HUMAN descubrió una red pirata con 2.5 mil millones de solicitudes de anuncios diarias

HUMAN descubrió una red pirata con 2.5 mil millones de solicitudes de anuncios diarias

Determinar qué editores son lo suficientemente dudosos como para ser excluidos de la cadena de ventas programáticas a menudo resulta ser una tarea ambigua. Sin embargo, cuando un editor participa claramente en actividades ilegales—como la piratería—y se esfuerza por ocultarlo a los anunciantes programáticos, la necesidad de actuar se vuelve evidente.

HUMAN, una empresa especializada en la detección y prevención del fraude publicitario, recientemente se encontró con uno de estos casos claros. Investigaron las actividades de un proyecto pirata brasileño llamado "Camu".

Durante la investigación, se reveló que los editores que distribuían películas, programas de televisión y videojuegos pirateados estaban colocando anuncios programáticos junto al contenido robado. Utilizaban mecanismos de suplantación de dominios para ocultar los sitios web piratas reales donde se mostraban los anuncios.

La suplantación de dominios no solo se basa en el uso de cookies, sino también en el análisis de las fuentes de tráfico. El mecanismo clave son los enlaces de referencia que permiten a los sitios web rastrear de dónde proviene el usuario. Además, se aplican configuraciones complejas del servidor, como la geo-segmentación y la verificación de encabezados HTTP. Esto permite un filtrado más preciso del acceso a diferentes versiones del sitio según el país, el dispositivo e incluso la hora del día.

La investigación de HUMAN demuestra cómo los editores deshonestos monetizan contenido robado a través de complejas cadenas de suministro programáticas, evadiendo con éxito los métodos estándar de detección de fraude publicitario.

Los métodos estándar de detección de tráfico no válido (IVT) incluyen el uso de tecnologías y algoritmos para detectar actividad sospechosa en sitios web. Los sistemas analizan el comportamiento de los usuarios: clics y vistas demasiado rápidos o frecuentes pueden indicar la presencia de bots. También se monitorean las direcciones IP: un número excesivo de solicitudes desde una dirección puede indicar tráfico falso. Además, se comparan los datos de fuentes de referencia para determinar si el tráfico proviene de fuentes poco confiables o sospechosas.

Resultó que los estafadores utilizaban métodos previamente conocidos de los sitios Made for Ads (MFA) para ocultar sus acciones.

Un Dominio con Cualquier Otro Nombre

En diciembre, HUMAN descubrió y reportó la red de fraude más grande hasta la fecha. En su apogeo, esta red manejaba 2,5 mil millones de solicitudes publicitarias por día, principalmente desde Brasil, utilizando más de 130 dominios creados específicamente.

William Herbig, director de detección de fraude y operaciones de datos en HUMAN, explicó que el acceso a dominios con contenido pirateado solo es posible a través de sitios web agregadores especiales.

¡Piratería moderna!

Algunos sitios Made For Ads (MFA) utilizan tácticas similares, mostrando páginas cargadas de anuncios solo para el tráfico pagado. Sin embargo, a diferencia de este nuevo esquema de fraude, los sitios MFA también se pueden acceder manualmente ingresando la URL en el navegador.

Los sitios Made For Ads (MFA) son recursos web que existen únicamente para mostrar una gran cantidad de anuncios, en lugar de proporcionar contenido valioso a los usuarios. Dichos sitios a menudo contienen contenido no original o generado por IA, y su objetivo principal es atraer tráfico pagado para aumentar las impresiones publicitarias. Los sitios MFA buscan comprar tráfico barato y venderlo a un precio más alto. Están específicamente optimizados para los algoritmos publicitarios para obtener más impresiones y clics sin ofrecer valor real a los visitantes. Como resultado, los anunciantes pueden gastar dinero en impresiones de anuncios en estos sitios, lo que a menudo lleva a un tráfico de baja calidad y campañas publicitarias ineficaces.

En el caso del nuevo fraude, un anunciante que intente practicar la diligencia debida y visitar la URL de los informes de la campaña solo verá una página inofensiva en lugar de la página con contenido robado.

Por ejemplo, un usuario visita filmize.tv, mencionado en la investigación de HUMAN, para ver la nueva película "Deadpool y Wolverine". Después de hacer clic en "Ver en línea ahora", el sitio establece una cookie que permite cargar una URL para ver la película ilegalmente. En la página con el contenido pirateado, se muestran varios anuncios programáticos.

Piratas y cookies

Sin embargo, si un anunciante intenta visitar la misma URL directamente, el navegador cargará un sitio falso. Esto sucede porque el anunciante no provino de un sitio pirata y su navegador no tiene la cookie necesaria para cargar la página con el contenido pirateado.

El informe de HUMAN incluye una captura de pantalla del dominio guiacripto.online, donde se muestra un reproductor de medios para transmitir contenido pirateado. La captura de pantalla también muestra anuncios para el agregador de viajes Vrbo y la empresa de alquiler de autos Sixt. Sin embargo, al visitar la URL directamente o hacer clic en un enlace desde los resultados de búsqueda, solo se carga un blog inocente sobre criptomonedas.

Esta suplantación de dominios es un signo clásico de tráfico no válido sofisticado (IVT) según lo define el Media Rating Council.

El Media Rating Council (MRC) es una organización sin fines de lucro estadounidense fundada en 1963 que establece y mantiene estándares de medición de audiencias, incluyendo internet. Su objetivo es garantizar la precisión y transparencia de los datos del usuario para que los anunciantes puedan confiar en esta información. En el estándar emitido en 2024, el MRC actualizó los requisitos para detectar y filtrar tráfico no válido (IVT), suplantación de dominios e identificadores en CTV, y consideró las nuevas leyes de privacidad.

"Podemos llamar a esto IVT con confianza," afirmó Herbig. "Hay un engaño evidente aquí."

Explicó que, además de la suplantación de dominios y la creación de diferentes versiones de sitios web en función de los caminos del usuario, estos editores ocultan la verdadera fuente del tráfico de referencia. Buscan crear la impresión de que los usuarios están llegando a estas páginas a través de enlaces de confianza o desde motores de búsqueda, en lugar de sitios dedicados completamente a la piratería.

Detección de Fraude

Herbig enfatizó que la situación se complica por el hecho de que los estafadores como Camu no se pueden detectar utilizando los métodos estándar de detección de fraude programático.

"Tienes usuarios reales en dispositivos reales viendo anuncios visibles," explicó. "El desafío radica en determinar la ubicación real donde se está mostrando el anuncio, lo cual es difícil de hacer confiando únicamente en las métricas estándar."

A pesar de las aparentes similitudes entre los estafadores como Camu y los sitios MFA, Herbig señala que combatirlos requiere enfoques diferentes. Los sitios MFA, por ejemplo, crean una experiencia específica para el tráfico pagado, por lo que analizar las fuentes de ese tráfico es efectivo para detectarlos. Sin embargo, los sitios piratas no se centran en el tráfico pagado, lo que hace que sea más difícil detectarlos mediante métodos tradicionales.

Sin embargo, la presencia de contenido robado en los sitios piratas facilita mucho el proceso de su identificación y verificación.

Detectives vs Piratas

Según Herbig, HUMAN pudo descubrir la operación Camu gracias al trabajo de un equipo especial. Este equipo investigó las cadenas de ventas programáticas asociadas con la monetización de sitios piratas. Herbig enfatizó: "Ningún anunciante quiere monetizar un sitio pirata."

Después de la salida de empresas occidentales como Google, la industria publicitaria rusa enfrentó una escasez de inventario de video de calidad. Esto ha llevado a muchos anunciantes a "hacer la vista gorda" ante la colocación de anuncios en sitios piratas, una de las pocas fuentes restantes de contenido de video. A pesar de sus actividades ilegales, los recursos piratas se monetizan activamente a través de sistemas programáticos. Esta práctica se ha vuelto común, aunque podría dañar gravemente la reputación y la confianza en el mercado publicitario en su conjunto.

HUMAN analizó todo su conjunto de datos, más de 20 billones de solicitudes de compra por semana en tres mil millones de dispositivos únicos, en busca de "banderas rojas" potencialmente relacionadas con la piratería. Además, la compañía rastreó una serie de direcciones IP previamente asociadas con sitios piratas conocidos para identificar otros recursos que visitaron y descubrir posibles anomalías.

"Inmediatamente notamos un patrón entre los sitios de monetización a los que se dirigía el tráfico de nuestros clientes y uno de estos dominios piratas [conocidos]," explicó Herbig. "A partir de ahí, comenzamos a identificar varios patrones de tráfico no válido."

En particular, HUMAN analizó cada dominio que utilizaba las configuraciones de cookies distintivas de un sitio pirata conocido, así como buscó otros dominios que empleaban técnicas similares de suplantación de fuentes de tráfico.

HUMAN también rastreó las cadenas de ventas de anuncios programáticos que monetizaban dominios piratas conocidos para descubrir recursos similares. Según Herbig, la red pirata utiliza un alto grado de reventa de inventario programático y la opacidad general de la publicidad programática para mantener el anonimato. A menudo, los nuevos dominios creados para reemplazar los desmonetizados dependían de la misma cadena de intermediarios.

Con base en estos hallazgos, HUMAN ha implementado siete medidas diferentes en los últimos nueve meses, tanto pre-puja como post-puja, destinadas a prevenir la aparición de anuncios en dominios piratas. Si bien este tipo de fraude aún está activo, HUMAN ha logrado reducir la actividad publicitaria asociada con estos dominios de 2,5 mil millones de solicitudes diarias a 100 millones.

Herbig se abstuvo de describir en detalle las medidas tomadas por HUMAN, por temor a que esto pudiera servir como una guía para los estafadores.

Hecho para Tráfico No Válido (MFIVT)

Según Herbig, HUMAN cree que la solución óptima al problema es que la industria llegue a un consenso claro: todo el tráfico hacia sitios piratas debe clasificarse como tráfico no válido (IVT).

Sin embargo, combatir los sitios piratas no resolverá otro problema grave: los sitios específicamente creados para la colocación de anuncios (MFA).

En el contexto del artículo, vale la pena ver los sitios MFA desde otra perspectiva. A pesar de su mala reputación, dichos recursos pueden atraer a una audiencia real que interactúa con los anuncios, aunque sea de manera accidental. Con soluciones de verificación efectivas para proteger contra bots e impresiones falsas, la publicidad en sitios MFA puede ser una opción rentable e incluso beneficiosa para los anunciantes. Dadas las plataformas publicitarias limitadas y la disminución del inventario, el uso de sitios MFA con la verificación y segmentación adecuadas puede ser una solución razonable para llegar al público objetivo con costos mínimos. Quizás no valga la pena abandonar por completo estos sitios si tu objetivo es obtener impresiones rentables para usuarios reales.

MFA y Piratería

AdExchanger le pidió a HUMAN que comparara la nueva red pirata con el escándalo del subdominio MFA en Forbes, que sacudió a la industria. A pesar de que en ambos casos los sitios podían cambiar según la fuente de tráfico, un representante de HUMAN declaró: "No hay conexión entre este caso y los incidentes anteriores de suplantación de dominios".

En el caso de Forbes, el problema involucraba el informe incorrecto del subdominio MFA "www3" en las solicitudes publicitarias. En la situación de los sitios piratas, según el servicio de prensa, "no hubo discrepancias con el dominio raíz o subdominio base". Agregaron que, en este nuevo caso, "las distorsiones están relacionadas con la carga de dos sitios completamente diferentes desde la misma URL dependiendo de cómo el usuario accedió al sitio", en lugar de usar diferentes URLs para diferentes fuentes de tráfico.

Sin embargo, los sitios piratas involucrados en actividades claramente ilegales son más fáciles de desmonetizar que los sitios MFA. Mientras que los sitios MFA pueden manipular los sistemas de publicidad programática, no necesariamente están infringiendo la ley.

"Estos dominios están hechos para generar tráfico no válido, no para publicidad," afirma Herbig. "Violan groseramente todos los estándares aceptables en nuestra industria."

Otros Artículos: