Las plataformas de redes sociales vinculan cuentas no por arte de magia, sino mediante la agregación de reputación de IP, agrupación de comportamiento y colisiones de huellas digitales del navegador. Una única IP de proxy utilizada en dos cuentas es un vínculo directo: plataformas como Meta y TikTok consideran las direcciones IP compartidas como un indicador de confianza del 95% de propiedad común. Confiar únicamente en proxies sin aislamiento de IP por cuenta garantiza la detección en cuestión de días.
Por qué las firmas de IP compartidas desencadenan la vinculación de cuentas
Cada solicitud HTTP lleva la IP de origen. Las plataformas registran esta IP junto con el ID de la cuenta, la cookie de sesión y la huella digital del dispositivo. Cuando una segunda cuenta se autentica desde la misma IP, la plataforma realiza una unión de IP entre cuentas. Esto no es una simple coincidencia de cadenas: utilizan agrupación por subred (/24 para IPv4), superposición de ASN y proximidad temporal. Si dos cuentas aparecen desde el mismo 203.0.113.0/24 dentro de una ventana de 24 horas, la puntuación de riesgo aumenta. Las IPs de centros de datos son especialmente tóxicas: el 80% de los rangos de centros de datos son marcados dentro de las 24 horas posteriores a su primer uso por parte de los equipos de abuso de redes sociales, según datos de bases de datos de calidad de IP como ipqualityscore.com. Las IPs residenciales de los pools de ISP tienen mejor rendimiento, pero incluso estas se agrupan por ASN: dos cuentas que usan diferentes IPs del mismo ISP en la misma ciudad seguirán compartiendo un prefijo BGP, que las plataformas tratan como un vínculo débil.
Perfiles de detección móvil, residencial y de centro de datos
Las IPs móviles provienen de rangos NAT de operador (CGNAT) (RFC 6598). Una sola IP móvil puede atender a miles de usuarios; las plataformas lo saben y descartan la superposición de IP móvil como ruido. Eso no hace que los proxies móviles sean seguros. Operadores como T-Mobile o Vodafone asignan IPs de ASNs conocidos, y las plataformas mantienen tablas de reputación por operador. Si enrutas todas las cuentas a través del mismo operador móvil, sigues compartiendo una señal de ASN. Los proxies residenciales de ISP (Comcast, Deutsche Telekom) ofrecen mejor anonimato por IP, pero sus pools de IP a menudo se reciclan rápidamente: una IP de proxy utilizada para una cuenta hoy podría asignarse a un usuario diferente mañana, rompiendo la persistencia de sesión. Los proxies de centros de datos son los peores: son baratos, rápidos y marcados de inmediato. Las plataformas realizan búsquedas whois y verifican registros PTR; un DNS inverso que apunte a server.provider.com es una bandera roja instantánea. Para configuraciones de múltiples cuentas en producción, utiliza proxies residenciales o móviles con IPs dedicadas que nunca se reutilicen entre cuentas.
Sesiones persistentes por cuenta: la persistencia de IP no es negociable
Cada cuenta debe vincularse a una única IP de proxy durante todo su ciclo de vida. La persistencia de sesión evita que la plataforma vea cambios de IP, lo cual es en sí mismo una señal sospechosa. La implementación más simple es un archivo de configuración de proxy por cuenta. A continuación se muestra una función de bash que lanza una solicitud curl con un proxy dedicado y un user-agent aleatorio:
function acct_request() {
local account_id="$1"
local proxy_ip="$2"
local proxy_port="$3"
local ua=$(shuf -n1 /path/to/user_agents.txt)
curl --proxy "socks5://$proxy_ip:$proxy_port" \
--proxy-user "user:pass" \
-H "User-Agent: $ua" \
--cookie "session_$account_id=..." \
--cookie-jar "/tmp/cookies_$account_id.txt" \
"https://platform.com/api/endpoint"
}Este script mantiene constante la asignación de proxy por ID de cuenta. Para la automatización del navegador, usa Puppeteer con un proxy por página mediante --proxy-server y un contexto de navegador dedicado. Nunca compartas un proxy entre cuentas: incluso una sola solicitud desde una IP compartida será registrada y puede desencadenar una vinculación retrospectiva cuando una cuenta sea marcada.
Aislamiento de huella digital del navegador junto con el aislamiento de proxy
La IP es solo una dimensión. Las plataformas también recopilan huellas digitales de canvas, renderizador WebGL, fuentes instaladas, zona horaria y navigator.hardwareConcurrency. Dos cuentas que comparten la misma huella digital del navegador pero diferentes IPs se vinculan con alta confianza: la huella digital suele ser más estable que la IP. Debes aislar las huellas digitales por cuenta. Utiliza perfiles de navegador separados (Chrome --user-data-dir) o navegadores sin cabeza con bibliotecas de aleatorización de huellas digitales como puppeteer-extra-plugin-stealth. Incluso así, existen filtraciones sutiles: la bandera navigator.webdriver, la presencia de chrome.runtime y las filtraciones de IP local de WebRTC. Desactiva WebRTC en el navegador o enrútalo a través del mismo proxy. Un error común es usar un proxy residencial mientras se deja WebRTC habilitado: el navegador filtrará la IP real a través de solicitudes STUN, anulando instantáneamente el proxy.
El riesgo en cascada de la suspensión masiva
Cuando una cuenta es marcada por spam, violación de políticas o comportamiento automatizado, la plataforma no se detiene en esa cuenta. Realizan un escaneo hacia atrás: todas las cuentas que alguna vez compartieron la misma IP, la misma huella digital del navegador, o incluso el mismo patrón de inicio de sesión (por ejemplo, actividad idéntica en el mismo horario) se ponen en cola para revisión. Esta es la cascada de suspensión masiva. Una única IP de proxy comprometida puede derribar 50 cuentas si la reutilizaste. Peor aún, las plataformas comparten inteligencia de amenazas: Facebook ThreatExchange de Meta y reCAPTCHA Enterprise de Google intercambian hashes de IP y huellas digitales entre sí. Una IP marcada en Instagram puede desencadenar una suspensión en WhatsApp o Facebook. La única defensa es el aislamiento estricto: una IP, una huella digital, una cuenta. Sin infraestructura compartida. Utiliza máquinas virtuales separadas o contenedores Docker con configuración de proxy y huella digital por contenedor. Audita tu grupo de proxies semanalmente para detectar listas negras de IP utilizando herramientas como la API de virustotal o ip-api.com: si una IP aparece en alguna base de datos de abuso, retírala inmediatamente y migra la cuenta a una IP nueva. El costo de una sola cascada de suspensión es órdenes de magnitud mayor que el costo de mantener recursos de proxy dedicados por cuenta.