Le piattaforme di social media collegano gli account non per magia, ma aggregando la reputazione IP, il clustering comportamentale e le collisioni di impronte digitali del browser. Un singolo IP proxy utilizzato per due account è un collegamento diretto: piattaforme come Meta e TikTok considerano gli indirizzi IP condivisi come un indicatore di proprietà comune con una confidenza del 95%. Affidarsi solo ai proxy senza isolamento IP per account garantisce il rilevamento entro pochi giorni.
Perché le firme IP condivise innescano il collegamento degli account
Ogni richiesta HTTP trasporta l'IP di origine. Le piattaforme registrano questo IP insieme all'ID dell'account, al cookie di sessione e all'impronta digitale del dispositivo. Quando un secondo account si autentica dallo stesso IP, la piattaforma esegue un join IP tra account. Non si tratta di una semplice corrispondenza di stringhe: usano il clustering di subnet (/24 per IPv4), la sovrapposizione ASN e la prossimità temporale. Se due account appaiono dallo stesso 203.0.113.0/24 entro una finestra di 24 ore, il punteggio di rischio aumenta. Gli IP dei datacenter sono particolarmente tossici: l'80% degli intervalli di datacenter viene segnalato entro 24 ore dal primo utilizzo da parte dei team di abuso dei social media, secondo i dati di database di qualità IP come ipqualityscore.com. Gli IP residenziali provenienti da pool ISP se la cavano meglio, ma anche questi sono raggruppati per ASN: due account che utilizzano IP diversi dello stesso ISP nella stessa città condivideranno comunque un prefisso BGP, che le piattaforme trattano come un collegamento debole.
Profili di rilevamento per IP mobili, residenziali e datacenter
Gli IP mobili provengono da intervalli NAT di livello carrier (CGNAT) (RFC 6598). Un singolo IP mobile può servire migliaia di utenti — le piattaforme lo sanno e considerano la sovrapposizione di IP mobili come rumore. Ciò non rende i proxy mobili sicuri. Operatori come T-Mobile o Vodafone assegnano IP da ASN ben noti, e le piattaforme mantengono tabelle di reputazione per operatore. Se instradi tutti gli account attraverso lo stesso operatore mobile, condividi comunque un segnale ASN. I proxy residenziali degli ISP (Comcast, Deutsche Telekom) offrono una migliore anonimità per IP, ma i loro pool IP vengono spesso riciclati rapidamente — un IP proxy utilizzato oggi per un account potrebbe essere assegnato a un utente diverso domani, rompendo la persistenza della sessione. I proxy dei datacenter sono i peggiori: sono economici, veloci e immediatamente segnalati. Le piattaforme eseguono ricerche whois e controllano i record PTR; un DNS inverso che punta a server.provider.com è un campanello d'allarme immediato. Per configurazioni multi-account in produzione, utilizza proxy residenziali o mobili con IP dedicati che non vengono mai riutilizzati tra account.
Sessioni sticky per account — la persistenza IP non è negoziabile
Ogni account deve essere vincolato a un singolo IP proxy per tutto il suo ciclo di vita. La persistenza della sessione impedisce alla piattaforma di vedere il cambio di IP, che di per sé è un segnale sospetto. L'implementazione più semplice è un file di configurazione proxy per account. Di seguito una funzione bash che lancia una richiesta curl con un proxy dedicato e un user-agent randomizzato:
function acct_request() {
local account_id="$1"
local proxy_ip="$2"
local proxy_port="$3"
local ua=$(shuf -n1 /path/to/user_agents.txt)
curl --proxy "socks5://$proxy_ip:$proxy_port" \
--proxy-user "user:pass" \
-H "User-Agent: $ua" \
--cookie "session_$account_id=..." \
--cookie-jar "/tmp/cookies_$account_id.txt" \
"https://platform.com/api/endpoint"
}Questo script mantiene costante l'assegnazione del proxy per ID account. Per l'automazione del browser, usa Puppeteer con un proxy per pagina tramite --proxy-server e un contesto browser dedicato. Non condividere mai un proxy tra account — anche una singola richiesta da un IP condiviso verrà registrata e può innescare un collegamento retrospettivo quando un account viene segnalato.
Isolamento dell'impronta digitale del browser insieme all'isolamento del proxy
L'IP è solo una dimensione. Le piattaforme raccolgono anche impronte canvas, renderer WebGL, font installati, fuso orario e navigator.hardwareConcurrency. Due account che condividono la stessa impronta del browser ma IP diversi vengono collegati con alta confidenza — l'impronta è spesso più stabile dell'IP. Devi isolare le impronte per account. Usa profili browser separati (Chrome --user-data-dir) o browser headless con librerie di randomizzazione delle impronte come puppeteer-extra-plugin-stealth. Anche così, esistono perdite sottili: flag navigator.webdriver, presenza di chrome.runtime e perdite di IP locale WebRTC. Disabilita WebRTC nel browser o instradalo attraverso lo stesso proxy. Un errore comune è usare un proxy residenziale lasciando WebRTC abilitato — il browser farà trapelare l'IP reale tramite richieste STUN, vanificando immediatamente il proxy.
Il rischio a cascata della sospensione di massa
Quando un account viene segnalato per spam, violazione delle policy o comportamento automatizzato, la piattaforma non si ferma a quell'account. Eseguono una scansione a ritroso: tutti gli account che hanno mai condiviso lo stesso IP, la stessa impronta del browser o persino lo stesso schema di login (ad esempio, attività allo stesso orario del giorno) vengono messi in coda per la revisione. Questa è la cascata di sospensione di massa. Un singolo IP proxy compromesso può far cadere 50 account se lo hai riutilizzato. Peggio ancora, le piattaforme condividono intelligence sulle minacce — Facebook ThreatExchange di Meta e reCAPTCHA Enterprise di Google si scambiano hash di IP e impronte. Un IP segnalato su Instagram può innescare la sospensione su WhatsApp o Facebook. L'unica difesa è un isolamento rigoroso: un IP, un'impronta, un account. Nessuna infrastruttura condivisa. Usa macchine virtuali separate o container Docker con configurazione proxy e impronta per container. Controlla settimanalmente il tuo pool di proxy per il blacklisting IP utilizzando strumenti come l'API virustotal o ip-api.com — se un IP appare in qualsiasi database di abuso, ritiralo immediatamente e migra l'account su un IP nuovo. Il costo di una singola cascata di sospensione è di ordini di grandezza superiore al costo di mantenere risorse proxy dedicate per account.