Consejos de Seguridad

1 oct 2024

¿Cómo detectar y prevenir la creación de cuentas falsas?

¿Cómo detectar y prevenir la creación de cuentas falsas?

Estrategias efectivas para identificar cuentas fraudulentas y proteger tu negocio de bots y estafadores.

Una de cada cinco aperturas de cuentas en línea es falsa. Compañías de sectores como la financiera, el e-commerce, los viajes, los videojuegos o las redes sociales son víctimas de la creación masiva de cuentas falsas, generadas por bots y estafadores.

Esto puede elevarse a cantidades masivas. Solo en 2019, Facebook eliminó más de 2 mil millones de cuentas falsas, y LinkedIn bloqueó o eliminó 21,6 millones de cuentas falsas en solo seis meses. En plataformas de e-commerce como Amazon y Walmart, se estima que un tercio de las reseñas de productos son falsas, muchas de ellas procedentes de cuentas fraudulentas.

¿Por qué existen estas cuentas falsas? Y ¿cómo pueden las empresas detectarlas y prevenir su creación desde el principio?

¿Cómo funciona la creación de cuentas falsas?

A medida que las empresas se centran en el crecimiento de usuarios, tienden a aligerar cada vez más su proceso de registro, con formularios simples que solo requieren el nombre y el correo electrónico, y a veces un número de teléfono. Esto aumenta su tasa de conversión, pero también la probabilidad de atraer cuentas falsas.

El fraude de registro de cuentas ocurre cuando los estafadores aprovechan las vulnerabilidades de un formulario de registro de un sitio web o aplicación. Principalmente lo hacen con bots, usando scripts automáticos con información falsa o robada para aparentar ser usuarios genuinos.

La automatización de la creación de cuentas falsas ha alcanzado un nivel bastante avanzado, con bots que incorporan tiempos de espera para imitar el comportamiento humano y la comercialización de 'bots como servicio', que pueden alquilarse para crear cientos de cuentas falsas para ti.

La creación de cuentas falsas también puede ser realizada por personas reales, ya sea alguien intentando obtener una segunda prueba gratuita o granjas de fraudes, con trabajadores mal pagados creando cuentas falsas durante todo el día.

¿Por qué alguien crearía una cuenta falsa?

Hay muchas maneras sorprendentes de monetizar una cuenta falsa (especialmente si tienes miles de ellas). Aquí hay solo algunos ejemplos:

Abuso de pruebas gratuitas y suscripciones: Muchos servicios basados en suscripción, como plataformas de streaming, aplicaciones de fitness y empresas de videojuegos, ofrecen pruebas gratuitas para atraer a los usuarios. Los estafadores se aprovechan de esto creando o revendiendo cuentas falsas, permitiéndoles explotar repetidamente estas ofertas.

Reseñas de productos falsas: Un problema común en los mercados y plataformas de e-commerce, donde cuentas falsas son usadas para publicar reseñas exageradamente positivas o negativas para manipular clasificaciones de productos. Una rápida búsqueda en Google de "comprar reseñas de productos" revela cuán extendido y próspero es este mercado fraudulento.

Fraude de clics y participación: Los estafadores pueden ser pagados para generar clics falsos o participación falsa, ya sea para una empresa que busca agotar los presupuestos publicitarios de sus competidores haciendo clic en todos sus anuncios, o para un influencer buscando comprar 'me gusta' y comentarios en sus publicaciones.

Blanqueo de dinero: Desde plataformas de economía colaborativa y exchanges de criptomonedas hasta recompensas en videojuegos, los estafadores requieren una gran cantidad de cuentas falsas para lavar dinero a través de varios canales en línea.

Venta de productos falsos: Las cuentas falsas en plataformas de e-commerce pueden usarse para vender productos inexistentes, robados o de mala calidad (como productos de dropshipping etiquetados como artesanales o libros generados por IA).

Phishing y estafas: Hasta un 10% de los perfiles en aplicaciones de citas son falsos, principalmente usados para intentos de phishing. Estos perfiles falsos buscan engañar a los usuarios para que compartan información personal o caigan en otros esquemas fraudulentos.

Algunas industrias son más atacadas que otras, como:

  • Banca y finanzas: para facilitar el blanqueo de dinero, transacciones fraudulentas y robo de identidad.

  • Plataformas de redes sociales y citas: utilizadas para estafas, phishing y aumentar artificialmente el compromiso.

  • E-commerce: para manipular reseñas, explotar promociones, y vender bienes falsificados.

  • Educación: para acceder a contenido en línea o cometer fraudes de ayuda financiera.

  • Videojuegos: para hacer trampas, cosechar recompensas, y participar en fraudes con tarjetas de crédito.

Poderíamos listar muchas otras formas en las que estas cuentas pueden monetizarse, como manipular la opinión pública en redes sociales o hacer trampa en juegos en línea. Y a veces la gente crea cuentas falsas solo por el placer de trollear a los usuarios en línea.

¿Cuál es el impacto de las cuentas falsas?

Pérdidas financieras

La creación de cuentas falsas puede tener un profundo impacto financiero en las empresas, principalmente a través de pérdidas directas. Los estafadores explotan pruebas gratuitas y ofertas promocionales usando cuentas falsas, lo que lleva a gastos operativos significativos por servicios que nunca llegan a clientes genuinos.

Pero las empresas también pierden dinero en recursos como capacidad de servidor, ancho de banda y tiempo del personal necesario para soportar a estos usuarios falsos.

Análisis falsos

Las cuentas falsas también comprometen la precisión de los métricos clave de negocios, cruciales para la toma de decisiones. Con números de usuarios inflados, las empresas a menudo son llevadas a creer que están creciendo más rápido de lo que realmente lo están. Esto puede llevar a una escalada prematura de la infraestructura, lo que conlleva inversiones innecesarias en áreas como tecnología y personal.

Más allá de esto, las cuentas falsas pueden distorsionar los datos de interacción produciendo clics, vistas o interacciones infladas, haciendo difícil evaluar cómo interactúan los clientes reales con el negocio.

Los análisis y pruebas A/B, usadas para afinar las experiencias del cliente y optimizar las estrategias de marketing, también se vuelven poco confiables cuando las cuentas falsas alteran los resultados.

Presupuesto de marketing desperdiciado

Las cuentas falsas pueden incluirse en algoritmos de segmentación de audiencia, lo que significa que las campañas de marketing se dirigen a usuarios inexistentes. Esto diluye la efectividad de los anuncios y genera un pobre retorno de inversión.

Daño a la reputación

Si una plataforma es conocida por estar inundada de perfiles falsos, los clientes pueden empezar a cuestionar la legitimidad de su servicio o base de usuarios. Nadie quiere chatear con un bot o un perfil falso.

Para las empresas de e-commerce, las cuentas falsas que dejan reseñas fraudulentas de productos pueden minar la confianza en el mercado, erosionando la confianza del consumidor tanto en el negocio como en sus vendedores.

Costos de atención al cliente

El personal de atención debe lidiar con un aumento de consultas relacionadas con actividades fraudulentas, ya sea atendiendo quejas sobre estafas, procesando reembolsos por transacciones fraudulentas, o manejando problemas surgidos de reseñas falsas.

El tiempo dedicado a estas tareas desvía la atención de brindar soporte a clientes legítimos, lo que no solo agota los recursos, sino que también puede disminuir la calidad del servicio para los usuarios reales. Con el tiempo, esta carga de trabajo aumentada puede contribuir a un declive en la satisfacción del cliente en general, dañando aún más la reputación del negocio.

¿Cómo detectar cuentas falsas?

Detectar cuentas falsas es algo delicado, ya que no hay una solución única para todos los casos. Requiere monitorear patrones y comportamientos inusuales que distinguen a los usuarios fraudulentos de los legítimos.

Generalmente, puedes buscar una de estas señales de alerta:

Patrones de actividad inusuales: Las cuentas falsas a menudo muestran una participación irregular, como un alto volumen de acciones en un corto periodo de tiempo, que sería imposible realizar manualmente.

Perfiles incompletos o genéricos: Imágenes de perfil genéricas, nombres de usuario, o direcciones de correo electrónico que parecen automatizadas o aleatorias, como "paul1234" (perdón si ese realmente es tu nombre de usuario).

Anomalías de dirección IP: Un gran número de cuentas creadas desde la misma dirección IP o región en un corto periodo de tiempo (especialmente si no sueles operar en esa región) puede ser una señal de alerta.

Incremento de registros: Las cuentas falsas a menudo se generan en masa. Así que antes de abrir el champán para celebrar todos esos nuevos usuarios, verifica si parecen usuarios legítimos.

¿Cómo prevenir la creación de cuentas falsas desde el principio?

Detectar cuentas falsas está muy bien, pero ¿sabes qué es aún mejor? ¡Detenerlas antes de que sean creadas! Aquí tienes algunos consejos para ayudarte a lograrlo:

Implementar CAPTCHA

Los CAPTCHA pueden ser una primera capa útil para bloquear bots durante el proceso de registro, pero no son infalibles. Los bots son cada vez más capaces de eludir los CAPTCHA usando técnicas como el reconocimiento óptico de caracteres (OCR) para resolver los desafíos automáticamente.

De hecho, los servicios para resolver CAPTCHA están disponibles en línea a costos sorprendentemente bajos, haciéndolos menos efectivos como una defensa independiente. Además, seamos honestos, nunca he conocido a otro humano que le guste un campo de CAPTCHA.

Campos honeypot

Estos son campos de formulario invisibles que los usuarios legítimos no verán ni interactuarán, pero los bots a menudo sí. Cuando un sistema automatizado llena estos campos ocultos, dispara una alerta, permitiéndote identificar y bloquear al bot antes de que complete el proceso de registro. Esta técnica es imperceptible para los usuarios reales y altamente efectiva para detectar intentos automatizados.

Limitar la Creación de Cuentas

Establecer un límite en cuán frecuentemente los usuarios pueden crear cuentas desde el mismo dispositivo, dominio de correo electrónico o número de teléfono. Esto previene que los estafadores produzcan cuentas en masa con modificaciones menores de datos. También podrías restringir el número de cuentas que pueden ser creadas desde una sola dirección IP dentro de un marco de tiempo determinado. Pero ten cuidado, ya que esto podría resultar en falsos positivos dependiendo de tu negocio.

Verificación de número de teléfono

La verificación de teléfono es probablemente la forma más sencilla de implementar la prevención de cuentas falsas, ya que puede ser implementada con un API de SMS en menos de un día. Los usuarios usualmente solo tienen un número de teléfono, a los estafadores no les gusta revelar el suyo y es una gran forma de también prevenir que los usuarios creen múltiples cuentas.

La verificación de número de teléfono funciona enviando una contraseña de un solo uso (OTP) por SMS o un canal de mensajería en línea como WhatsApp. Al usar una solución diseñada para limitar el fraude, como Prelude, tienes la garantía de tener una base de usuarios segura y auténtica.

Autenticación Multifactor (MFA)

Para ir un paso más allá, puedes introducir MFA durante el proceso de creación de cuentas para autenticar a los usuarios a través de múltiples pasos, como una contraseña y un código de un solo uso enviado a un dispositivo verificado, dificultando que los bots creen cuentas.

Estudio de caso: Cómo Prelude ayudó a Cubzh a prevenir cuentas falsas en su plataforma de juegos

Cubzh es una plataforma de juegos que combina la libertad creativa de Minecraft con el espíritu comunitario de Roblox. A diferencia de sus competidores, Cubzh prioriza la calidad de su base de usuarios sobre su cantidad.

Una característica destacada de la plataforma es el Mercado de Creadores, donde los usuarios pueden ganar moneda del juego creando juegos exitosos y ser recompensados por sus contribuciones. Los jugadores también pueden ganar moneda a través de un compromiso constante, recibiendo recompensas por iniciar sesión diariamente y crear nuevas obras.

Sin embargo, Cubzh enfrentó desafíos con tramposos y usuarios maliciosos creando cuentas falsas y bots, amenazando su enfoque de comunidad primero. Algunos usuarios explotaron el modelo freemium creando múltiples cuentas para maximizar sus ganancias en el juego.

Manejar estos problemas internamente drenaba tiempo y recursos que podrían haberse utilizado mejor para mejorar la plataforma. Para abordar esto, Cubzh implementó las herramientas avanzadas de verificación de Prelude, que se volvieron cruciales en su lucha contra las cuentas falsas.

Ahora, todos los nuevos usuarios deben verificar su identidad proporcionando un número de teléfono (o el número de uno de los padres para usuarios menores de 13 años). El API de verificación por SMS de Prelude garantiza que cada cuenta sea legítima, permitiendo a Cubzh:

  • Proteger a jugadores más jóvenes y tranquilizar a los padres

  • Mantener una comunidad auténtica y de alta calidad

  • Evitar el abuso del sistema freemium impidiendo que los usuarios creen múltiples cuentas

El API de Prelude es realmente fácil de usar, pudimos implementar la solución en menos de un día. Desde entonces, hemos visto una mejora real en la calidad de nuestra base de usuarios y en la tasa de retención de usuarios”, Adrien Duermael, CEO de Cubzh

phone verification in cubzh

¿Cómo prevenir la creación de cuentas falsas con verificación telefónica?

Empezar es sencillo. Con el API de Prelude, puedes estar funcionando en solo tres pasos, todos detallados en nuestra guía de inicio rápido. Todo el proceso puede completarse en menos de un día, haciéndolo rápido y sin complicaciones.

  1. Obtén el SDK: Proporcionamos SDK para muchos lenguajes populares para facilitarte la vida, como Node, Go, Python, Ruby, Java, PHP o C#.

  2. Inicializa el SDK pegando el fragmento disponible en nuestra guía de inicio rápido.

  3. Envía y verifica un código: llama al punto final de autenticación con tu número de teléfono para recibir un código por SMS y verificarlo.

Y eso es todo—¡has implementado con éxito la verificación por SMS! Desde aquí, puedes realizar pruebas para asegurarte de que la integración funcione sin problemas, agregar señales de fraude para una protección mejorada, y conectar tu webhook para recibir notificaciones en tiempo real cuando se envíe o facture un OTP.

Entonces, si deseas mitigar las cuentas falsas en tu plataforma, puedes empezar gratis con Prelude o hablar con nuestro equipo de ventas!