Mientras lees esto, hay un ejército de bots que se hacen pasar por usuarios de Apple navegando por la web y mirando anuncios, según una nueva investigación compartida exclusivamente con Gizmodo. El esquema de fraude publicitario está armando una función de privacidad llamada Private Relay, cooptando una gran parte del tráfico para mostrar anuncios a los robots y costando a los anunciantes decenas de millones de dólares en el proceso, según las pruebas de los investigadores. Apple ha prometido que la herramienta tiene “detección de fraude incorporada” y que las plataformas de publicidad pueden confiar en ella. pero los investigadores dicen que el fraude solo ha empeorado en los meses desde que lo informaron por primera vez a la compañía.
El nuevo informe encuentra que los delincuentes están explotando la herramienta Private Relay de Apple, una función disponible en los dispositivos Apple para los usuarios que se suscriben a iCloud+. Actívelo y Private Relay ocultará su navegación web y le asignará una dirección IP ficticia para ayudar a evitar que las empresas lo rastreen. Pixalate, la empresa de tecnología publicitaria que creó el estudiar, publicado el miércoles, dice que el problema costará a los anunciantes de EE. UU. un estimado de $ 65 millones solo en 2022. El estudio encuentra que el 90% del tráfico web que parece proviene de Private Relay es en realidad fraudulento.
En general, el problema descrito en el informe no tiene un efecto directo en los usuarios de Apple. En cambio, los estafadores publicitarios pretenden estar entre ellos, dijeron los investigadores. Según Pixalate, los estafadores se están aprovechando de la confianza indebida en Apple y la complejidad de la tecnología publicitaria, deslizando el mal tráfico justo debajo de las narices de los editores y las empresas de tecnología.
“Apple dice que puede confiar en que las conexiones a través de Private Relay son seguras y libres de fraude, por lo que los estafadores solo presentan su tráfico como proveniente de Apple”, dijo Amit Shetty, vicepresidente de productos de Pixalate. “Parece que solo esperan que la gente ponga el tráfico en ‘listas permitidas’ porque se considera seguro”.
El fraude publicitario está muy extendido, pero el estudio encontró que los bots tienden a agruparse en torno a grupos de dominios, y nueve sitios web que muestran anuncios se ven afectados en particular, incluidos los sitios web de E! En línea, ESPN, Major League Baseball, NBC News y Weather.com.
G/O Media puede recibir una comisión
Pixalate informó por primera vez sobre este problema en agosto, pero la firma dice que la cantidad de fraude se está acelerando. El problema es tan grave que Shetty aconsejó a las empresas de tecnología publicitaria y a los sitios web que consideren bloquear el tráfico de retransmisión privada por completo hasta que haya una solución mejor.
Los hallazgos hablan de problemas más amplios dentro de la publicidad digital.
“El sistema de publicidad programática es tan complejo que nadie lo entiende realmente”, dijo Bob Hoffman, ex ejecutivo de una agencia de publicidad y autor del libro más vendido. ADCAM.
Apple no respondió a múltiples solicitudes de comentarios.
Cada vez que ve un anuncio en línea, generalmente es el resultado de una aplicación o un sitio web que se asocia con numerosas empresas de tecnología publicitaria. Por cada vista de anuncio, se paga al desarrollador del sitio web o de la aplicación, al igual que a todos los proveedores de tecnología involucrados. Sin embargo, esa misma larga línea de asociaciones plantea un problema: cada exhibición de anuncios generalmente involucra una cadena bizantina de empresas y sistemas, lo que deja un amplio margen para el mal comportamiento.
Más vistas de anuncios significan más dinero. Entonces, a veces, un sitio web o una empresa de tecnología publicitaria aumenta sus números con tráfico falso. Los otros jugadores en la cadena piensan que las personas reales están viendo los anuncios, pero los anuncios en realidad se muestran a los robots. Puede ser difícil de detectar, y las empresas tienen un incentivo perverso para mirar hacia otro lado porque todavía les pagan. Si no atrapan a nadie, la única víctima es el anunciante que tira el dinero. Voila, fraude publicitario.
“A medida que un anunciante deja de comprar directamente de un sitio web o un editor, cuanto más se adentra en la larga cola del ecosistema programático, más probable es que encuentre una amenaza.,” dijo Hoffmann.
Ahora que es un experto en fraude publicitario, necesita conocer la función iCloud Private Relay de Apple, o iCPR. Oculta su navegación web para que ni siquiera su proveedor de servicios de Internet y su compañía de telefonía celular puedan ver lo que está haciendo en línea. Parte de ese proceso consiste en asignarle una nueva dirección IP de una lista de direcciones IP potenciales que se supone que deben reservarse para este propósito. Apple publica esa lista en línea.
Eso también plantea un problema. Los sitios web y las empresas de tecnología publicitaria utilizan direcciones IP para identificar el tráfico web fraudulento (entre otras técnicas). iCPR significa que no puede ver la IP real de un usuario, por lo que es más difícil saber si son legítimos. Pero Apple asegura a la industria de la tecnología publicitaria que no hay nada de qué preocuparse.
Apple prometió en varias declaraciones públicas que las aplicaciones, los sitios web y las empresas de tecnología publicitaria pueden confiar en que las direcciones de iCPR representan a personas reales. la empresa dice Private Relay tiene una “protección contra el fraude incorporada” y está “diseñado para garantizar que solo los dispositivos Apple válidos y las cuentas en buen estado puedan usar el servicio”. Apple va aún más lejos, proclamando que “los sitios web que utilizan direcciones IP para hacer cumplir las medidas de prevención de fraude y anti-abuso pueden confiar en que las conexiones a través de Private Relay han sido validadas a nivel de cuenta y dispositivo por Apple”.
Eso no es ni remotamente cierto, según el estudio.
Pixalate dice que los estafadores publicitarios falsifican las direcciones IP de Private Relay al insertarlas en la complicada cadena de empresas y tecnología en los sistemas publicitarios. El estudio dice que el 90% del tráfico web que parece provenir de Private Relay es en realidad falso, lo que podría significar que hay más de 100 millones de robots navegando por la web y viendo muchos anuncios falsos. Según los informes, Safari tiene mil millones de usuarios. Según Pixalate, el 21% del tráfico en línea que se presenta como proveniente del navegador Safari pretende estar usando iCPR, y ese número va en aumento.
Pixalate utilizó varias técnicas para identificar el fraude, incluido el análisis de dónde se originó el tráfico. Private Relay solo está disponible con el navegador Safari, pero observaron direcciones IP de iCPR adjuntas a Firefox o a dispositivos que no son de Apple, que no pueden ejecutar Safari. Eso debería ser imposible. Pixalate también vio las direcciones IP que se originaban en los centros de datos, a través de los cuales los estafadores publicitarios suelen enrutar su tráfico para ocultar su actividad. (Para todos los expertos en fraude publicitario, Pixalate dice que tuvo en cuenta otras funciones que podrían interferir con el análisis, incluida una función de Apple llamada Ocultar mi IP).
Las supuestas direcciones iCPR que provienen de centros de datos o los navegadores incorrectos tienen todos los principales marcadores de fraude, dijo Rocky Moss, CEO de Deepsee, una firma de detección de fraude publicitario que no participó en el estudio.
“Es difícil pensar en otra razón por la que podría estar presentando una dirección IP de retransmisión privada”, dijo Moss. Las empresas de tecnología publicitaria “podrían estar tratando este conjunto de direcciones IP de Apple como confiables, a pesar de que los valores de los encabezados se falsifican fácilmente”.
Pixalate también detectó direcciones iCPR involucradas en lo que se conoce como un “círculo de bots”, donde grupos de usuarios visitan exclusivamente algunos sitios web o aplicaciones y no van a ningún otro lugar, lo que es una señal de alerta de comportamiento no auténtico.
Apple dice que se supone que las direcciones IP de iCPR deben permanecer constantes durante una sesión de navegación. En otras palabras, su dirección IP permanece igual al menos hasta que cierra el navegador y hace otra cosa. Pero durante más de la mitad de las sesiones de navegación, los investigadores de Pixalate observaron: Las direcciones IP de iCPR cambiaron varias veces. En las operaciones de fraude publicitario, las direcciones IP a menudo se configuran para cambiar automáticamente, lo que dificulta el seguimiento de los usuarios no auténticos.
Los investigadores dijeron que la marca confiable de seguridad y privacidad de Apple permite que los delincuentes pasen desapercibidos. Creen que los estafadores operan “con la expectativa de que las compañías de tecnología publicitaria marquen automáticamente los rangos de IP de iCPR como seguros, debido a la confianza en la marca Apple y sus reiteradas afirmaciones de seguridad de iCPR”.
Si bien no hay indicios de que Apple esté involucrada en el esquema, los investigadores de Pixalate dijeron que sus declaraciones que promocionan Private Relay están completamente libres de cualquier lenguaje de advertencia. El fabricante de iPhone está fomentando la confianza ciega en Private Relay, lo que sugiere que Tim Cook y compañía no consideró la arquitectura laberíntica y propensa al fraude de la publicidad digital cuando laminación descripciones del sistema, los investigadores dijo.
El problema se debe, en parte, a la naturaleza de la tecnología publicitaria. “Una de cada 10.000 personas puede entrar en el análisis forense de lo que sucede bajo el capó de la industria de la publicidad en línea”, dijo Hoffman. “Es por eso que la confianza es esencial”.
El tráfico salta de una empresa a otra en una sola oferta publicitaria antes de que se publique un anuncio, y la mayoría de los jugadores involucrados nunca interactúan con el dispositivo real del usuario, lo que hace que la validación del tráfico sea un proceso difícil y, a menudo, lento.
“Tiene mucho sentido que falsificar esos valores sea una forma de introducir inventario en plataformas de tecnología publicitaria que, de lo contrario, se desecharían por parecer sospechosos”, dijo Ian Trider, vicepresidente de operaciones de licitación en tiempo real de Basis Technologies. quien colaboró en la investigación con Pixalate.
Gizmodo contactó a varios de los sitios web que, según los investigadores, fueron los más afectados por el fraude de Private Relay. ESPN se negó a comentar. NBC, Grandes Ligas de Béisbol y E! no respondió las preguntas de Gizmodo.
Melissa Medori, portavoz de IBM, propietaria de Weather.com, dijo: “El tráfico fraudulento sigue siendo un problema en toda la industria. El equipo de weather.com monitorea de cerca el tráfico no válido (IVT) y continúa trabajando diligentemente con nuestros socios tecnológicos para ayudar a bloquear o mitigar el tráfico fraudulento dentro de nuestra propia publicidad programática, así como para ayudar a encontrar soluciones para prevenirlo”.
El fraude publicitario es un problema enorme, pero nadie sabe exactamente qué tan grande es. Hable con 10 personas de tecnología publicitaria y obtendrá 10 respuestas diferentes. En el transcurso de esta historia, escuché que el fraude representa entre el 5% y el 40% de todo el dinero gastado en publicidad en línea. (Un experto en fraude publicitario particularmente celoso me dijo que la cifra es más del 90%). Eso es mucho dinero. Los anunciantes gastarán más de $ 602 mil millones en publicidad digital este año, según Estadista.