¿Cómo engañar al anunciante? ¡Suplantación de ID!

  • ID spoofing — sustitución del identificador de usuario para aumentar el valor de la impresión.
  • Sorpresa, sorpresa — ¡no se puede hacer eso!
  • DSP y verificadores luchan contra tales acciones.

A principios de este mes, uno de los jugadores en la industria AdTech americana, Colossus SSP, fue acusado por la empresa Adalytics de engañar a los anunciantes alterando los datos de la audiencia de sus impresiones para obtener la máxima cantidad de dinero. Pero no es tan sencillo.

Tenga en cuenta que en este artículo, Digiday usará el término ID spoofing específicamente en el contexto de un fraude deliberado. Tenga en cuenta que en otros lugares de Internet, puede encontrar una interpretación diferente.

Terminología

Cookie stuffing — cuando los clics o las impresiones se atribuyen incorrectamente a usuarios inapropiados para obtener ingresos injustificados. Por ejemplo, un usuario visita un sitio, y el atacante carga varias cookies adicionales de diferentes anunciantes en su dispositivo. Como resultado, cuando el usuario realiza una compra, las comisiones se acreditan incorrectamente a la cuenta del atacante.

ID Mis-matching — cuando el identificador de un usuario se empareja incorrectamente con otro dispositivo, lo que lleva a una atribución incorrecta de los datos. Por ejemplo, una plataforma publicitaria empareja accidentalmente el identificador de un usuario con el dispositivo de otro usuario. Como resultado, un anuncio destinado a una persona se muestra a otra.

ID spoofing — cuando un vendedor de inventario publicitario sustituye intencionalmente el identificador de un usuario o dispositivo por otro identificador que tiene mayor valor para el comprador. Esto solo es posible en entornos que operan con cookies, como Google Chrome.

ID stuffing — cuando se agregan identificadores adicionales de usuarios o dispositivos para aumentar el número de impresiones o clics de anuncios. Por ejemplo, cuando un atacante agrega numerosos identificadores de usuarios falsos a impresiones publicitarias reales, aumentando el número de clics e impresiones, creando la ilusión de mayor tráfico.

¿Se falsifican completamente los datos del identificador del usuario?

Según Chris Kane, cofundador de Jounce Media, en el peor de los casos, la información del identificador es completamente falsa. Sin embargo, también puede suceder que se tome un nuevo identificador encontrando el identificador del mismo usuario, pero en otro dispositivo o de otra persona que vive en el mismo lugar. Así, los identificadores falsos pueden ser completamente inventados o tomados de datos reales pero que no pertenecen al mismo dispositivo o usuario.

¿Cómo se pueden usar los identificadores vinculados para la suplantación?

Supongamos que un usuario con un identificador determinado buscó anteriormente información sobre seguros de automóviles desde su computadora doméstica, pero ahora está usando su computadora de trabajo. El SSP sabe que el identificador de la computadora doméstica de este usuario será extremadamente valioso para un anunciante de servicios de seguros, pero el usuario está actualmente en otro dispositivo. No obstante, el SSP decide sustituir el identificador de la computadora de trabajo por el identificador de la computadora doméstica para aumentar el CPM, sabiendo que el anunciante pagará más por un usuario con mayor propensión a comprar un seguro.

En realidad, todavía no se sabe si este usuario es la misma persona que usó la computadora personal y buscó el seguro de automóviles. Y aunque el CPM se mantenga al mismo nivel que el identificador original de la computadora de trabajo, aún se están comprando anuncios dirigidos no al usuario que se piensa que se está dirigiendo.

¿Es esto un fraude?

Parece que depende de los motivos. Aunque la suplantación o inserción de identificadores no se mencionan explícitamente en la guía del Media Rating Council para detectar tráfico no válido, sin embargo, se menciona la inserción de cookies y se describe como "inserción, eliminación o atribución incorrecta de cookies para manipular o falsificar acciones previas de los usuarios".

Además, esta acción está destinada a aumentar el valor de un usuario que no es quien el vendedor dice que es. Especialmente si el identificador de usuario alterado contiene datos falsificados o incluso representa a un usuario completamente falso.

Cuando un SSP interactúa con un DSP para mostrar anuncios, sincronizan los datos para determinar el identificador único del navegador del usuario, por ejemplo, '123'. Si el SSP sabe con certeza que el identificador '123' se usa para un usuario determinado, debe enviar solicitudes de oferta (bid requests) con este valor.

Si el SSP usa intencionalmente otro identificador en lugar de '123', se considera fraude y una violación de los estándares establecidos por el MRC (Media Rating Council). Por lo tanto, para no violar las reglas y no engañar a los anunciantes, el SSP siempre debe usar identificadores de usuario correctos y sincronizados.

Mike O'Sullivan, cofundador de Sincera, una empresa especializada en datos publicitarios, dice que, en su opinión, la suplantación/inserción de identificadores cae en una zona gris, especialmente si los identificadores en realidad provienen de otra fuente.

En la opinión de Mike, falsificar identificadores de usuarios es una historia compleja y no siempre clara. No hay un daño evidente, como en el caso del tráfico de bots, pero sigue siendo una acción deshonesta. Se deben desarrollar sistemas que puedan reconocer y documentar tales casos.

¿Quién debería detectar la suplantación de identificadores?

Según los expertos de la industria, esta tarea debería ser manejada por los verificadores o por los propios DSP. No hay consenso sobre esto.

Dado que "manipular o falsificar acciones previas de los usuarios" está incluido en las directrices del SIVT del MRC, algunos expertos argumentan que cualquier organización acreditada por el MRC para detectar actividades fraudulentas en el mercado de productos programáticos debería ser responsable de detectarlo.

Otros expertos argumentan que, dado que el DSP debería poder detectar un identificador de usuario diferente al original enviado durante la subasta, es el DSP quien debería detectar y reportar la discrepancia a sus clientes.

Mike O'Sullivan enfatiza la importancia de la confianza en el proceso de solicitudes de oferta (bid requests). Dice que cada oferta es una especie de declaración de a quién se mostrará el anuncio. Es posible verificar los datos en estas ofertas, pero duda de que las empresas de verificación puedan siempre mantenerse al día con lo que está sucediendo en el vasto mundo de Internet y lo que se reflejará en una solicitud de oferta.

¿En qué se diferencia esto del ID bridging?

ID bridging — un método legal de rastrear a un usuario sin cookies al vincular sus identificadores a través de diferentes dispositivos y navegadores, ayudando a los anunciantes a orientar los anuncios de manera más precisa y continua. Este método se usa ampliamente en entornos donde las cookies de terceros ya están deshabilitadas, como en Apple Safari.

Según Mike O'Sullivan: “La diferencia entre ID spoofing e ID bridging es que ID bridging tiene una explicación plausible de lo que está sucediendo, y los vendedores y compradores tienen un acuerdo sobre cómo debe hacerse correctamente.

¿Se resolverá el problema con la desactivación de las cookies de terceros?

Teóricamente, la suplantación de identificadores debería desaparecer junto con las cookies de terceros. Sin embargo, es imposible predecir si esta tecnología se adaptará a las nuevas condiciones. Siempre habrá quienes quieran eludir el sistema.

Para los Editores

Recuerde siempre que el queso gratis solo está en la trampa para ratones. Sin embargo, esta situación no representa ninguna amenaza para los editores. Es poco probable que los SSP compartan o hayan compartido los ingresos obtenidos de manera incorrecta con algún editor. Además, los editores no están involucrados en este proceso.

Pronóstico

La presión y la desconfianza hacia los SSP aumentarán. Surgirán nuevas tecnologías (y formas de eludirlas) para verificar el tráfico. La confianza en el Internet Abierto disminuirá.

Otros materiales sobre este tema: