Por qué las redes publicitarias fraudulentas siguen prosperando

En una empresa de dispositivos médicos, un director de marca estaba examinando un gráfico del tráfico diario de su sitio web. En el gráfico, vio que un día de agosto, el tráfico web se desplomó y se mantuvo en una nueva normalidad, aproximadamente la mitad de su nivel anterior. Para alguien responsable del tráfico de un sitio web, la magnitud y la rapidez de la caída deberían haberlo hecho jadear, pero el director asintió a sabiendas.

Su homólogo, Augustine Fou, un consultor de marketing digital, asintió con la cabeza y sonrió. Tanto el consultor como su cliente sabían lo que pasó el 15 de agosto. Habían desactivado una de las redes de publicidad que enviaba tráfico al sitio desde un mosaico de sitios web gestionados por la red de publicidad. El cierre previsto era una prueba para confirmar una hipótesis sobre el tráfico del sitio específicamente y el marketing digital en general. Como era de esperar, la mitad del tráfico entrante desapareció.

Pero la verdadera revelación sería si las conversiones también disminuyeron a rabiar. Si lo hicieron, la pérdida de tráfico fue «humana», ya que se espera que una proporción predecible de visitantes reales del sitio respondan a la llamada a la acción del anunciante. Pero si las conversiones no se contrajeron, entonces el tráfico que desapareció fue generado por una máquina, insertado por una red publicitaria infectada con lo que Fou denomina «sitios malos».

Fou produjo un segundo gráfico. Esta mostró que las conversiones no se contrajeron.

Los «malos» de Fou son otra encarnación de los estafadores de Internet, y comparten ciertas características con enemigos más conocidos, como los remitentes de correo no deseado y los suplantadores de identidad. Su pozo de miel es el mercado de 50 000 millones de dólares al año de publicidad digital. Estos tipos malos escriben códigos de ordenador diseñados para desviar ilícitamente una parte importante del dinero de la publicidad para llenarse los bolsillos. Al hacerlo, destruyen la promesa con la que ha prosperado la publicidad digital: que podría hacer que la publicidad fuera eficiente y responsable.

A la caza de los bots

Fou, un prodigio que se doctoró en el MIT a los 23 años, pertenece a la generación que presenció el auge de los vendedores digitales, tras haber creado su oficio en American Express, una de las marcas de consumo estadounidenses más exitosas, y en Omnicom, una de las agencias de publicidad más grandes del mundo. Con el tiempo, al dejar la vida empresarial, Fou creó su propio consultorio, centrándose en la investigación de fraudes en marketing digital.

Los clientes de Fou instalan un pequeño código en sus sitios web que rastrea y analiza el tráfico que llega a estas propiedades. Los directores de marketing prestan mucha atención a la «referencia». Algunos ejemplos de referencias son un motor de búsqueda, una entrada de blog y un mensaje de Facebook. Cuando se utilizan correctamente, los datos de referencia informan a los vendedores sobre el origen del tráfico entrante, lo que les permite optimizar el gasto en los diferentes canales. En la práctica, esos datos son fáciles de falsificar y manipular, lo que provoca una mala asignación generalizada de los recursos. La herramienta de Fou clasifica estas referencias en varios tipos, según la probabilidad de que el tráfico suministrado sea «falso».

Cuando se desactiva una red de publicidad y el tráfico se desploma (arriba) mientras que las conversiones se mantienen estables (abajo), los investigadores identifican el tráfico de anuncios fraudulentos. Fuente: Augustine Fou

El tráfico falso aparece en rojo en las tablas de seguimiento de Fou, como el gráfico superior de arriba. (Este gráfico utiliza datos de un sitio web real, pero los datos se han ocultado para preservar la confidencialidad). Antes del experimento, alrededor del 25 por ciento del tráfico sangraba en rojo. «Este tráfico proviene de sitios malos», explicó Fou. «El tráfico azul es legítimo: visitantes humanos certificados». En el caso del cliente de dispositivos médicos, Fou descubrió que la mayor parte del tráfico falso procedía de una red de publicidad. Por eso aconsejó al cliente que apagara la red para poder observar cualquier cambio en el tráfico y las conversiones.

Centro Insight

• Las nuevas herramientas del marketing

  Patrocinado por Percolate

  Cómo las principales empresas conectan con los clientes.

El experimento de Fou demostró que el tráfico falso es tráfico improductivo. Las visitas falsas exageraron las estadísticas de tráfico, pero no contribuyeron en nada a las conversiones, que se mantuvieron estables incluso después de que el tráfico se desplomara (gráfico inferior). El tráfico falso lo generan los «bots malos». Un bot es un código de ordenador que ejecuta tareas automatizadas. Muchos bots son benignos, como los que crean los motores de búsqueda para descubrir páginas web. El desafío al que se enfrentan los investigadores de fraudes como Fou es distinguir entre los bots legítimos y los bots malos.

Para ver cómo funcionan los malos, seguimos el rastro del dinero.

La empresa de dispositivos médicos gasta varios millones de dólares en publicidad digital cada año. En el mundo de la publicidad gráfica, los anunciantes pagan con miles de impresiones de anuncios, lo que se denomina CPM (coste por mil). Para una campaña determinada, el director podría gastar 100 000 dólares en una red de publicidad, que llamamos DeepNet. Con un CPM medio de 1 dólar, este presupuesto permite comprar 100 millones de impresiones de anuncios. Cada impresión es un anuncio que se carga cuando alguien navega por una página web que pertenece a uno de los sitios web miembros de DeepNet. DeepNet actúa como una bolsa en la que sus miembros, o editores en el lenguaje del sector, pujan por el dinero de los anunciantes.

Por cada mil impresiones de anuncios publicadas en los navegadores, el anunciante paga un dólar a DeepNet. Luego, DeepNet divide los ingresos entre sus miembros editores. Con una división de 50 a 50, el editor gana 50 centavos. El negocio depende del volumen. Muchos sitios web, especialmente los sitios nuevos, han llegado a depender de esos ingresos por publicidad como elemento vital.

Ahora, imagine que DeepNet está infectado con falso sitios web, que compiten por el dinero de los anunciantes, lado a lado con sitios web legítimos. Los informes de tráfico de DeepNet indican que mucha gente ha visto los anuncios gráficos, pero de hecho, una gran parte de estos «ojos» no son reales. Son robots que crean la apariencia de una impresión publicitaria. No hace mucho, estos bots funcionaban desde ordenadores apoderados por el malware, pero los estafadores ahora prefieren generar sesiones de navegación falsas en la nube, porque es más eficiente.

Clics falsos en sitios falsos

Solo las editoriales a gran escala y con mucho dinero, como la New York Times, puede permitirse un personal de ventas directas. La mayoría de los editores digitales se relacionan con los anunciantes en las bolsas. Incluso los editores legítimos envían con frecuencia el tráfico «remanente» menos deseable, el tráfico que llega en horas impares, por ejemplo, y es poco probable que genere conversiones entre los anunciantes.

Aunque se depende del tráfico, algunas de las propias redes de publicidad son opacas y descontroladas.

Con la proliferación de servicios en la nube, como el EC2 de Amazon, casi cualquier persona puede instalar un sitio web, registrarlo en una red de publicidad y empezar a ganar dinero con los anunciantes. Los malos escriben código que genera sitios web falsos, normalmente páginas web sencillas repletas de anuncios publicitarios y, luego, comienzan a recopilar impresiones de anuncios, la mayoría de las cuales ni siquiera son personas reales que visitan el sitio. Las bolsas están diseñadas para funcionar solas sin mucha intervención, por lo que las actividades de los malos suelen pasar desapercibidas.

Como era de esperar, los malos han escrito código para generar cientos o miles de sitios falsos. Mediante un algoritmo de agrupamiento visual, Fou puede encontrar estos sitios generados por código, muchos de los cuales tienen un aspecto bastante genérico e idéntico.

Este es un negocio lucrativo. Imagínese a un estafador que dirige una red de 1000 sitios falsos. Cada sitio registra un tráfico medio de un millón de páginas vistas al mes. De forma conservadora, supongamos que hay 10 anuncios en cada página. Con un 80 por ciento de ventas, un CPM de 75 centavos y una participación en los ingresos del 40 por ciento, esa red generaría 2,4 millones de dólares al mes. El margen de beneficio es del 99%, ya que implementar la estafa en los servicios en la nube acreditados solo cuesta 0,13 centavos por cada mil impresiones, y aún menos en los de nivel inferior.

Detectar estas redes de sitios de tipos malos no es difícil. ¡Muestran tasas de clics de hasta el 100 por ciento! En algunos casos, los datos indican que se ha hecho clic en todos los anuncios de un sitio, un escenario imposible para una persona que visita un sitio.

Si está roto, ¿por qué no lo arreglamos?

A pesar de que es fácil ver el problema y medirlo, el problema persiste.

Algunas de las razones son técnicas. Detectar y cerrar las redes de sitios infractores es un poco como jugar a golpear un topo. Elimina a uno y aparece otro. La Junta de Publicidad en Internet mantiene una lista de unos cientos de bots conocidos por ser nefastos, pero el número de sitios fraudulentos es muchos órdenes de magnitud mayor. Las listas negras que bloquean los sitios infractores también solían ser una herramienta popular entre la primera generación de luchadores contra el spam, pero ese enfoque es conocido por tener una inexactitud inaceptable.

Actualmente, hay poca presión sobre los malos para que oculten sus actividades. Si la industria se toma en serio la lucha contra el fraude, se desarrollará una carrera de ratas tecnológica, similar a la que existe entre los spammers y los antispammers. A pesar de todos los esfuerzos en ese sentido, el spam nunca desaparece.

Cambiar el modelo de negocio de hacer un seguimiento de las impresiones de los anuncios a contar los clics tampoco funcionará. De hecho, un plan similar al que se describe aquí infecta el igualmente vasto mercado de la publicidad en búsquedas. Simplemente añade un pequeño código que da la apariencia de un clic.

Pero quizás la razón más insidiosa por la que el problema crece, sin cesar, es por los desincentivos para solucionarlo. Los vendedores tienen poca motivación para desinflar sus propias estadísticas. En la actualidad, los modelos de pago por cliente potencial y pago por venta representan solo el 15 por ciento del mercado de publicidad digital, que mueve 50 000 millones de dólares al año. El resto depende de un tráfico intenso.

Además, esta actividad ilícita genera beneficios no deseados para todos los niveles de la cadena de suministro. En el escenario anterior, los ingresos mensuales de 2,4 millones de dólares representaban solo el 40% del dinero generado. El resto se destinó a la red de publicidad y otros intermediarios. Las agencias de publicidad que gestionan los presupuestos de los anunciantes también se beneficiaron. Como comentó Fou: «Es muy difícil conseguir que alguien preste atención a este problema. Todo el mundo tiene algo que ganar con el tráfico falso».

Mientras ese sea el caso, persistirá una actitud de no ver el mal. Y, según la estimación de Fou, la mitad de la industria del marketing digital de 50 000 millones de dólares seguirá siendo fraudulenta. Demasiado para hacer que la publicidad sea más eficiente y responsable.