Multi-cuentas en las casas de apuestas: cómo detectar «granjas» de jugadores sin alarmismos ni falsos positivos

Multi-cuentas en las casas de apuestas: cómo detectar «granjas» de jugadores sin alarmismos ni falsos positivos

El multiacceso es cuando la misma persona o toda una "granja" de personas crea muchas cuentas para sacar el máximo al operador: bonos de bienvenida, reembolsos, arbitrajes en promociones, límites incrementados para "nuevos". Para el operador parece una fuga silenciosa de dinero y para el equipo antifraude es un juego constante de ponerse al día. Abajo hay una guía práctica sobre cómo detectar sistemáticamente las "granjas" sin histerias ni bloqueos innecesarios, apoyándose en conexiones en grafo, comportamiento y coincidencias parciales de datos.

Por qué afecta a la economía unitaria

Bloque aburrido pero importante. El multiacceso impacta varias métricas a la vez:

  • LTV y margen: el jugador promedio aporta menos, porque las "granjas" consumen bonos y aplican estrategias rentables a corto plazo.
  • CPA y retorno de marketing: se paga como por nuevos y se recibe a veteranos disfrazados; el ROMI cae.
  • Volumen y riesgo: en líneas y en vivo aparece un sesgo hacia mercados promocionales y arbitrajes, y aumenta la volatilidad del resultado.

En términos financieros: sin antifraude pagamos por el cliente dos veces, y a veces tres. Además le regalamos apuestas gratis. No es el mejor plan de negocio.

Tres pilares de la detección: grafo, comportamiento, "coincidencias parciales"

La buena noticia: no es necesario inventar la piedra filosofal. En la práctica, la mejor eficacia proviene de combinar tres enfoques.

  1. Conexiones en grafo. Construya un grafo "cuenta — entidad" y busque clústeres. Las entidades son dispositivos, IP, subredes/ASN, tarjetas, monederos, direcciones, números de teléfono, correos, identificadores de cookie, huellas TLS (por ejemplo, JA3) y del navegador. Analítica a través de NetworkX o Neo4j GDS: Componentes Conectados, Louvain, Label Propagation, PageRank para detectar "hubs".
  2. Patrones de comportamiento. Duración de sesiones, orden de acciones (depositar → bono → apuesta → retiro), preferencias por mercados, "velocidad de clic", repetición de rutas en la interfaz y la rapidez para "cazar" bonos. Todo esto se ajusta bien a perfiles y modelos de secuencia.
  3. Coincidencias parciales de datos. Mismo domicilio, calles/portales iguales, nombres y apellidos ligeramente diferentes, dominios de correo similares, tarjetas del mismo rango BIN, monederos del mismo "familia", números dentro de una misma decena. Aquí mandan el emparejamiento por fases y la similitud difusa de cadenas, además de la normalización de direcciones.

Señales que suelen activarse

Lista de elementos que aportan el mayor valor en proyectos reales. Agréguela conforme aumente la madurez:

  • Red: IP públicas compartidas, subredes /24, sistemas autónomos (ASN). Para el mapeo ayuda la base MaxMind ASN. Los proxies residenciales y móviles se enmascaran peor de lo que parece: buscamos "peines" de cambio de IP en ventanas cortas.
  • Dispositivos y clientes: huella del dispositivo (características del hardware, canvas, audio), huellas del TLS Handshake (como JA3), combinaciones "raras" de fuentes y plugins. No olvide la rotación de navegadores: también es un patrón.
  • Identificadores: teléfonos en operadores "desechables", correos en dominios recientes, direcciones de entrega repetidas, "racimos" de tarjetas de un mismo BIN, monederos con rutas de recarga idénticas.
  • Comportamiento: secuencias de acciones extremadamente rápidas, navegación de "script", apuestas por promoción con valor cercano a cero, retiros instantáneos tras requisitos mínimos, clics erróneos idénticos.
  • Geolocalización y tiempo: inicios de sesión desde ciudades diferentes con minutos de diferencia, "teletransportes" entre países y sesiones nocturnas sincronizadas en un "clúster".

Cómo construir el grafo y no arrepentirse

El grafo no es solo "círculos bonitos". Proporciona tres cosas prácticas: 1) clústeres de multiaccesos; 2) núcleos de "granjas" (hubs); 3) puentes entre grupos.

  • Esquema: nodos de dos tipos — "cuenta" y "entidad". Aristas: "usa dispositivo", "inicia sesión desde IP", "vinculado a tarjeta", "misma dirección", "JA3 coincidente", etc.
  • Extracción de clústeres: Componentes Conectadas/Louvain. Calcule la "densidad" del clúster, la proporción de bonos, el beneficio/pérdida total para el operador y la proporción de apuestas promocionales.
  • Semántica de la arista: no todas las conexiones valen igual. "IP coincidida una vez" es más débil que "tarjeta compartida". El peso de la arista eleva la fuerza de la señal. Esto es clave para el scoring.
  • Herramientas: prototipo rápido — NetworkX. En producción — base de datos de grafos y algoritmos GDS en Neo4j. Para avanzados — embeddings de grafos y GNN en PyTorch Geometric.

Modelos de comportamiento: de reglas a ML

Al principio bastan reglas. Luego — supervisión débil y detección de anomalías. Después — supervisión completa cuando haya casos etiquetados de "granjas".

  1. Reglas: "N cuentas en M minutos desde un mismo ASN", "alta proporción de apuestas con bonos en el grupo", "secuencia de 5 pasos idénticos en T segundos". Lo bueno de las reglas es que son explicables y se implementan rápido.
  2. Anomalías: Isolation Forest, One-Class SVM, PCA/Autoencoder. Útiles para detectar "esto no lo veíamos ayer". Véase IsolationForest.
  3. ML clásico: cuando se acumulan etiquetas, use boosting de gradiente — XGBoost o LightGBM. Características: del grafo (centralidad, tamaño de la componente, proporción de enlaces "fuertes"), de comportamiento (velocidades, secuencias), de datos (coincidencias por fases), de red (ASN, subbloque IP, frecuencia de rotaciones).

Coincidencias parciales de datos: cuidado con los familiares

La vida real complica la teoría perfecta. Los familiares viven en la misma dirección, comparten Wi‑Fi y a veces una tarjeta. Por eso "misma dirección = bloqueo" es camino al problema. Qué hacer:

  • Normalice direcciones y nombres y apellidos. Calles, número/edificio/piso, variantes ortográficas, espacios. Compare por tokens y distancia de Levenshtein, no de forma literal.
  • Unir por varios indicios débiles. Dirección + conjunto telefónico + correos similares + patrón IP compartido. Una sola coincidencia débil no basta.
  • Escenarios para casos cercanos: para situaciones "familiares" aplique restricciones suaves: límites de bonos por hogar, revisión manual en retiros, comunicación transparente.

Huella del dispositivo y de la red: qué funciona realmente

Dispositivo y red son palancas que resulta más difícil falsificar a gran escala. Algunos métodos que aportan valor constante:

  • Huellas TLS/cliente. Combinación de versiones, cifrados, extensiones (como JA3) más cabeceras HTTP crean la "firma" de una familia de bots/navegadores.
  • Huella de comportamiento. Movimiento del ratón, scroll, intervalos entre clics. Un script no es perfecto: es difícil simular a gran escala el microtemblor de una mano humana.
  • Atribución de proxies. Listas grises/blancas de ASN, rotación anómala de IP, "cadenas" de inicios de sesión desde un mismo pool de proxies móviles con firmas temporales idénticas.
  • Métricas del navegador. Canvas/WebGL/audio, lista de fuentes, plugins. Para empezar vale usar el proyecto abierto FingerprintJS (como referencia, no como solución definitiva).

Scoring de riesgo y umbrales: para no bloquear media web

Cualquier "feature" se convierte en número y los números en riesgo. A partir de ahí — matemática simple y disciplina:

  1. Recoja características. Categóricas (ASN, país), continuas (velocidades, proporciones), del grafo (centralidades, tamaños de componentes), binarias (coincidió/no coincidió).
  2. Construya el score. Ya sea con un modelo ML o con una suma ponderada calibrada con casos históricos.
  3. Implemente tres umbrales. Verde — dejamos pasar; Gris — fricción (verificación adicional, reducción de límites, solicitud de documentos); Rojo — detener operaciones, revisión manual, KYC.
  4. Haga A/B con los umbrales. Optimice por métricas del negocio: retención de usuarios legítimos, ahorro en bonos, reducción de pagos a "granjas".

Proceso y UX: rigor donde compensa

Antifraude no es "prohibirlo todo a todos", sino el momento adecuado para generar fricción:

  • Al inicio: scoring suave, autenticación adicional ante anomalías, verificaciones puntuales ante coincidencias de señales débiles.
  • En bonos: límite por hogar, activación diferida, requisitos de juego con verificación de dispositivos.
  • En retiros: KYC/Liveness reforzado en riesgo rojo, solicitud de documentos basados en conexiones "fuertes" (tarjeta, monedero, dirección).
  • Comunicación: explique honestamente las reglas y razones de las verificaciones. Cuanto más transparente, menos escándalos y devoluciones.

Métricas de éxito: qué mirar cada semana

Métricas clave que ayudan a verificar que el antifraude funciona y no perjudica al negocio:

  • Proporción de bonos utilizados por los clústeres del grafo (↓ — positivo).
  • LTV promedio de jugadores honestos (↑ — una visión completa es más importante que el ahorro inmediato).
  • Tasa de falsos positivos en retiros (bajo = soporte satisfecho).
  • Tiempo de revisión de casos y conversión a multiacceso confirmado.
  • Proporción de "granjas" eliminadas que no vuelven (no queremos retener al atacante).

Mini lista de verificación para la implementación

Si quiere resultados "ayer", empiece por esta lista. Cubre el 80% del beneficio con el 20% del esfuerzo:

  1. Recoja logs crudos de inicios de sesión/registro/pagos y normalice claves (direcciones, nombres y apellidos, teléfonos, tarjetas, correo electrónico).
  2. Active telemetría básica del dispositivo y huellas TLS/HTTP (ver JA3).
  3. Construya un grafo bipartito "cuenta — entidad" y calcule Componentes Conectadas (por ejemplo con NetworkX).
  4. Formule 10–15 reglas para conexiones "fuertes" y aplique fricción en retiros.
  5. Agregue IsolationForest para buscar anomalías en comportamiento.
  6. Recoja las primeras etiquetas (revisión manual de los clústeres principales) y entrene boosting ( XGBoost/ LightGBM) con features de grafo.
  7. Configure tres umbrales de riesgo y el proceso de escalado (gris/rojo), coordínese con soporte y pagos.
  8. Planifique revisiones semanales: qué funcionó, qué se volvió ruido, qué reglas eliminar.

Aspectos legales y éticos

Sí, aquí la burocracia es inevitable. La recolección y el tratamiento de datos deben cumplir la legislación local y las condiciones del contrato. No guarde datos innecesarios "por si acaso", explique a los usuarios por qué se necesita la verificación y mantenga un historial demostrable de decisiones (audit trail). Si hay dudas, consulte las recomendaciones de OWASP sobre la lucha contra amenazas automatizadas: útiles para definir políticas internas.

Conclusión: estrategia contra "granjas", no guerra con los clientes

El multiacceso se combate no con el "martillo de los bloqueos", sino con un sistema: grafo para las conexiones, comportamiento para el contexto, gestión cuidadosa de coincidencias parciales y un scoring de riesgo claro con umbrales comprensibles. Además, disciplina en las métricas y respeto por los jugadores legítimos. Aplique dureza donde compense y notará: los bonos dejarán de "escaparse", el ROMI volverá a la vida y el equipo de soporte se quejará menos y agradecerá más. Eso ya es una victoria.

Bonificación: tabla de señales y "fuerza" del vínculo

Señal Fuerza del vínculo Comentario
Tarjeta/monedero compartido Alta Normalmente requiere fricción/verificación inmediata
Dirección coincidente + conjunto telefónico Media Cuidado: familias y vecinos. Se necesitan indicios adicionales
JA3 idéntico + patrones de clics repetidos Media Útil para detectar granjas "scriptadas" en proxies
IP pública compartida Baja Wi‑Fi compartida/oficina/cafetería. Señal débil
Clúster en el grafo >= 5 cuentas Alta Especialmente si hay aristas fuertes (vínculos de pago)
Alt text
article-title

Niko Nepo