Lo esencial
- Qué cambió: el fraude promocional pasó de manual a automatizado y a escala industrial.
- El dato: los ataques multi-paso saltaron del 10% (2024) al 28% (2025) del fraude de identidad.
- Por qué importa: más volumen y más sofisticación drenan una promo antes de que reacciones.
- La respuesta: mover la defensa al diseño de la campaña, no solo al runtime.
Durante años, abusar una promo fue trabajo manual: alguien con varios emails cobrando un bono dos o tres veces. Ese techo desapareció. Hoy el mismo abuso se ejecuta con software que crea cuentas a escala, sortea verificaciones y encadena pasos — y los números de la industria en 2025-2026 muestran una curva que no es lineal.
Lo que dicen los datos
Según el reporte anual de Sumsub, los ataques multi-paso —que encadenan identidad sintética, evasión de verificación y abuso de bonos— pasaron del 10% del fraude de identidad en 2024 al 28% en 2025, y anticipa que la IA agéntica va a acelerar la tendencia en 2026. En paralelo, el 2026 Bad Bot Report de Thales estima que los bots maliciosos ya representan cerca del 40% del tráfico de internet, con el tráfico de bots impulsado por IA creciendo con fuerza interanual. Y del lado de la puerta de entrada, datos de industria citados por Akamai ubican la creación de cuentas como la etapa de mayor riesgo del ciclo de vida, con una porción significativa de los intentos marcados como sospechosos en 2025.
Qué significa para tu promo
Para una campaña de cashback o referidos, esta industrialización cambia la escala del peor caso. El multi-accounting que antes daba diez cuentas hoy da miles; el velocity attack que antes tardaba horas hoy tarda minutos. La verificación en la puerta ayuda, pero los atacantes ya invierten en evadirla — y la investigación académica sobre detección con grafos, como el paper PromoGuardian (arXiv 2026), es en parte una respuesta a esa escala.
Por qué la defensa se mueve al diseño
Contra un atacante que automatiza, sumar analistas no escala. Lo que escala es cerrar el agujero antes de abrirlo: diseñar la promo para que, aun con bots ilimitados, el beneficio esté topeado por identidad y dispositivo, los bonos se acrediten por resultado y existan cortes automáticos. Eso es testing adversarial: simular al atacante automatizado contra tus reglas antes del lanzamiento. MateGuard lo corre y te devuelve el leakage estimado y los parches — la única capa que no llega tarde cuando el atacante es una máquina.
¿Tu promo resiste a un atacante automatizado?
MateGuard simula el abuso a escala industrial sobre tus reglas antes de lanzar y te muestra cuánto podés perder y cómo blindarte.
Analizar una campaña gratis →