Lo esencial
- Según el DOJ, un solo miembro de una red condenada cobró USD 194.800 vía el sistema de referidos de DoorDash con 487 cuentas.
- PayPal informó ~USD 6M de pérdidas por fraude en 2000, y en 2021 identificó 4,5M de cuentas ilegítimas creadas para cobrar incentivos.
- El patrón que se repite: la regla paga por un registro fácil de falsificar, no por valor real, y no topea por identidad.
- En varios casos el abuso no rompió ninguna regla técnica: explotó la falta de un tope de diseño.
Por qué estos casos importan: el cashback leakage y el fraude de referidos no son riesgos teóricos. Son incidentes documentados, con condenas judiciales y cifras reveladas en llamadas de resultados. Leerlos en orden deja una lección incómoda: casi todos eran prevenibles en el diseño de la regla, no en la detección posterior.
Resumen de los cinco casos
| Caso | Vector principal | Impacto reportado |
|---|---|---|
| Red condenada por el DOJ (Uber/Lyft/DoorDash, 2019–2021) | Referral rings + identidades robadas | USD 194.800 un solo actor (487 cuentas); 24 imputados |
| PayPal (1999–2000) | Multi-accounting + actividad sintética | ~USD 6M en fraude en el año 2000 |
| PayPal (2021) | Multi-accounting (farming de signup) | 4,5M de cuentas ilegítimas identificadas |
| Uber (2014) | Referral ring individual (difusión masiva) | USD 50.000 en créditos en 8 semanas |
| Tesla (2017–2019) | Incentivo sin tope de escala | Programa cerrado por sobrecosto (feb. 2019) |
1. La red que el DOJ condenó: USD 194.800 con 487 cuentas
Una banda usó más de 2.000 identidades robadas para crear cuentas de conductor fraudulentas en Uber, Lyft y DoorDash, las alquilaba y se auto-referenciaba para cobrar los bonos. Según documentos judiciales del Departamento de Justicia de EE. UU. (con evidencia de capturas de WhatsApp), un solo miembro cobró USD 194.800 a través del sistema de referidos de DoorDash usando 487 cuentas. El DOJ acusó a 19 ciudadanos brasileños en una primera tanda y a 5 más en una segunda; un cabecilla fue condenado a casi 3 años de prisión. El equipo de Investigaciones Globales de Uber detectó el patrón y trabajó con el FBI.
La regla que falló: el bono se pagaba por cada cuenta de conductor nueva onboardeada vía link de referido, sin una verificación de unicidad e identidad lo bastante fuerte como para frenar el multi-accounting a escala industrial.
2. PayPal (2000): ~USD 6M de fraude durante el crecimiento viral
El célebre "USD 20 por registrarte + USD 20 por referido" llevó a PayPal de ~1M a ~5M de usuarios en meses. Sin un control anti-bot en el registro (el CAPTCHA todavía no existía), actores maliciosos crearon cuentas automatizadas con tarjetas robadas. Según reportes de la historia de la empresa, PayPal perdió alrededor de USD 6 millones a fraude en el año 2000, contra ingresos por debajo de USD 5 millones ese mismo año. La respuesta fue técnica: Max Levchin y David Gausebeck construyeron el test Gausebeck-Levchin, uno de los primeros CAPTCHA de la industria.
3. PayPal (2021): 4,5 millones de cuentas ilegítimas
Dos décadas después, durante una campaña agresiva de adquisición con incentivos de USD 5–10 por registro, el problema volvió con otra cara. En la llamada de resultados del Q4 2021, el CFO John Rainey reveló que PayPal identificó 4,5 millones de cuentas que cree fueron creadas ilegítimamente para cobrar el incentivo de bienvenida. PayPal abandonó públicamente el marketing de adquisición basado en incentivos y se movió a una estrategia de engagement y retención.
4. Uber (2014): USD 50.000 en créditos en 8 semanas
Uber ofrecía USD 20 de crédito por referido, con una política de texto que prohibía publicar el link en sitios de ofertas. Un usuario personalizó su código, lo envió a más de 700 contactos y lo publicó en Reddit, generando ~2.500 registros y acumulando USD 50.000 en créditos en 8 semanas. El detalle revelador: no lo detectó el volumen de referidos, sino una reseña de 1 estrella que disparó una revisión manual. La regla tenía una prohibición en el texto legal, pero ningún control técnico contra la difusión masiva del link.
5. Tesla (2017–2019): el incentivo sin techo
El programa de Tesla escalaba recompensas hasta premios de altísimo valor para los "top referrers". Referentes profesionalizados publicitaron sus códigos masivamente, convirtiendo un programa de recomendación en publicidad paga encubierta. La prensa especializada reportó pagos por decenas de millones y crecientes preocupaciones de costo; Tesla cerró el programa el 1 de febrero de 2019 por su sobrecosto, lo relanzó en una versión acotada y terminó discontinuándolo. Lo interesante para el diseño de reglas: aquí el "abuso" no rompió ninguna regla —el uso correcto pero a escala industrial de un incentivo sin tope de participación produjo el mismo resultado económico que un fraude directo.
El patrón que se repite (y cómo cerrarlo antes de lanzar)
Cinco casos, la misma raíz: la regla paga por algo fácil de fabricar (un registro, un link difundido) en vez de por valor real verificable, y no topea por identidad ni limita la escala. La checklist antifraude de referidos cubre estos controles, y correr un test adversarial antes del lanzamiento está diseñado para encontrar justamente el hueco que cada una de estas empresas descubrió tarde.
Encontrá tu hueco antes de que lo encuentren ellos
MateGuard simula estos mismos vectores sobre las reglas de tu próxima campaña y te dice cuánto podés perder, en dólares, antes de lanzar.
Analizar una campaña gratis →Fuentes: Departamento de Justicia de EE. UU. · The Record · Plaid — PayPal's history of fighting fraud · Forbes · CleanTechnica.