Anatomía de un ataque de multicuentas: caso práctico en una plataforma de iGaming
Un operador, 217 cuentas, $84,000 en abuso de bonos. Cómo se construye realmente el multicuentas profesional, y las 11 señales correlacionadas que colapsaron todo el clúster en un único defraudador.
El multicuentas en iGaming no es un puñado de personas abriendo cuentas de más. Son operaciones profesionales que ejecutan cientos de identidades sintéticas contra una sola plataforma, extrayendo bonos de bienvenida, cashback y pagos promocionales.
La economía funciona porque el coste marginal de una cuenta nueva es casi cero —email, número de teléfono desechable, documentos de identidad robados o sintetizados— y el pago marginal por cuenta es dinero real. A $50-200 por cuenta en valor extraído, 200 cuentas contra un operador son unos ingresos a tiempo completo.
Este es el desglose de un patrón de ataque real observado contra operadores europeos de iGaming en 2025. Los nombres y los detalles concretos están anonimizados. Las técnicas están vigentes.
La preparación: la infraestructura en la que invierte el defraudador
Un multicuentas serio opera una pequeña infraestructura:
-
Una suscripción a proxies residenciales —típicamente 911.re, IPRoyal o Smartproxy— que proporciona IPs rotativas en docenas de países. Coste: $50-200 al mes.
-
Un navegador anti-detección: Multilogin, Dolphin Anty, GoLogin, Kameleo o AdsPower. Cada una de estas herramientas ejecuta perfiles de navegador aislados con huellas configuradas de forma independiente. Coste: $50-150 al mes.
-
Un suministro de identidades envejecidas, ya sea compradas en foros (paquetes de email verificado + teléfono + escaneo de documento) o generadas. Coste: $5-30 por identidad.
-
Infraestructura de pagos: tarjetas prepago, monederos de criptomonedas o mulas de dinero para recibir las ganancias sin rastros de cuenta unificados.
Gasto mensual total: $200-500. Con $84,000 en valor extraído a lo largo de 6 meses, el ROI es de 20-30x.
El ciclo de vida de una cuenta fraudulenta
Cada cuenta sintética sigue un patrón similar:
1. Se crea un perfil del navegador anti-detección con una huella nueva (canvas, WebGL, zona horaria, idioma, resolución de pantalla).
2. Se asigna un proxy residencial, típicamente de un país que coincide con los documentos de identidad.
3. Se completa el registro con una identidad envejecida: email, verificación telefónica mediante un servicio de reenvío de SMS, subida del documento de identidad robado o generado.
4. El KYC pasa, porque los documentos de identidad son reales (robados) o falsificados profesionalmente.
5. Se realiza un depósito pequeño —a menudo $10-30— para activar el bono de bienvenida.
6. El bono se juega con selecciones de juego concretas que maximizan el valor esperado frente al requisito de apuesta.
7. Las ganancias se retiran al método de pago vinculado a la identidad.
8. La cuenta se abandona o se vende.
El ciclo completo tarda 2-7 días. Un operador profesional gestiona 20-40 cuentas a la vez en distintos estados de este pipeline.
Lo que veía el operador
El equipo de fraude de la plataforma de iGaming detectó anomalías en el segundo trimestre:
-
La ratio de pago de bonos en cuentas nuevas subió del 47% al 63% de un trimestre a otro.
-
Los contracargos se mantuvieron bajos, lo que significaba que no eran tarjetas robadas. El fraude era estructural, no transaccional.
-
Aumentaron los tickets de soporte de jugadores recurrentes que no reconocían el historial de su propia cuenta.
El equipo sospechaba de multicuentas pero no tenía las herramientas para demostrarlo a escala. Cada cuenta, vista de forma aislada, parecía legítima. Nombres distintos, IPs distintas, huellas distintas, documentos distintos.
Lo que las señales mostraron en realidad
Cuando las señales de inteligencia de dispositivos se aplicaron retroactivamente a la población de cuentas, 217 cuentas colapsaron en un único operador. Esto es lo que las unía.
Señal 1. Reutilización de la huella de TLS
Pese a IPs distintas y huellas de navegador distintas, las 217 cuentas compartían solo 3 hashes JA4 únicos. La huella de TLS la genera la librería cliente, y aunque el navegador anti-detección podía falsear canvas y WebGL, usaba una única build de Chromium subyacente para los handshakes de TLS. Los tres hashes JA4 correspondían a tres versiones del navegador anti-detección por las que el operador fue actualizando.
Señal 2. Temporización del comportamiento entre sesiones
Las 217 cuentas tenían horas de registro agrupadas en ventanas estrechas: mayoritariamente de 09:00 a 11:00 UTC en días laborables. Los jugadores reales se registran a lo largo de todo el ciclo de 24 horas. El horario laboral humano en una sola zona horaria delató al operador con independencia de la zona horaria que afirmara cada perfil falso.
Señal 3. Patrones de juego con el bono
La estrategia de apuesta entre las cuentas era casi idéntica: la misma selección de juegos (slots concretas de baja varianza), el mismo tamaño de apuesta en relación con el bono, la misma duración de sesión antes de la solicitud de retirada. Los jugadores reales tienen preferencias enormemente variadas. La uniformidad estadística entre cuentas solo es posible con un script o un manual de instrucciones.
Señal 4. Micropatrones de movimiento del ratón
Los navegadores anti-detección falsean las huellas visuales, pero no falsean cómo se mueve un humano a lo largo de una sesión. Las trazas de ratón de las 217 cuentas tenían características compartidas: curvas de Bézier con perfiles de aceleración consistentes, patrones concretos de retorno a las mismas coordenadas antes de los clics. Todas producidas por la automatización del operador.
Señal 5. Agrupación de los destinos de pago
Pese a los nombres distintos en las cuentas, las retiradas se canalizaban a través de 8 monederos de criptomonedas únicos. La reutilización de monederos entre cuentas sin relación es una de las señales más fuertes disponibles y no requiere ninguna detección a nivel de dispositivo.
Señal 6. Inconsistencias en la enumeración de fuentes
El navegador anti-detección falsea las listas de fuentes, pero solo a partir de una biblioteca predefinida. Las 217 cuentas reportaban enumeraciones de fuentes procedentes de un fondo limitado de 5 plantillas. Los usuarios reales tienen combinaciones únicas de fuentes instaladas. Las plantillas quedaron al descubierto porque su diversidad era demasiado baja.
Señal 7. Agrupación de los renderizadores de WebGL
El navegador anti-detección rota las cadenas de GPU, pero desde un conjunto fijo: típicamente las 20-30 GPUs de consumo más comunes. En las 217 cuentas, las cadenas de GPU aparecían con una distribución inverosímil: fuerte sobrerrepresentación de modelos concretos de Intel y NVIDIA, sin ninguna presencia de hardware AMD. Las poblaciones de usuarios reales tienen una distribución de GPUs más amplia.
Señal 8. Resoluciones de pantalla no estándar
Los navegadores anti-detección generan dimensiones de pantalla, pero a menudo con resoluciones no estándar para parecer únicos. Las pantallas reales son 1366×768, 1920×1080, 2560×1440, 3840×2160 o un puñado de tamaños de portátil. Las 217 cuentas incluían dimensiones como 1892×1063 que ninguna pantalla real utiliza.
Señal 9. Solapamiento de sesiones entre cuentas
Dos cuentas iniciaron sesión desde la misma IP con milisegundos de diferencia, pero desde perfiles anti-detección distintos. Los registros de sesión revelaron que cuando una cuenta cerraba sesión, otra la iniciaba en cuestión de segundos, desde una IP diferente pero con características de conexión detectables que las vinculaban. El pool de proxies rotaba, pero las acciones del operador no.
Señal 10. Correlación del origen de los depósitos
Los depósitos en criptomonedas a las cuentas procedían de 12 monederos de origen. El análisis de blockchain mostró que esos 12 monederos recibían fondos de una única cuenta de exchange aguas arriba. El análisis de seguimiento del dinero vinculó todo el clúster.
Señal 11. Patrones lingüísticos en los tickets de soporte
Algunas de las cuentas abrieron tickets de soporte a lo largo de los 6 meses. Los patrones de lenguaje —formulaciones concretas, peculiaridades gramaticales, las mismas palabras mal escritas— se repetían entre cuentas registradas en países y con configuraciones de idioma diferentes.
Por qué las señales aisladas fallan
Cualquiera de estas señales por separado podría ser una coincidencia. Dos cuentas con la misma huella de TLS podrían ser dos usuarios con la misma versión de Chrome. Dos cuentas con trazas de ratón similares podrían ser dos jugadores que hacen clic de forma parecida. Dos retiradas al mismo monedero podrían ser un monedero familiar compartido.
La fuerza está en la combinación. Cuando 217 cuentas comparten huellas de TLS, monederos de destino, plantillas de fuentes, resoluciones de pantalla, patrones de ratón y temporización de comportamiento, la probabilidad de independencia colapsa a cero.
Qué hizo la plataforma
Tras el análisis retroactivo, la plataforma implementó una puntuación en tiempo real en la creación de cuentas. Cada cuenta nueva recibía una puntuación de similitud frente a las cuentas existentes basada en las 11 señales más otras 40. Por encima del umbral, las cuentas se marcaban para revisión manual antes de optar al bono. Por debajo del umbral, las cuentas continuaban con normalidad.
En 60 días, la ratio de abuso de bonos volvió a su nivel base. El operador o bien se trasladó a otra plataforma o bien invirtió bastante más en su infraestructura: cualquiera de los dos desenlaces era una victoria.
El patrón se generaliza
Las herramientas concretas cambian. Las señales evolucionan. Pero la dinámica subyacente —operadores de fraude profesionales construyendo infraestructura para extraer valor de programas de adquisición generosos— es estable en iGaming, exchanges de criptomonedas, fintech cargadas de promociones y cualquier plataforma que pague por la adquisición de usuarios.
La única defensa que funciona es la correlación de señales a nivel de plataforma. Las defensas perimetrales (bloqueos de IP, bloqueos de dispositivo, reglas de cuenta única) fallan porque los operadores optimizan para sortearlas. La correlación de señales tiene éxito porque los operadores no pueden aleatorizarlo todo a bajo coste: el coste de la verdadera independencia por cuenta supera el pago por cuenta.
Esa brecha es lo que hace que la detección de multicuentas sea económicamente viable. Y es también lo que la convierte en un juego que el defensor puede ganar.