Cómo detectar navegadores anti-detección (Multilogin, GoLogin, Dolphin Anty)
Análisis técnico en profundidad de cómo funcionan los navegadores anti-detección, por qué se usan para el fraude y las técnicas de detección que los atrapan.
Los navegadores anti-detección son la herramienta de evasión más sofisticada del arsenal de un defraudador. A diferencia de las VPN o las cadenas de proxy, que solo enmascaran direcciones IP, los navegadores anti-detección crean identidades de dispositivo completamente nuevas: falsifican canvas, WebGL, fuentes, audio y docenas de otras señales de huella digital del navegador.
¿Qué son los navegadores anti-detección?
Los navegadores anti-detección son builds modificados de Chromium (o Firefox) diseñados para que cada perfil de navegador parezca un dispositivo completamente diferente. Se usan para gestionar múltiples cuentas en plataformas que aplican políticas de una cuenta por persona, para el fraude publicitario a través de múltiples cuentas de anuncios, para el fraude de marketing de afiliación y para el scraping web a gran escala.
Los tres actores dominantes de este mercado son Multilogin, GoLogin y Dolphin Anty.
Cómo funciona Multilogin
Multilogin es la opción de nivel empresarial. Incluye dos motores de navegador propios: Mimic (basado en Chromium) y Stealthfox (basado en Firefox). Cada perfil recibe una combinación única de ruido de canvas, parámetros de WebGL, listas de fuentes, resolución de pantalla, zona horaria, idioma y configuración de WebRTC.
La innovación clave de Multilogin es la inyección de ruido determinista. En lugar de añadir ruido aleatorio al renderizado de canvas (lo cual es en sí mismo un patrón detectable), Multilogin aplica una transformación consistente a cada perfil. El mismo perfil siempre produce el mismo hash de canvas, lo que hace que parezca un dispositivo real ante los sistemas de fingerprinting ingenuos.
Cómo funciona GoLogin
GoLogin apunta al segmento medio del mercado con su navegador Orbita. Es más económico que Multilogin y ofrece capacidades de falsificación similares: canvas, WebGL, fuentes, zona horaria, geolocalización e integración con proxy.
El enfoque de GoLogin para la falsificación de huellas digitales es menos sofisticado que el de Multilogin. El ruido de canvas tiende a ser más uniforme entre perfiles, y algunas combinaciones de parámetros de WebGL no corresponden a ningún hardware real. Esto crea oportunidades de detección.
Cómo funciona Dolphin Anty
Dolphin Anty domina el espacio del marketing de afiliación. Ofrece funciones de colaboración en equipo: los perfiles pueden compartirse entre miembros del equipo, lo cual es útil para las agencias que gestionan cientos de cuentas de anuncios.
Técnicas de detección
Análisis de inconsistencias de canvas
Los navegadores anti-detección falsifican la salida de canvas, pero la falsificación se delata mediante el análisis estadístico. Las GPU reales producen una salida de canvas con patrones de renderizado de subpíxeles consistentes que se correlacionan con el modelo de GPU declarado por WebGL. Los navegadores anti-detección inyectan ruido en la salida de canvas, pero el patrón de ruido no corresponde a lo que produciría ninguna GPU real.
Calculamos la entropía de Shannon de los vecindarios de píxeles y la comparamos con perfiles de renderizado de GPU conocidos. Una NVIDIA GeForce RTX 3060 real produce una salida de canvas con una firma de entropía específica. El navegador Mimic de Multilogin produce una salida de canvas con una entropía ligeramente superior debido a la inyección de ruido. Esta diferencia es pequeña —menos de 0.3 bits por vecindario de píxeles—, pero es consistente y medible.
Discrepancia de parámetros de WebGL
WebGL expone información detallada sobre la GPU: la cadena del fabricante, la cadena del renderizador, las extensiones soportadas, el tamaño máximo de textura y los formatos de precisión. Los navegadores anti-detección permiten a los usuarios seleccionar perfiles de GPU, pero las combinaciones no siempre tienen sentido. Un perfil que dice ser una Intel UHD 630 pero informa valores de tamaño máximo de textura que solo soportan las GPU de AMD es sospechoso. Mantenemos una base de datos de combinaciones de parámetros válidas para cada GPU importante lanzada en la última década.
Inconsistencias de propiedades del navigator
El objeto navigator informa propiedades que deberían ser internamente consistentes. hardwareConcurrency (núcleos de CPU), deviceMemory, platform y userAgent deberían contar todos una historia coherente sobre el dispositivo. Los navegadores anti-detección a veces crean combinaciones imposibles: un user agent de Windows con una plataforma Linux, o 32GB de memoria con 2 núcleos de CPU. Comprobamos 47 reglas de consistencia entre propiedades.
Anomalías en el renderizado de fuentes
El renderizado de fuentes está determinado por el sistema operativo, el motor de renderizado de fuentes y las fuentes disponibles. Los navegadores anti-detección pueden inyectar listas de fuentes personalizadas, pero no pueden replicar a la perfección cómo un sistema operativo diferente renderiza esas fuentes. Renderizamos glifos específicos y analizamos las dimensiones del bounding box, los anchos de avance y los pares de kerning. Una máquina Windows que renderiza texto produce métricas sutilmente distintas a las de un Mac, incluso con la misma fuente.
Análisis de tiempos
La falsificación de huellas digitales lleva tiempo. Cada llamada a una API falsificada añade una sobrecarga pequeña pero medible en comparación con la ejecución nativa. Medimos el tiempo de ejecución de 12 llamadas clave a APIs y las comparamos con los rangos esperados para el hardware declarado. En un dispositivo real, canvas.toDataURL() tarda entre 2 y 8ms. Con inyección de ruido, tarda entre 8 y 20ms.
Artefactos de frameworks de automatización
Muchos navegadores anti-detección dejan rastros de su infraestructura de automatización. Los builds personalizados de Chromium pueden exponer propiedades no estándar en los objetos navigator o window. Comprobamos más de 200 artefactos de automatización conocidos, incluidas trazas de CDP, propiedades específicas de Puppeteer y propiedades personalizadas inyectadas por el navegador Orbita de GoLogin.
La ventaja polimórfica
La lógica de detección en JavaScript estático es vulnerable a la ingeniería inversa. El script polimórfico de tracio.ai resuelve esto. Cada visitante recibe un JavaScript único: las mismas comprobaciones, pero con distintos nombres de variables, distintos órdenes de ejecución, distintas estructuras de código. Un proveedor de navegadores anti-detección tendría que revertir mediante ingeniería inversa cada variación, lo cual es económicamente inviable.
Ejemplo de respuesta de la API
Cuando tracio.ai detecta un navegador anti-detección, la respuesta de la API incluye señales específicas:
La señal antiDetectBrowser incluye la familia detectada (Multilogin, GoLogin o Dolphin Anty), la variante de motor específica y los indicadores que activaron la detección, como canvas_entropy_anomaly, webgl_param_mismatch y timing_deviation.
Recomendaciones
Si el multicuentas o el fraude de afiliación son un problema para su plataforma:
- Implemente huella digital del dispositivo en el registro, el inicio de sesión y los eventos clave de conversión
- Active la detección de navegadores anti-detección
- Use el Verdict Engine para automatizar las decisiones BLOCK y CHALLENGE
- Vigile las nuevas técnicas de evasión: el panorama anti-detección evoluciona cada mes
Empiece con el plan gratuito de tracio.ai
para ver cómo se ve su tráfico actual de navegadores anti-detección. A la mayoría de las plataformas les sorprende el volumen.