Lo esencial
- Qué es: muchas cuentas de una misma persona o granja para cobrar la misma promo varias veces.
- Cómo se detecta: colisiones de huella de dispositivo, método de pago, dirección e IP entre cuentas que deberían ser independientes.
- Cómo se frena: topear el beneficio por identidad y dispositivo verificados, no por cuenta.
- Precedente real: PayPal identificó 4,5 millones de cuentas ilegítimas creadas para cobrar un incentivo de USD 10.
Cuando lanzás una promo de cashback o un bono de bienvenida, asumís que una cuenta es una persona. El multi-accounting rompe exactamente esa suposición: un solo actor crea decenas, cientos o miles de cuentas y cobra el beneficio una vez por cada una. No es un caso de borde teórico. En su earnings call de Q4 2021, PayPal reveló que había identificado 4,5 millones de cuentas ilegítimas creadas por bot farms para cobrar un incentivo de USD 10 — y la acción cayó cerca del 25% el día que lo contó.
Qué es exactamente el multi-accounting
Multi-accounting: creación de múltiples cuentas por parte de una misma persona o grupo para cobrar varias veces un mismo beneficio. Se apoya en alias de email (el truco del + en Gmail, dominios descartables), emuladores y granjas de dispositivos, VPNs residenciales y datos de identidad sintéticos.
La versión artesanal la hace una persona con diez emails. La versión industrial la hace software: un script que registra miles de cuentas rotando huellas de dispositivo e IP. Entre las dos hay un continuo, y tu promo tiene que resistir a las dos.
Cómo se detecta
El multi-accounting es invisible si mirás cuenta por cuenta, y evidente si mirás las relaciones entre cuentas. Las señales que importan:
Huella de dispositivo. Muchos user_id asociados al mismo device_id, fingerprint de navegador o par modelo+SO. Un hogar comparte un par de dispositivos; una granja concentra decenas de cuentas en uno.
Método de pago e identidad. La misma tarjeta, CBU/CVU, o documento detrás de cuentas que se presentan como distintas personas. El dinero tiende a volver a un solo bolsillo.
Red y geografía. Altas desde un rango acotado de IPs, o desde IPs de datacenter/VPN cuando esperás usuarios residenciales.
Tiempo. Picos de registros en minutos u horas, con patrones no humanos (mismo intervalo entre altas, actividad 24/7).
Cómo se frena antes de lanzar
La regla central: topeá el beneficio por identidad y dispositivo verificados, no por cuenta. Si el cashback se acredita "una vez por persona" y la persona se valida con KYC y unicidad de dispositivo, crear mil cuentas deja de multiplicar el beneficio.
El cashback leakage que genera el multi-accounting no aparece en un dashboard hasta que ya perdiste el dinero. Por eso conviene correr el ataque antes del lanzamiento: simular a un abusador que arma la granja y ver cuántas cuentas logra cobrar con las reglas actuales. Ahí es donde MateGuard estima el leakage y te devuelve el parche de T&C y el SQL de monitoreo antes de que la promo salga a la calle.
¿Tu próxima promo resiste una granja de cuentas?
MateGuard simula el multi-accounting sobre tus reglas antes de lanzar, estima cuánto podés perder y te da el parche de T&C y el SQL para detectarlo en producción.
Analizar una campaña gratis →