Métodos modernos de detección
Hoy en día, el multiaccounting se considera uno de los mayores desafíos para las plataformas en las que los usuarios pueden obtener una ventaja 🔝 injusta al crear varias cuentas, como plataformas publicitarias, marketplaces, exchanges de criptomonedas, casas de apuestas deportivas, casinos online, redes sociales y muchas otras.
Existen muchas razones por las que la gente crea varias cuentas. Pueden utilizarlas para eludir bloqueos, reclamar bonos varias veces, lanzar campañas publicitarias, manipular valoraciones y reseñas o realizar otras actividades. Dicho esto, el multiaccounting no siempre está prohibido. Algunas plataformas, como Reddit, permiten tener varias cuentas siempre que no se utilicen para votar publicaciones o comentarios.

Sin embargo, en la mayoría de los casos, es precisamente este tipo de abuso el que impulsa el rápido desarrollo de los sistemas antifraude. La magnitud del mercado de soluciones antifraude demuestra hasta qué punto las empresas se toman en serio este problema. Según diversas estimaciones, este mercado ya mueve decenas de miles de millones de dólares, mientras que los analistas de Grand View Research prevén 📈 un crecimiento sostenido en los próximos años.

Al mismo tiempo, Meta, Google y otras plataformas revelan muy poco sobre el funcionamiento de sus sistemas de detección. Y con razón: hacer públicos estos mecanismos internos facilitaría mucho que los actores maliciosos encontraran formas de eludirlos.
Como resultado, es imposible saber con certeza qué señales específicas se utilizan para decidir si una cuenta debe ser suspendida o qué peso tiene cada una de ellas. Todo lo que sabemos hoy sobre los sistemas modernos de detección proviene de investigaciones de acceso público, patentes, documentación técnica, observaciones reales de expertos del sector y materiales publicados por empresas que desarrollan soluciones comerciales antifraude.
Para los fines de este artículo, la última fuente es la más relevante. Hoy en día existe toda una industria dedicada a ayudar a bancos, empresas fintech, marketplaces, plataformas publicitarias y negocios de iGaming a 🔎 detectar el multiaccounting y otros tipos de fraude.
Por ejemplo, SEON analiza no solo el fingerprint del navegador, sino también los patrones de comportamiento de los usuarios, los datos de pago, las cookies, las direcciones IP y el historial de actividad para identificar cuentas vinculadas. Sumsub también evalúa patrones de comportamiento y ofrece su propio sistema de puntuación de riesgo. SHIELD se centra en la biometría del comportamiento, la monitorización continua de las sesiones y el análisis de clústeres de dispositivos, mientras que CrossClassify vincula dispositivos y cuentas mediante análisis de grafos y modelos de machine learning.
A pesar de las diferencias en su implementación, todas estas soluciones comparten ☝️ un principio fundamental: la detección moderna hace tiempo que dejó de limitarse a comprobar Canvas, WebGL u otros parámetros individuales del fingerprint. En su lugar, se basa en un análisis integral para estimar la probabilidad de que varias cuentas estén siendo gestionadas por un mismo usuario.
Qué significa realmente que unas cuentas estén vinculadas
Antes de hablar sobre los métodos de detección, es importante entender qué buscan realmente los sistemas antifraude modernos. Imagina dos cuentas registradas en una misma plataforma. El sistema no intenta responder preguntas como: «¿Tienen el mismo fingerprint de Canvas o el mismo User-Agent?». Lo que realmente les importa a los sistemas antifraude es esto:
🤔 ¿Qué probabilidad hay de que estas dos cuentas sean gestionadas por la misma persona?
Para responder a esa pregunta, el sistema recopila gradualmente datos que, a primera vista, pueden parecer no relacionados. ¿Se está utilizando el mismo dispositivo? ¿Las cuentas están conectadas a través de la misma red? ¿Coinciden las características de sus navegadores? ¿Interactúan con la interfaz de forma similar? ¿Utilizan los mismos datos de pago? ¿Siguen el mismo patrón de registro, inicio de sesión y actividad? ¿Sus horarios de actividad coinciden de forma significativa? ¿Existen señales indirectas que indiquen que distintas cuentas forman parte del mismo patrón de comportamiento?
Una única coincidencia rara vez basta para provocar una suspensión por sí sola. Sin embargo, cuando varias de estas señales empiezan a superponerse, aumenta significativamente la probabilidad de que las cuentas estén vinculadas.
Por eso, la idea de que la seguridad de una cuenta depende únicamente de la calidad de su fingerprint del navegador ya no refleja la realidad. Aunque el fingerprinting del navegador sigue siendo una parte importante de los sistemas antifraude modernos, es solo una de las varias capas utilizadas para evaluar el riesgo.
En este artículo descubriremos 🤓 los métodos modernos que se utilizan para detectar cuentas vinculadas y los agruparemos en cuatro capas bien diferenciadas. Esto te ayudará a entender mejor cómo funcionan los sistemas antifraude actuales y por qué obtener un resultado positivo en un verificador de fingerprints no significa necesariamente que tu perfil no vaya a despertar sospechas.
Capa 1: Fingerprint estático
La detección del multiaccounting comienza con el 👣 fingerprint digital del navegador, que durante mucho tiempo ha sido considerado el principal método de identificación de dispositivos. Este se construye a partir de los parámetros que el navegador y el sistema operativo exponen automáticamente a los sitios web:
- Canvas;
- WebGL;
- AudioContext;
- User-Agent;
- Fuentes instaladas;
- Resolución de pantalla;
- Idioma y zona horaria;
- Especificaciones del hardware;
- Configuración del navegador y del sistema operativo.
La combinación de estas características y, lo que es más importante, su coherencia entre sí permite a las plataformas crear un perfil de usuario bastante único y detectar intentos de falsificar el fingerprint completo.
Las plataformas también verifican si las características del dispositivo declaradas coinciden con sus capacidades reales. Por ejemplo, un navegador puede indicar que el usuario dispone de una tarjeta gráfica moderna, mientras que el rendimiento de renderizado de Canvas o WebGL se corresponde más con una GPU integrada.
Este tipo de inconsistencias puede deberse al uso de máquinas virtuales, emuladores, herramientas de spoofing de fingerprints o navegadores mal configurados. Por ello, los sistemas antifraude modernos no solo evalúan las características del dispositivo que se reportan, sino también si estas son coherentes con el comportamiento real del dispositivo.
También sigue siendo habitual escuchar que, si un checker como BrowserLeaks o BrowserScan muestra un buen resultado, el perfil está completamente.

Un buen ejemplo de esta capa es la actualización de Chrome M134. En 2025, el navegador comenzó a añadir automáticamente cuatro nuevos encabezados HTTP a las solicitudes enviadas a los servicios de Google: X-Browser-Channel, X-Browser-Year, X-Browser-Copyright y X-Browser-Validation.
Los tres primeros contienen información sobre el canal de distribución del navegador y la versión de la compilación. Sin embargo, el más interesante es 💡 X-Browser-Validation. Se trata de una firma criptográfica generada internamente por Chrome mediante una clave API integrada y la cadena User-Agent. Se utilizan claves diferentes para Windows, macOS y Linux.

Hace algún tiempo, a menudo bastaba con modificar el User-Agent para hacerse pasar por Chrome ejecutándose en Windows. Eso ya no es suficiente. Si un navegador afirma estar ejecutándose en un entorno determinado, pero su firma no coincide con la de una instalación legítima de Chrome en esa plataforma, los servidores de Google pueden detectar inmediatamente la inconsistencia. En la práctica, la compañía ha introducido un nuevo método para verificar si el cliente es realmente Chrome o simplemente está intentando hacerse pasar por él.
Este mecanismo no está diseñado para detectar el multiaccounting por sí solo. Su objetivo es comprobar que el cliente no está falseando su entorno. Sin embargo, verificaciones como esta son precisamente las que contribuyen a construir el perfil general del usuario.
Pero incluso si un navegador supera con éxito estas comprobaciones, eso no significa que el perfil sea seguro. El fingerprint estático es solo la primera capa del análisis. A partir de ahí, la plataforma comienza a evaluar señales mucho más complejas, como el comportamiento del usuario, el historial del dispositivo, las relaciones entre cuentas, la reputación de la red y muchos otros factores.
Capa 2: Análisis del comportamiento del usuario
Incluso un fingerprint del navegador perfectamente coherente no garantiza que una cuenta parezca legítima para la plataforma. Una vez completada la verificación inicial del dispositivo, los sistemas antifraude modernos pasan a analizar cómo interactúa el usuario con el sitio web o la aplicación.
Este enfoque se conoce como behavioral fingerprinting. En lugar de basarse en las características estáticas del dispositivo, el sistema evalúa cómo una persona utiliza realmente la plataforma. Estos patrones de comportamiento son extremadamente difíciles de falsificar.
Movimientos del ratón e interacción con la interfaz
El comportamiento humano rara vez es predecible. Los usuarios mueven el cursor a distintas velocidades, realizan pequeños ajustes en su trayectoria, se detienen sobre elementos de la interfaz, de vez en cuando fallan al hacer clic en un botón o se desplazan por las páginas con un patrón irregular.
⚙️ Las herramientas de automatización, en cambio, suelen comportarse de forma demasiado perfecta. El cursor se mueve en línea recta, los clics se realizan siempre en coordenadas exactamente definidas y el desplazamiento por la página sigue los mismos intervalos en cada ocasión. Desde un punto de vista estadístico, estas acciones difieren significativamente del comportamiento de los usuarios reales.

Por esta razón, los sistemas antifraude modernos no analizan los clics de forma aislada, sino el 🖼 patrón completo de interacción. Evalúan no solo la secuencia de acciones, sino también la forma en que se realizan y si su comportamiento parece natural.
Tiempo entre acciones
🕓 Los intervalos de tiempo entre las acciones del usuario también desempeñan un papel importante en el análisis del comportamiento. Los usuarios reales no completan formularios siempre a la misma velocidad, no abren páginas en intervalos fijos ni hacen clic en botones con una precisión de milisegundos. Su comportamiento está condicionado por la velocidad de lectura, los hábitos personales, las distracciones e incluso por pausas aleatorias.
En la automatización, los intervalos entre acciones suelen ser demasiado cortos o sospechosamente uniformes. Por eso, los sistemas de detección modernos analizan no solo los eventos en sí, sino también los patrones temporales con los que se producen.

Aunque cada acción individual parezca legítima por sí sola, los patrones temporales pueden seguir delatando el uso de scripts, bots u otras herramientas de automatización.
Historial de actividad
El perfil de comportamiento se construye con el tiempo a partir de cada interacción con la plataforma. Puede tener en cuenta cuándo suele iniciar sesión un usuario, con qué regularidad utiliza el servicio, cuánto duran normalmente sus sesiones y cómo evoluciona su actividad a lo largo del tiempo.
Por ejemplo, si una cuenta se ha utilizado desde el mismo país todas las noches durante varios meses y, de repente, empieza a estar activa las 24 horas del día con sesiones cortas de diez minutos, esto representa un cambio significativo en su comportamiento. Aunque, por sí solo, este cambio no implica necesariamente que exista fraude, puede hacer que la plataforma someta la cuenta a un análisis más exhaustivo.
Capa 3: Device Graph y vinculación de cuentas
En las dos primeras capas, el sistema recopila información sobre cada cuenta y cada usuario de forma individual. En la tercera capa comienza ⚖️ a comparar estos datos entre todas las cuentas registradas para identificar señales que sugieran que algunas de ellas están controladas por la misma persona.
Para ello, las plataformas construyen un Device Graph, una red de relaciones entre dispositivos, cuentas y usuarios. Puede imaginarse como un mapa en el que cada cuenta, dispositivo, dirección IP o método de pago representa un nodo, mientras que las conexiones detectadas entre ellos constituyen los enlaces. Cuantas más conexiones identifica el sistema, mayor es la probabilidad de que varias cuentas estén siendo gestionadas por un mismo usuario.

Si dos cuentas utilizan la misma dirección IP, eso por sí solo no significa que pertenezcan al mismo usuario. Del mismo modo, compartir el mismo User-Agent o la misma zona horaria no demuestra nada por sí solo.
Sin embargo, cuando varias señales empiezan a coincidir al mismo tiempo, y no solo a nivel del fingerprint, la probabilidad de que se trate de una simple coincidencia disminuye drásticamente.
Por ejemplo, dos cuentas pueden:
- Iniciar sesión regularmente desde el mismo rango de IP;
- Utilizar dispositivos y navegadores similares;
- Compartir las mismas cookies o identificadores de almacenamiento local;
- Utilizar los mismos datos de pago;
- Seguir patrones idénticos de registro e inicio de sesión;
- Mostrar patrones de comportamiento similares.
Como resultado, un Device Graph puede incluir:
- Dispositivos y sus fingerprints de navegador;
- Cuentas de usuario;
- Direcciones IP, ASN y proxies;
- Cookies e identificadores locales del navegador;
- Métodos de pago y tarjetas bancarias;
- Direcciones de correo electrónico y números de teléfono;
- Secuencias de acciones realizadas en la plataforma;
- Historial de inicios de sesión y actividad del usuario.
Posteriormente, todos estos datos se 🔗 vinculan entre sí, lo que permite al sistema antifraude evaluar la posición de una cuenta dentro de la red general de relaciones.
También es importante tener en cuenta que utilizar distintos dispositivos no impide necesariamente que las cuentas se vinculen entre sí. Si operan a través de la misma red, se conectan regularmente en horarios similares, utilizan los mismos navegadores, siguen patrones de comportamiento parecidos e interactúan con los mismos servicios, el sistema antifraude puede empezar gradualmente a tratarlas como parte del mismo modelo de comportamiento.
Otra técnica que suele utilizarse junto con el Device Graph se conoce como 🚀 velocity rules. Su objetivo es responder a la siguiente pregunta: «¿Con qué rapidez se están realizando acciones en diferentes cuentas?»
Por ejemplo, el sistema puede marcar situaciones en las que:
- Se crean un gran número de cuentas desde el mismo dispositivo en un corto periodo de tiempo;
- El mismo fingerprint del navegador se utiliza repetidamente para registrar cuentas;
- Varias cuentas realizan acciones idénticas casi al mismo tiempo;
- La misma tarjeta bancaria aparece en varias cuentas recién creadas;
- Decenas de registros proceden del mismo rango de IP en cuestión de pocos minutos.
En última instancia, los sistemas antifraude no solo se interesan por el dispositivo, sino también por el usuario que hay detrás de él. Si múltiples señales independientes apuntan al multiaccounting, la plataforma puede vincular las cuentas incluso cuando se utilizan desde dispositivos diferentes.
Capa 4: Network Scoring y reputación de la red
La última capa de detección se centra en la infraestructura de red a través de la cual una cuenta se conecta a la plataforma. Muchas personas creen que basta con encontrar una dirección IP considerada «limpia» por distintos checkers (y que no figure en ninguna blacklist). En realidad, los sistemas antifraude modernos evalúan mucho más que la propia dirección IP. También tienen en cuenta su historial, el entorno de red que la rodea y la reputación general de la red desde la que se origina el tráfico.
Por eso, 💯 el Network Scoring se ha convertido en un concepto cada vez más importante: una evaluación integral del nivel de confianza de todo el entorno de red del usuario.

❗ Con el tiempo, cada dirección IP va construyendo su propio historial. Una plataforma puede tener en cuenta cuánto tiempo lleva utilizándose, cuántas cuentas han operado a través de ella, si alguna de esas cuentas fue suspendida, con qué frecuencia cambia la IP y si ha estado relacionada con actividades sospechosas.
Aunque una dirección IP concreta no figure en las blacklists públicas, eso no significa que la plataforma no disponga de su propio historial sobre el uso que se ha hecho de ella.
Además de la propia dirección IP, las plataformas también analizan el ASN (Autonomous System Number), es decir, el operador de red o proveedor de servicios de Internet a través del cual el usuario se conecta a Internet. Por ejemplo, una cuenta que se conecta siempre desde una red residencial resulta más natural que otra que depende constantemente de proxies de datacenter, servicios VPN o infraestructura en la nube. Como resultado, la reputación de la red se evalúa en varios niveles: la dirección IP individual, la subred y el ASN.
Las plataformas también evalúan si el entorno de red es coherente con el resto del perfil. Por ejemplo, lo normal es que un dispositivo móvil se conecte a través de un operador móvil o de una conexión residencial a Internet. Si ese mismo perfil opera de forma constante mediante una IP de datacenter, se genera una discrepancia evidente entre el dispositivo declarado y su entorno de red real.
Una situación similar se produce cuando:
- Un ordenador residencial se conecta regularmente desde distintos países;
- El mismo perfil aparece bajo diferentes ASN en un corto período de tiempo;
- El tipo de conexión no coincide con el patrón de uso habitual del dispositivo.
Cada una de estas inconsistencias incrementa la puntuación general de riesgo.
Para los sistemas antifraude, lo más importante es la coherencia y la credibilidad del entorno de red del usuario. El historial de la IP, la reputación del ASN, el tipo de conexión, la ubicación geográfica de la conexión y el grado de coherencia entre estos factores y el dispositivo se evalúan de forma conjunta para determinar el nivel general de confianza de la cuenta.
Cómo se ve esto en la práctica
🛠 Los sistemas antifraude evalúan todas estas capas de forma simultánea. Para ilustrarlo, imaginemos a un media buyer que crea dos cuentas publicitarias. Cada cuenta utiliza un perfil independiente en un navegador antidetect, un proxy distinto y un fingerprint de navegador diferente. Todos los checkers de fingerprints más populares indican que ambos perfiles parecen legítimos.
A primera vista, no parece existir ninguna relación entre ambas cuentas.
| Parámetro | Cuenta A | Cuenta B |
|---|---|---|
| Fingerprint del navegador | Diferente | Diferente |
| Dirección IP | Diferente | Diferente |
| Perfil del navegador antidetect | Independiente | Independiente |
| Hora del primer inicio de sesión | 09:02 | 09:04 |
| Horario de actividad | 09:00–18:00 | 09:00–18:00 |
| Conectada a la misma red Wi-Fi doméstica el día anterior | Sí | Sí |
| BIN de la tarjeta bancaria | El mismo | El mismo |
| Business Manager | Vinculado | Vinculado |
| Dominio publicitario | El mismo | El mismo |
| Creatividades | Las mismas imágenes | Las mismas imágenes |
| Parámetros UTM | Coinciden | Coinciden |
| Textos de los anuncios | Casi idénticos | Casi idénticos |
| Secuencia de acciones | Idéntica | Idéntica |
Por sí solo, ninguno de estos factores demuestra que las cuentas estén controladas por la misma persona. El mismo BIN de una tarjeta bancaria puede ser compartido por clientes del mismo banco. Un mismo dominio puede utilizarse en varias campañas publicitarias. Incluso coincidir en el horario de trabajo no puede considerarse una prueba de abuso.
Lo que evalúan los sistemas antifraude modernos es la probabilidad de que todas estas similitudes se hayan producido por casualidad. A medida que el número de señales independientes que coinciden alcanza un umbral crítico, la probabilidad de una coincidencia fortuita disminuye y el sistema deja de ver dos cuentas independientes: pasa a ver dos entidades que siguen el mismo patrón de comportamiento.
Por eso, un perfil puede parecer impecable desde el punto de vista del fingerprint del navegador y, aun así, recibir una puntuación de riesgo elevada debido a la combinación de otras señales. También por eso, crear un buen fingerprint de navegador por sí solo no es suficiente: también hay que utilizarlo correctamente.
Conclusiones prácticas
Los sistemas antifraude modernos evalúan una combinación de señales independientes, en lugar de centrarse en parámetros individuales del navegador. Como resultado, no existe una forma universal de eliminar por completo el riesgo de que las cuentas sean vinculadas. El único enfoque realmente eficaz es una protección integral.
Una gestión segura del multiaccounting comienza con un aislamiento adecuado de los perfiles. Cada perfil debe contar con su propio fingerprint de navegador, un almacenamiento independiente, cookies separadas y una configuración de fingerprint única, pero al mismo tiempo coherente y realista. Precisamente para eso fueron creados los navegadores antidetect.
Por ejemplo, 📌 Dolphin Anty permite crear un número ilimitado de perfiles con fingerprints de navegador coherentes, proxies individuales (que ajustan automáticamente el idioma, la geolocalización y la zona horaria) e incluso el encabezado X-Browser-Validation correcto.

Sin embargo, la protección no termina ahí. Incluso un fingerprint de navegador perfectamente configurado no servirá de mucho si todas las cuentas siguen el mismo patrón de comportamiento.
Para hacer que el comportamiento de los perfiles sea más diverso, Dolphin Anty incorpora un 📹 Scenario integrado que permite automatizar acciones mientras simula patrones de interacción más naturales entre las distintas cuentas.


Cada bloque del escenario representa un paso configurable dentro de una secuencia de automatización. Por ejemplo, puedes definir coordenadas personalizadas para los movimientos del ratón o ajustar la velocidad de desplazamiento de la página. Los usuarios más avanzados también pueden trabajar con selectores CSS.
Sin embargo, es importante entender que ni siquiera las herramientas de automatización más avanzadas pueden replicar por completo el comportamiento humano. Si la actividad de las cuentas sigue siendo predecible y repetitiva, tarde o temprano es probable que esas cuentas sean vinculadas.
Conclusión
Hace apenas unos años, la detección del multiaccounting se basaba en gran medida en el fingerprint del navegador, cuando parámetros como Canvas, WebGL, User-Agent, la zona horaria y otros podían verificarse mediante distintos checkers de fingerprints. Hoy en día, eso ya no es suficiente.
Los sistemas antifraude modernos analizan a los usuarios a través de múltiples capas, incluyendo las características del dispositivo, los patrones de comportamiento, las relaciones entre cuentas, el entorno de red, la reputación de la IP y muchas otras señales. Por separado, estos factores rara vez provocan la suspensión de una cuenta. Pero, cuando se evalúan de forma conjunta, permiten a las plataformas determinar con un alto grado de confianza si varias cuentas están siendo gestionadas por la misma persona.
Como resultado, las plataformas modernas ya no intentan identificar el dispositivo, sino a la persona que está detrás de varias cuentas. Y resolver ese desafío es precisamente en lo que invierten miles de millones de dólares.