Se espera que las aperturas de cuentas en línea aumenten más de un 13 % anualmente hasta 2028, lo que incrementa las oportunidades de fraude en nuevas cuentas. La creación de cuentas falsas es el proceso de apertura de cuentas utilizando señales de identidad fabricadas o robadas. Puede parecer un problema con el sistema de registro, pero en realidad es un problema de economía. Los atacantes crean cuentas en masa porque el coste es bajo y el retorno potencial es alto. Los esfuerzos de prevención eficaces deben elevar ese coste para los atacantes hasta que la operación deje de merecer la pena para ellos.
A continuación, exploraremos cómo detectar cuentas falsas, por qué el registro es un punto de entrada habitual y cómo la detección en el nivel del registro encaja en una defensa antifraude más amplia.
Destacados
Las cuentas falsas son a menudo una infraestructura de punto de entrada para el abuso posterior, como el aprovechamiento masivo de pruebas gratuitas, el scraping mediante interfaz de programación de aplicaciones (API) y el fraude en pagos.
La detección de cuentas falsas depende en gran medida de la correlación de señales de dispositivo, red, comportamiento e identidad a lo largo de los intentos de registro.
Los sistemas que detectan la creación de cuentas falsas pueden elevar el esfuerzo necesario para los registros maliciosos. Pueden combinarse con la monitorización posterior al registro para detectar el fraude que se cuela o que se produce más adelante.
¿Qué es la creación de cuentas falsas?
La creación de cuentas falsas es un tipo de fraude que consiste en abrir cuentas utilizando información falsa o robada. Esto puede incluir direcciones de correo electrónico generadas, números de teléfono de voz sobre protocolo de internet (VoIP), que permiten realizar llamadas mediante números virtuales en lugar de líneas fijas, o nombres inventados o combinaciones de datos reales que en realidad no pertenecen a la misma persona.
La principal diferencia entre una cuenta falsa y una normal es la intención. Un usuario legítimo se registra para usar tu producto. Una cuenta falsa se crea para extraer valor de la plataforma o habilitar alguna forma de abuso.
¿Por qué se crean cuentas falsas?
La creación de cuentas falsas rara vez es el objetivo final. Por lo general, es la infraestructura que permite otras formas de abuso.
Estas son las razones por las que los atacantes crean cuentas falsas.
Abuso de pruebas gratuitas y promociones
Cualquier incentivo de registro es un objetivo: pruebas gratuitas, créditos, bonos por recomendaciones o recompensas de registro. Los atacantes crean cuentas a gran escala para reclamar esos beneficios de forma repetida. Una campaña coordinada puede agotar un presupuesto promocional en horas.
Spam y manipulación de plataformas
En los marketplaces, las plataformas sociales y los sitios de reseñas, las cuentas falsas son la materia prima de la manipulación. Permiten publicar reseñas falsas, inflar el número de seguidores, coordinar la interacción y otras formas de actividad auténtica.
Scraping de API y datos
Las API de scraping web se utilizan para extraer datos de sitios web. Los usuarios autenticados suelen recibir límites de velocidad de API más altos que el tráfico anónimo. Las cuentas falsas permiten a los atacantes distribuir la actividad de scraping entre múltiples sesiones autenticadas y eludir los límites por cuenta.
Infraestructura de relleno de credenciales
Los atacantes que ejecutan campañas de relleno de credenciales necesitan infraestructura para hacerlo. Los flujos de registro pueden usarse para validar formatos de correo electrónico, probar qué dominios aceptan correo electrónico o crear cuentas que luego se utilizarán para probar credenciales robadas. En algunos casos, las cuentas recién creadas también se venden o reutilizan como parte de operaciones de fraude más amplias.
Preparación de fraude en los pagos
En entornos financieros o de marketplace, las cuentas falsas pueden usarse para probar números de tarjeta robados, realizar pequeños intentos de carding o uso ilícito de tarjetas o establecer una identidad empresarial temporal que parezca legítima el tiempo suficiente para procesar transacciones fraudulentas.
¿Cuáles son algunas señales de alerta para la creación de cuentas falsas durante el registro?
Ninguna señal por sí sola identifica de forma fiable una cuenta falsa. La detección funciona combinando señales que, en conjunto, son difíciles de explicar como comportamiento normal de un usuario.
Estas son algunas señales de alerta que podrían indicar malas intenciones.
Señales de correo electrónico
Dominios de correo electrónico desechables: los servicios de bandeja de entrada temporal suelen ser objeto de abuso porque facilitan la creación de cuentas sin mantener un acceso a largo plazo. Algunos proveedores conocidos son fáciles de bloquear, pero los servicios más pequeños rotan los dominios continuamente para evitar las listas de elementos bloqueados.
Patrones de alias generados: la creación masiva de cuentas suele producir patrones predecibles y utiliza variaciones secuenciales como «user1@», «user2@» y similares, o largas cadenas de caracteres aleatorios.
Dominios muy recientes: los usuarios legítimos raramente crean una cuenta usando dominios registrados días antes. Las cuentas que usan dominios registrados muy recientemente merecen un mayor escrutinio.
Señales de dispositivo y red
Reutilización de huella de dispositivo: la configuración del navegador, la resolución de pantalla, las fuentes instaladas y las huellas gráficas suelen repetirse entre cuentas creadas por el mismo sistema de automatización, incluso cuando cambian las direcciones de protocolo de internet (IP) y los datos de identidad.
Direcciones IP de centros de datos o proxy: el tráfico que proviene de proveedores de nube, redes privadas virtuales (VPN) o nodos de salida de Tor conlleva un riesgo mayor que el tráfico de un proveedor de servicios de internet (ISP) residencial.
Velocidad de registro: un aumento repentino de nuevas cuentas desde un rango de IP, un número de sistema autónomo (ASN) o una huella de dispositivo puede ser un indicador temprano de una campaña coordinada.
Señales de comportamiento
Velocidad de cumplimentación de formularios poco realista: una persona real necesita tiempo para leer y rellenar los campos. Cuando un formulario de registro se completa en fracciones de segundo, la automatización es la explicación más probable.
Patrones de entrada perfectos: los humanos dudan, cometen errores tipográficos y se corrigen. Una entrada limpia y lineal sin pausas ni retrocesos suele ser indicio de cumplimentación de formularios mediante scripts.
Movimiento de ratón mecánico: los bots no producen movimiento del cursor o no generan patrones de movimiento que siguen trayectorias rectas y uniformes, en lugar de los patrones irregulares de la interacción humana.
Señales de coherencia de identidad
Números de teléfono VoIP: los números suministrados a través de servicios VoIP son más baratos y fáciles de adquirir en masa que los números de móvil de un servicio de envíos, lo que los hace habituales en las campañas de cuentas falsas.
Inconsistencias de configuración regional: los ajustes de idioma, los formatos de dirección, las preferencias de divisas y la ubicación geográfica declarada deberían coincidir aproximadamente. Cuando no lo hacen, la identidad detrás de la cuenta es menos creíble.
¿Cómo detectar la creación de cuentas falsas mediante la correlación de señales?
Cuando se trata de detectar el fraude multicuenta durante el registro, las señales individuales son útiles, pero la detección más eficaz proviene de la correlación entre cuentas. Incluso cuando los atacantes cambian nombres, correos electrónicos y direcciones IP, otros patrones persisten. En lugar de evaluar los registros uno a uno, muchos sistemas agrupan las cuentas en clústeres según los atributos compartidos y se preguntan si ese clúster tiene un aspecto de comportamiento normal.
Las señales habitualmente utilizadas para la agrupación en clústeres incluyen:
Similitud de la huella digital del dispositivo: configuraciones de navegador compartidas, tamaños de pantalla o huellas gráficas
Patrones de red: proximidad de IP, titularidad del ASN y si el tráfico procede de redes residenciales o de infraestructura en la nube
Secuencias de comportamiento: el orden y la sincronización de las acciones durante el registro, que pueden generar una huella de las herramientas de automatización
Solapamientos de identidad: raíces de correo electrónico similares, números de teléfono reutilizados o direcciones que coinciden parcialmente
Velocidad y aceleración: picos repentinos de actividad procedentes de infraestructura que anteriormente no generaba tráfico
¿Qué estrategias funcionan para evitar la creación de cuentas falsas sin bloquear a los usuarios reales?
Las defensas efectivas contra la creación de cuentas falsas son escalonadas. También deben ser proporcionales a la señal de riesgo que realmente estás detectando.
Ten en cuenta lo siguiente:
Limitación de velocidad y controles de frecuencia: limitar los registros por dirección IP, huella de dispositivo o dominio de correo electrónico es una primera capa sencilla que detiene la automatización sin afectar a los usuarios reales.
Detección de bots según el comportamiento: el análisis de comportamiento invisible, como el movimiento del ratón, los patrones de escritura y el tiempo de interacción, puede filtrar bots sin presentar ningún desafío visible a los humanos. Los CAPTCHA (Prueba de Turing pública y automática para diferenciar a máquinas y humanos) más exigentes se reservan mejor para los casos ambiguos, en lugar de aplicarlos de manera universal.
Verificación progresiva: en lugar de obligar a todos los usuarios a pasar por el mismo flujo de verificación, aumenta las comprobaciones solo cuando el riesgo aumenta. Un usuario que se registra desde una red residencial con patrones de interacción normales podría pasar sin complicaciones, mientras que una dirección IP de centro de datos combinada con un correo electrónico desechable podría desencadenar una verificación por teléfono.
Tratar la verificación como una señal de riesgo: la verificación por correo electrónico y teléfono no debe verse solo como un obstáculo. Completar la verificación con un número de móvil de un servicio de envíos legítimo reduce el riesgo y aumenta el coste de crear cuentas falsas a gran escala.
Restricciones basadas en el riesgo: cuando las señales son ambiguas, las cuentas pueden crearse en un estado restringido, con acceso limitado a la API, sin créditos de prueba o con funciones reducidas. Las capacidades se amplían una vez que la cuenta demuestra un comportamiento legítimo a lo largo del tiempo.
Software de detección: existen herramientas inteligentes para reducir el fraude durante el proceso de registro, como un software que detecta la creación de cuentas falsas. También puedes considerar herramientas que marcan comportamientos sospechosos a raíz de la creación de cuentas falsas, como Stripe Radar, que utiliza inteligencia artificial (IA) entrenada con datos de millones de empresas de todo el mundo para identificar fraudes con mayor precisión.
¿Es suficiente bloquear la creación de cuentas falsas en el momento del registro?
Los controles en el registro son necesarios, pero no son suficientes por sí solos. Las técnicas de ataque evolucionan constantemente. La detección de números VoIP pierde efectividad cuando los atacantes migran a granjas de módulos de identidad del suscriptor (SIM). La huella digital del dispositivo se debilita a medida que mejoran las herramientas de automatización. Cualquier enfoque de detección estático acabará siendo sorteado.
La detección en el registro lo hace bien al hacer la entrada más dificultosa. Una campaña que antes requería un esfuerzo mínimo puede llegar a necesitar más infraestructura, más tiempo y más dinero por cuenta. El abuso de bajo margen, como el aprovechamiento masivo de pruebas gratuitas, si aumenta, puede hacer que las campañas dejen de ser rentables.
Los actores fraudulentos más decididos probablemente se adaptarán, por eso un sistema eficaz trata las defensas en el registro como una capa dentro de una estrategia más amplia.
Así es un modelo práctico y profundo:
Controles en el registro: la correlación de señales, los límites de velocidad y la verificación progresiva reducen el inventario de cuentas falsas antes de que se creen.
Monitorización tras el registro: el comportamiento inusual, los patrones de pago anómalos, el uso sospechoso de la API y las acciones coordinadas pueden revelar abusos que se cuelen por las brechas.
Reputación de la cuenta a lo largo del tiempo: las cuentas que se comportan con normalidad durante meses antes de volverse abusivas requieren modelos de detección centrados en la deriva del comportamiento y no en las señales del registro.
Detener por completo las cuentas falsas no es realista. El objetivo debe ser hacer que el abuso a gran escala sea costoso, detectable e insostenible.
Cómo puede ayudarte Stripe Radar
Stripe Radar utiliza modelos de IA, entrenados a partir de los datos de la red internacional de Stripe, para detectar y prevenir el fraude. Estos modelos se actualizan continuamente con las últimas tendencias de fraude para proteger a tu empresa frente a nuevas amenazas.
Stripe también ofrece Radar for Fraud Teams que permite a los usuarios añadir reglas personalizadas para hacer frente a situaciones de fraude específicas de sus empresas y acceder a información avanzada sobre fraudes.
Radar puede ayudar a tu empresa para:
Prevenir pérdidas por fraude: Stripe procesa más de un billón de dólares en pagos al año. Esta escala permite a Radar detectar y prevenir el fraude con precisión, lo que te ahorra dinero.
Aumenta los ingresos: los modelos de IA de Radar se entrenan con datos reales sobre disputas, información de clientes, datos de navegación y mucho más. Esto permite a Radar identificar transacciones de riesgo y reducir los falsos positivos, lo que aumenta tus ingresos.
Ahorra tiempo: Radar está integrado en Stripe y no requiere ninguna línea de código para su configuración. También puedes supervisar tu rendimiento en materia de fraude, escribir reglas y mucho más en una única plataforma, lo que aumenta la eficiencia.
Obtén más información sobre Stripe Radar o empieza hoy mismo.
El contenido de este artículo tiene solo fines informativos y educativos generales y no debe interpretarse como asesoramiento legal o fiscal. Stripe no garantiza la exactitud, la integridad, la adecuación o la vigencia de la información incluida en el artículo. Busca un abogado o un asesor fiscal profesional y con licencia para ejercer en tu jurisdicción si necesitas asesoramiento para tu situación particular.