Creación de cuentas falsas: estrategias de detección que no bloquean a usuarios reales

Radar
Radar

Descubre cómo combatir el fraude con la eficacia de la red de Stripe.

Más información 
  1. Introducción
  2. ¿Qué es la creación de cuentas falsas?
  3. ¿Qué motiva la creación de cuentas falsas?
    1. Abuso de promociones y pruebas sin cargo
    2. Spam y manipulación de plataformas
    3. API y extracción de datos
    4. Infraestructura para relleno automático de credenciales
    5. Preparación para el fraude en los pagos
  4. ¿Cuáles son algunas señales de alerta de cuentas falsas creadas durante la creación de cuentas?
    1. Señales de correo electrónico
    2. Señales de dispositivo y red
    3. Señales de comportamiento
    4. Señales de coherencia de identidad
  5. ¿Cómo se detecta la creación de cuentas falsas mediante la correlación de señales?
  6. ¿Qué estrategias funcionan para prevenir la creación de cuentas falsas sin bloquear a usuarios reales?
  7. ¿Es suficiente bloquear las cuentas falsas creadas en la creación de cuentas?
  8. Cómo puede ayudar Stripe Radar

Se prevé que las aperturas de cuentas en línea aumenten más del 13 % por año hasta 2028, lo que incrementa la oportunidad de fraude en las cuentas nuevas. La creación de cuentas falsas es el proceso de abrir cuentas con señales de identidad fabricadas o robadas. Puede parecer un problema con el sistema de creación de cuentas, pero en realidad es un problema de economía. Los atacantes crean cuentas en volumen porque el costo es bajo y el retorno potencial es alto. Los esfuerzos de prevención exitosos deben elevar ese costo para los atacantes hasta que la operación deje de ser rentable para ellos.

A continuación, exploraremos cómo detectar cuentas falsas, por qué la creación de cuentas es un punto de entrada preferido y cómo encaja la detección en el nivel de creación de cuentas dentro de una defensa más amplia contra el fraude.

Destacados

  • Las cuentas falsas suelen ser una infraestructura de punto de entrada para abusos posteriores, como la explotación de pruebas sin cargo, la extracción de datos mediante la interfaz de programación de aplicaciones (API) y el fraude en los pagos.

  • La detección de cuentas falsas depende en gran medida de la correlación de las señales de dispositivo, red, comportamiento e identidad en los intentos de creación de cuentas.

  • Los sistemas que detectan las cuentas falsas creadas pueden aumentar el esfuerzo necesario para la creación de dichas cuentas maliciosas. Se pueden combinar con el monitoreo posterior a la creación de las cuentas para detectar el fraude que se cuele o que se produzca más adelante.

¿Qué es la creación de cuentas falsas?

La creación de cuentas falsas es un tipo de fraude que consiste en abrir cuentas con información falsa o robada. Esto puede incluir direcciones de correo electrónico generadas, números de voz sobre protocolo de Internet (VoIP), que permiten llamadas telefónicas a través de números virtuales, en lugar de líneas fijas, o bien nombres inventados o combinaciones de datos reales que en realidad no pertenecen a la misma persona.

La diferencia principal entre una cuenta falsa y una normal es la intención. Un usuario legítimo crea una cuenta para usar tu producto. Una cuenta falsa se crea para extraer valor de la plataforma o habilitar alguna forma de abuso.

¿Qué motiva la creación de cuentas falsas?

La creación de cuentas falsas rara vez es el objetivo final. Por lo general, es la infraestructura que permite otras formas de abuso.

Estos son los motivos por los que los atacantes crean cuentas falsas.

Abuso de promociones y pruebas sin cargo

Cualquier incentivo de creación de una cuenta es un objetivo: pruebas sin cargo, créditos, bonificaciones por recomendación o recompensas por creación de cuenta. Los atacantes crean cuentas a gran escala para reclamar esos beneficios repetidamente. Una campaña coordinada puede agotar el presupuesto promocional en cuestión de horas.

Spam y manipulación de plataformas

En marketplaces, plataformas sociales y sitios de reseñas, las cuentas falsas son la materia prima para la manipulación. Permiten reseñas falsas, recuentos inflados de seguidores, participación coordinada y otras formas de actividad no auténtica.

API y extracción de datos

Las API de extracción de datos en la web se utilizan para extraer datos de los sitios web. Los usuarios autenticados suelen recibir límites de frecuencia de API más altos que el tráfico anónimo. Las cuentas falsas permiten a los atacantes distribuir la actividad de extracción de datos entre múltiples sesiones autenticadas y evadir los límites por cuenta.

Infraestructura para relleno automático de credenciales

Los atacantes que ejecutan campañas de relleno automático de credenciales necesitan infraestructura para hacerlo. Se pueden usar flujos de creación de cuentas para validar formatos de correo electrónico, probar qué dominios aceptan correos o crear cuentas que luego se usarán para probar credenciales robadas. En algunos casos, las cuentas recién creadas también se venden o reutilizan como parte de operaciones de fraude de mayor envergadura.

Preparación para el fraude en los pagos

En entornos financieros o de marketplaces, las cuentas falsas pueden usarse para probar números de tarjetas robadas, ejecutar intentos de carding pequeños o establecer una identidad empresarial temporal que parezca legítima el tiempo suficiente para procesar transacciones fraudulentas.

¿Cuáles son algunas señales de alerta de cuentas falsas creadas durante la creación de cuentas?

Ninguna señal por sí sola identifica de forma fiable una cuenta falsa. La detección funciona cuando se combinan señales que, en conjunto, son difíciles de explicar como comportamiento normal de un usuario.

Estas son algunas señales de alerta que podrían indicar una intención maliciosa.

Señales de correo electrónico

  • Dominios de correo electrónico desechables: los servicios de bandeja de entrada temporal suelen utilizarse de forma abusiva porque permiten crear cuentas sin necesidad de conservar acceso a largo plazo. Algunos proveedores conocidos son fáciles de bloquear, pero los servicios más pequeños rotan dominios continuamente para evadir las listas de bloqueos.

  • Patrones de alias generados: la creación masiva de cuentas suele producir patrones predecibles y usa variaciones secuenciales, como «usuario1@», «usuario2@», etc., o largas cadenas de caracteres aleatorios.

  • Dominios muy recientes: los usuarios legítimos rara vez crean cuentas con dominios registrados días antes. Las cuentas que usan dominios registrados muy recientemente merecen mayor análisis.

Señales de dispositivo y red

  • Reutilización de huella de dispositivo: la configuración del navegador, la resolución de pantalla, las fuentes instaladas y las huellas gráficas suelen repetirse en las cuentas creadas por el mismo sistema de automatización, incluso si cambian las direcciones de protocolo de internet (IP) y los datos de identidad.

  • Direcciones IP de centro de datos o proxy: el tráfico que proviene de proveedores de nube, redes privadas virtuales (VPN) o nodos de salida de Tor tiene un riesgo mayor que el tráfico de proveedores de servicios de internet (ISP) residenciales.

  • Velocidad de creación de cuentas: una ráfaga de cuentas nuevas desde un rango de IP único, un número de sistema autónomo (ASN) o una huella de dispositivo puede ser un indicador temprano de una campaña coordinada.

Señales de comportamiento

  • Velocidad de llenado de formulario poco realista: una persona real necesita tiempo para leer y completar los campos. Si un formulario de creación de cuenta se completa en fracciones de segundo, la automatización es la explicación más probable.

  • Patrones de entrada perfectos: los seres humanos dudamos, nos equivocamos al escribir y nos corregimos. Una entrada limpia y lineal sin pausas ni retrocesos suele indicar un llenado automático de formularios mediante scripts.

  • Movimiento mecánico del mouse: los bots no producen movimiento del cursor o sus patrones de movimiento siguen trayectorias rectas y uniformes, en lugar de los patrones irregulares de la interacción humana.

Señales de coherencia de identidad

  • Números VoIP: los números proporcionados a través de servicios VoIP son más baratos y fáciles de adquirir en grandes cantidades que los números de operadores de telefonía móvil, lo que los vuelve habituales en campañas de cuentas falsas.

  • Inconsistencias de configuración regional: la configuración de idioma, los formatos de dirección, las preferencias de moneda y la ubicación geográfica declarada deberían corresponderse de manera general. Si no sucede así, la identidad detrás de la cuenta es menos creíble.

¿Cómo se detecta la creación de cuentas falsas mediante la correlación de señales?

Cuando se trata de detectar fraude multicuenta durante la creación de cuentas, las señales individuales son útiles, pero la detección más eficaz proviene de la correlación entre cuentas. Incluso cuando los atacantes varían nombres, correos electrónicos y direcciones IP, otros patrones persisten. En lugar de evaluar las cuentas creadas una por una, muchos sistemas agrupan las cuentas en clústeres según atributos compartidos, y averiguan si cada clúster se ajusta a un comportamiento normal.

Las señales que se usan habitualmente para el agrupamiento en clústeres incluyen las siguientes:

  • Similitud de huella del dispositivo: configuraciones de navegador compartidas, tamaños de pantalla o huellas gráficas

  • Patrones de red: proximidad de IP, titularidad de ASN y si el tráfico proviene de redes residenciales o de infraestructura en la nube

  • Secuencias de comportamiento: el orden y el tiempo de las acciones durante la creación de cuentas, que pueden identificar herramientas de automatización

  • Superposiciones de identidades: raíces de correo electrónico similares, números de teléfono reutilizados o direcciones con coincidencias parciales

  • Velocidad y aceleración: ráfagas repentinas de actividad desde una infraestructura que anteriormente no generaba tráfico

¿Qué estrategias funcionan para prevenir la creación de cuentas falsas sin bloquear a usuarios reales?

Las defensas efectivas contra la creación de cuentas falsas son multicapa. También deben ser proporcionales a la señal de riesgo que realmente se está detectando.

Ten en cuenta lo siguiente:

  • Controles de velocidad y límite de frecuencia: el uso de límites para la creación de cuentas por dirección IP, huella de dispositivo o dominio de correo electrónico es una primera capa directa que detiene la automatización sin afectar a los usuarios reales.

  • Detección de bots por comportamiento: el análisis de comportamiento invisible, como el movimiento del mouse, los patrones de escritura y el tiempo de interacción, puede filtrar bots sin representar ningún desafío evidente para los seres humanos. Las exigentes pruebas de Turing públicas completamente automatizadas para distinguir computadoras de humanos (CAPTCHA) son más adecuadas para casos ambiguos que para su aplicación generalizada.

  • Verificación progresiva: en lugar de someter a todos los usuarios al mismo flujo de verificación, escala las comprobaciones solo cuando el riesgo aumenta. Un usuario que crea una cuenta desde una red residencial con patrones de interacción normales puede pasar sin inconvenientes, mientras que una dirección IP de centro de datos combinada con un correo electrónico desechable puede activar una verificación por teléfono.

  • Tratamiento de la verificación como una señal de riesgo: la verificación por correo electrónico y por teléfono no debería considerarse solo como un obstáculo. Si la verificación se completa con un número legítimo de operador de telefonía móvil, se reduce el riesgo y se encarece la creación de cuentas falsas a gran escala.

  • Retenciones basadas en riesgo: si las señales son ambiguas, las cuentas se pueden crear con un estado restringido, con acceso limitado a la API, sin créditos de prueba o con funcionalidades reducidas. Las funcionalidades se ampliarán una vez que la cuenta demuestre un comportamiento legítimo con el paso del tiempo.

  • Software de detección: existen herramientas inteligentes para reducir los casos de fraude durante el proceso de creación de cuentas, como un software que detecta las cuentas falsas creadas. También puedes considerar herramientas que marquen comportamientos sospechosos a raíz de la creación de cuentas falsas, como Stripe Radar, que usa inteligencia artificial (IA) entrenada con datos de millones de empresas globales para detectar el fraude con mayor precisión.

¿Es suficiente bloquear las cuentas falsas creadas en la creación de cuentas?

Los controles en la creación de cuentas son necesarios, pero no son suficientes por sí solos. Las técnicas de ataque evolucionan constantemente. La detección de VoIP pierde eficacia cuando los atacantes pasan a granjas de módulos de identidad del suscriptor (SIM). La huella digital del dispositivo se debilita a medida que mejoran las herramientas de automatización. Cualquier enfoque de detección estática terminará siendo eludido.

La detección durante la creación de cuentas sirve bien para elevar el costo de entrada. Una campaña que antes requería un esfuerzo mínimo probablemente ahora necesite mayor infraestructura, más tiempo y más dinero por cuenta. Si el abuso de bajo margen (como la explotación de pruebas sin cargo) aumenta, es posible que las campañas dejen de ser rentables.

Los actores fraudulentos decididos posiblemente se adaptarán, motivo por el cual un sistema eficaz trata las defensas en la creación de cuentas como una capa dentro de una estrategia más amplia.

Así es como se ve un modelo práctico y detallado:

  • Controles en la creación de cuentas: la correlación de señales, los límites de velocidad y la verificación progresiva reducen el inventario de cuentas falsas antes de que se creen.

  • Monitoreo posterior a la creación de cuentas: el comportamiento inusual, los patrones de pago anómalos, el uso sospechoso de API y las acciones coordinadas pueden revelar abusos que pasan desapercibidos.

  • Reputación de la cuenta a lo largo del tiempo: las cuentas que se comportan con normalidad durante meses antes de volverse abusivas requieren modelos de detección que se centren en los cambios en el comportamiento, más que en las señales de creación de cuentas.

La detección por completo de las cuentas falsas no es una opción realista. El objetivo debe ser hacer que el abuso a gran escala sea costoso, detectable e insostenible.

Cómo puede ayudar Stripe Radar

Stripe Radar utiliza modelos de IA para detectar y prevenir fraudes. Estos modelos, entrenados con datos de la red global de Stripe, se actualizan continuamente en función de las últimas tendencias de fraude, lo cual mantiene a tu empresa protegida a medida que evoluciona.

Stripe también ofrece Radar para Equipos de Fraude, que permite a los usuarios agregar reglas personalizadas que abordan escenarios de fraude específicos de sus empresas y acceder a información avanzada sobre fraude.

Radar puede ayudar a tu empresa a lograr lo siguiente:

  • Prevenir pérdidas por fraude: Stripe procesa más de $1 billón en pagos al año. Este crecimiento permite que Radar detecte y prevenga el fraude con precisión y ahorre dinero.

  • Aumentar los ingresos: los modelos de IA de Radar se entrenan con datos reales de disputas, información de clientes, datos de navegación y más. Esto permite que Radar identifique transacciones de riesgo y reduzca falsos positivos, lo que aumenta tus ingresos.

  • Ahorrar tiempo: Radar se integra en Stripe y no necesita líneas de código para su configuración. También puedes controlar el rendimiento del fraude, escribir reglas y mucho más en una sola plataforma, lo que aumenta la eficiencia.

Obtén más información sobre Stripe Radar o empieza a utilizarlo hoy.

El contenido de este artículo tiene solo fines informativos y educativos generales y no debe interpretarse como asesoramiento legal o fiscal. Stripe no garantiza la exactitud, la integridad, adecuación o vigencia de la información incluida en el artículo. Si necesitas asistencia para tu situación particular, te recomendamos consultar a un abogado o un contador competente con licencia para ejercer en tu jurisdicción.

Más artículos

  • Hubo un problema. Vuelve a intentarlo o comunícate con soporte.

¿Todo listo para empezar?

Crea una cuenta y empieza a aceptar pagos sin necesidad de firmar contratos ni proporcionar datos bancarios. Si lo prefieres, puedes ponerte en contacto con nosotros para que diseñemos un paquete personalizado para tu empresa.
Radar

Radar

Combate el fraude con la solidez de la red de Stripe.

Documentación de Radar

Utiliza Stripe Radar para proteger tu empresa contra fraude.