Detección de multicuentas en gaming y SaaS
Cuando una sola persona crea decenas de cuentas, la detección tradicional falla. La huella digital de dispositivos revela el hardware que hay detrás de las cuentas.
Las multicuentas son uno de los patrones de fraude más comunes en las plataformas de gaming, SaaS y marketplaces. Los usuarios crean varias cuentas para abusar de las pruebas gratuitas, manipular rankings, eludir bans o acumular ofertas promocionales. La detección tradicional se basa en la correspondencia por email o IP, que se elude con trivialidad usando emails desechables y VPN.
La conexión del dispositivo
La identificación de dispositivos cambia la ecuación. Cuando un usuario crea la Cuenta A en el Dispositivo X, registramos la huella digital del dispositivo. Cuando el mismo dispositivo crea la Cuenta B —incluso con un email, una IP, una VPN y un perfil de navegador distintos—, la coincidencia de la huella expone la conexión. El dispositivo es la constante que los usuarios no pueden cambiar con facilidad.
Nuestra correspondencia entre sesiones funciona porque la arquitectura de identificación multinivel de tracio.ai separa las señales de hardware (GPU, pantalla, audio) de las señales de software (fuentes, plugins, user agent). Las señales de hardware son extremadamente difíciles de falsificar sin cambios físicos en el hardware. Incluso cuando los usuarios instalan navegadores distintos o utilizan máquinas virtuales, la cadena del renderizador de la GPU subyacente, la salida del renderizado de canvas y las características del procesamiento de audio se mantienen constantes.
Patrones de detección del mundo real
Patrón 1: Abuso de pruebas gratuitas
Una plataforma SaaS ofrece pruebas gratuitas de 14 días. Un usuario se registra, usa la prueba y, cuando expira, crea una cuenta nueva con un email distinto. tracio.ai detecta que ambas cuentas se originan en el mismo dispositivo. La plataforma puede entonces aplicar una política de «una prueba por dispositivo» sin afectar a los usuarios legítimos.
Patrón 2: Cuentas smurf en gaming
Las plataformas de gaming competitivo se enfrentan al «smurfing»: jugadores expertos que crean cuentas nuevas para jugar contra principiantes. tracio.ai identifica cuándo se crea una cuenta nueva en un dispositivo que ya tiene una cuenta clasificada. La plataforma puede acelerar el emparejamiento por nivel de la nueva cuenta o marcarla para revisión manual.
Patrón 3: Manipulación en marketplaces
Los marketplaces de e-commerce ven cómo los vendedores crean varias cuentas para publicar reseñas falsas o manipular los rankings de búsqueda. La correspondencia de dispositivos de tracio.ai revela cuándo varias cuentas de vendedor operan desde el mismo dispositivo, lo que permite una aplicación automatizada de las medidas.
Patrón 4: Acumulación de promociones
Una plataforma ofrece una promoción de «$10 de descuento en su primer pedido». Los usuarios crean varias cuentas para acumular el descuento en múltiples pedidos. tracio.ai detecta el dispositivo común y limita la promoción a un uso por dispositivo.
Enfoque de implementación
La implementación más sencilla consulta la API de tracio.ai tras la creación de la cuenta y comprueba si el dispositivo se ha visto con otras cuentas:
Una vez que el usuario se registra y completa su primera identificación de dispositivo, consulte el endpoint de historial de visitante. Si la huella digital del dispositivo se ha asociado a otras cuentas en su sistema, aplique su política de multicuentas: bloquear la cuenta, exigir verificación adicional o marcarla para revisión manual.
Consideraciones de privacidad
La detección de multicuentas debe equilibrar la prevención del fraude con la privacidad del usuario. Recomendamos una divulgación transparente: informe a los usuarios de que las señales de dispositivo se usan para prevenir el abuso. Ofrezca una vía de apelación para los casos legítimos, por ejemplo, familiares que comparten un dispositivo. Y nunca use las señales de dispositivo para denegar el servicio sin pruebas adicionales.
En tracio.ai proporcionamos los datos de coincidencia de dispositivos. Su plataforma decide la política. Algunos clientes adoptan un enfoque flexible (exigir verificación telefónica para las cuentas que comparten dispositivo), mientras que otros toman una postura firme (una cuenta por dispositivo). La política adecuada depende de su contexto de negocio y de sus requisitos regulatorios.