántos dispositivos son normales para tu producto? Un servicio de streaming y una herramienta SaaS B2B tienen líneas base muy diferentes. Un CRM o una herramienta de marketing puede permitir cierta compartición de cuentas ya que promueve la colaboración entre equipos y abre la puerta a futuras ventas adicionales.
- Comunica los límites con antelación: deja claras las políticas de precios y compartición antes de que el cliente compre. El lugar obvio para esto es en las páginas de precios y facturación.
Fuentes comunes de falsos positivos en la compartición de cuentas
No toda señal de múltiples dispositivos indica compartición de cuentas. Los falsos positivos habituales incluyen:
- Uso legítimo en múltiples dispositivos (portátil de trabajo, teléfono personal, tablet, smart TV: eso es una sola persona en cuatro dispositivos).
- Viajes que activan alertas de ubicación inusual.
- Uso de VPN por privacidad y no por evasión.
- Sustitución de dispositivos que activa la detección de "nuevo dispositivo".
- La detección basada en IP generará un alto número de falsos positivos ya que los usuarios pueden cambiar de ubicación o estar en redes domésticas donde las direcciones IP son ruidosas.
La mitigación es sencilla: combina señales en lugar de actuar sobre una sola. Un nuevo dispositivo por sí solo no es compartición. Un nuevo dispositivo más una nueva ubicación más una sesión simultánea con un dispositivo existente es una señal mucho más sólida.
Ejemplos reales de compartición de cuentas
Ejemplo público:
- La medida de Netflix contra la compartición de contraseñas es la aplicación de restricciones de compartición de cuentas a mayor escala de la historia. Antes de las medidas de mayo de 2023, Netflix estimaba que más de 100 millones de hogares usaban credenciales compartidas. La reacción inicial fue de rechazo y amenazas de cancelación. Los resultados reales: 50 millones de nuevos suscriptores para el cuarto trimestre de 2024 y un beneficio neto que aumentó un 79% hasta los 2.300 millones de dólares. Disney+, Hulu y Max siguieron con sus propias medidas al año siguiente.
Análisis de caso de uso: plataforma de licencias B2B
Este ejemplo analiza a un cliente de cside que se acercó a nosotros para reducir la compartición de cuentas en su plataforma. Los nombres de la empresa y el producto han sido anonimizados.
- El desafío: una herramienta de base de datos de estándares de políticas que vende licencias digitales en múltiples aplicaciones SaaS sabía que se estaba produciendo compartición de cuentas pero no tenía una forma fiable de detectarla. El reconocimiento de dispositivos integrado en su proveedor de SSO era inconsistente. El mismo dispositivo era marcado como "nuevo" de forma impredecible, lo que hacía imposible aplicar límites de sesión.
- El plan de solución: implementar fingerprinting de dispositivos que genere IDs de visitante persistentes a partir de señales de dispositivo, navegador y comportamiento. Estas incluyen IP, ubicación, características de hardware, características del navegador y más.
- El resultado: la huella se integra en el flujo de autenticación al iniciar sesión. Cuando el ID del dispositivo coincide con un ID almacenado, se concede el acceso. Si se detecta un número excesivo de nuevos dispositivos o sesiones simultáneas, el sistema marca, desafía o bloquea el inicio de sesión.
Este proyecto de compartición de cuentas, liderado por el VP de ingeniería, se inspiró en el modelo de aplicación de Netflix: los usuarios tienen dos sesiones activas permitidas y dos dispositivos permitidos. Un tercero significa que uno de los otros es expulsado.
Previene la compartición de cuentas con cside
cside proporciona a tu equipo las señales de fingerprinting necesarias para detectar y actuar ante la compartición de cuentas. Añade un script ligero a tu sitio web para empezar a recopilar datos de inmediato. Recibe alertas instantáneas de compartición de cuentas sospechosa con nuestras combinaciones de señales de alto riesgo preconfiguradas.
Para empezar con cside, regístrate o reserva una demo.
