El fraude de clics es un tipo de fraude que se produce en Internet en la publicidad online de pago por clic (PPC) . En este tipo de publicidad, los propietarios de los sitios web que publican los anuncios reciben un pago en función de la cantidad de visitantes del sitio que hacen clic en los anuncios. El fraude se produce cuando una persona, un script automatizado , un programa informático o un clicker automático imita a un usuario legítimo de un navegador web y hace clic en dicho anuncio sin tener un interés real en el objetivo del enlace del anuncio para aumentar los ingresos. [1] El fraude de clics es objeto de cierta controversia y de un número cada vez mayor de litigios debido a que las redes publicitarias son un beneficiario clave del fraude.
El empresario de medios y periodista John Battelle describe el fraude de clics como una práctica intencionalmente maliciosa y "decididamente de sombrero negro " por parte de los editores que juegan con la publicidad de búsqueda paga empleando robots o trabajadores con bajos salarios para que hagan clic repetidamente en los anuncios de sus sitios, generando así dinero que el anunciante debe pagar al editor y a cualquier agente que el anunciante pueda estar utilizando.
La publicidad PPC es un acuerdo en el que los webmasters (operadores de sitios web ), que actúan como editores, muestran enlaces en los que se puede hacer clic de los anunciantes a cambio de un cargo por clic. A medida que esta industria evolucionó, se desarrollaron varias redes publicitarias que actuaban como intermediarias entre estos dos grupos (editores y anunciantes). Cada vez que un usuario web (que se cree que es) válido hace clic en un anuncio, el anunciante paga a la red publicitaria, que a su vez paga al editor una parte de este dinero. Este sistema de reparto de ingresos se considera un incentivo para el fraude de clics.
Las redes publicitarias más grandes, Google AdWords / AdSense y Yahoo! Search Marketing , actúan en un papel doble, ya que también son editores (en sus motores de búsqueda). [1] Según los críticos, esta compleja relación puede crear un conflicto de intereses. Esto se debe a que estas empresas pierden dinero por fraudes de clics no detectados cuando pagan al editor, pero ganan más dinero cuando cobran tarifas al anunciante. Debido a la diferencia entre lo que recaudan y lo que pagan, el fraude de clics sin restricciones generaría ganancias a corto plazo para estas empresas. [1]
Una fuente secundaria de fraude de clics son las partes no contratantes, que no forman parte de ningún acuerdo de pago por clic. Este tipo de fraude es aún más difícil de controlar, porque los perpetradores generalmente no pueden ser demandados por incumplimiento de contrato ni acusados penalmente de fraude. Algunos ejemplos de partes no contratantes son:
Las redes publicitarias pueden intentar detener el fraude por parte de todas las partes, pero a menudo no saben qué clics son legítimos. A diferencia del fraude cometido por el editor, es difícil saber quién debe pagar cuando se descubre un fraude por clics pasados. Los editores resienten tener que pagar reembolsos por algo que no es su culpa. Sin embargo, los anunciantes son firmes en que no deberían tener que pagar por clics falsos.
El fraude de clics puede ser tan simple como que una persona inicie un pequeño sitio web, se convierta en editor de anuncios y haga clic en esos anuncios para generar ingresos. A menudo, la cantidad de clics y su valor son tan pequeños que el fraude pasa desapercibido. Los editores pueden afirmar que una pequeña cantidad de clics de ese tipo es un accidente, lo que suele ser el caso. [1]
En las comunidades de ciberdelincuentes también se producen fraudes a gran escala . [2] Según Jean-Loup Richet, profesor de la Sorbonne Business School, el fraude de clics es con frecuencia un eslabón de la gran cadena de fraude publicitario y puede aprovecharse como parte de un fraude de identidad o de atribución más amplio. [3] Quienes se dedican a cometer fraudes a gran escala suelen ejecutar secuencias de comandos que simulan que un ser humano hace clic en anuncios en páginas web. [4] Sin embargo, una gran cantidad de clics que parecen proceder de un solo ordenador, de un pequeño número de ordenadores o de una única zona geográfica, resultan muy sospechosos para la red publicitaria y los anunciantes. Los clics que proceden de un ordenador que se sabe que pertenece a un editor también resultan sospechosos para quienes buscan fraudes de clics. Una persona que intente cometer un fraude a gran escala desde un solo ordenador tiene muchas posibilidades de ser descubierta.
Un tipo de fraude que evita la detección basada en patrones de IP utiliza el tráfico de usuarios existente, convirtiéndolo en clics o impresiones. [5] Este tipo de ataque se puede camuflar de los usuarios mediante el uso de iframes de tamaño 0 para mostrar anuncios que se recuperan programáticamente mediante JavaScript . También se podría camuflar de los anunciantes y portales al garantizar que las llamadas " arañas inversas " se presenten con una página legítima, mientras que a los visitantes humanos se les presenta una página que comete fraude de clics. El uso de iframes de tamaño 0 y otras técnicas que involucran a visitantes humanos también se puede combinar con el uso de tráfico incentivado, donde a los miembros de los sitios "Paid to Read" (PTR) se les paga pequeñas cantidades de dinero (a menudo una fracción de centavo) para visitar un sitio web y/o hacer clic en palabras clave y resultados de búsqueda, a veces cientos o miles de veces al día [6] Algunos propietarios de sitios PTR son miembros de motores PPC y pueden enviar muchos anuncios por correo electrónico a los usuarios que realizan búsquedas, mientras que envían pocos anuncios a los que no lo hacen. Lo hacen principalmente porque el cobro por clic en los resultados de búsqueda suele ser la única fuente de ingresos del sitio. Esto se conoce como búsqueda forzada, una práctica mal vista en la industria de Get Paid To.
El crimen organizado puede manejar esto al tener muchas computadoras con sus propias conexiones a Internet en diferentes ubicaciones geográficas. A menudo, los scripts no logran imitar el comportamiento humano real, por lo que las redes del crimen organizado usan código troyano para convertir las máquinas de una persona promedio en computadoras zombi y usan redirecciones esporádicas o envenenamiento de caché DNS para convertir las acciones del usuario inconsciente en acciones que generen ingresos para el estafador. Puede ser difícil para los anunciantes, las redes publicitarias y las autoridades presentar casos contra redes de personas distribuidas en varios países.
El fraude de impresiones se produce cuando las impresiones de anuncios generadas de forma falsa afectan la cuenta de un anunciante. En el caso de los modelos de subasta basados en la tasa de clics , el anunciante puede ser penalizado por tener una tasa de clics inaceptablemente baja para una palabra clave determinada . Esto implica realizar numerosas búsquedas de una palabra clave sin hacer clic en el anuncio. Dichos anuncios se desactivan [7] automáticamente, lo que permite que el anuncio de un competidor con una oferta más baja para la misma palabra clave continúe, mientras que se eliminan varios de los postores más altos (en la primera página de los resultados de búsqueda).
Un ataque de inflación de ingresos es un tipo de método fraudulento que utilizan algunos editores de anuncios para obtener ingresos injustificados a partir del tráfico que dirigen a los sitios web de los anunciantes. Es más sofisticado y más difícil de detectar que un simple ataque de inflación.
Este proceso implica la colaboración de dos contrapartes, un editor deshonesto, P, y un sitio web deshonesto, S. Las páginas web de S contienen un script que redirige al cliente al sitio web de P, y este proceso está oculto para el cliente. Por lo tanto, cuando el usuario U recupera una página en S, simularía un clic o una solicitud a una página en el sitio de P. El sitio de P tiene dos tipos de páginas web: una versión manipulada y una versión original. La versión manipulada simula un clic o una solicitud al anuncio, lo que hace que P sea acreditado por el clic. P determina selectivamente si cargar el script manipulado (y por lo tanto fraudulento) en el navegador de U verificando si era de S. Esto se puede hacer a través del campo Referrer , que especifica el sitio desde el que se obtuvo el enlace a P. Todas las solicitudes de S se cargarán con el script manipulado y, por lo tanto, se enviará la solicitud automática y oculta. [8]
Este ataque convertirá silenciosamente cada visita inocente a S en un clic en el anuncio de la página de P. Peor aún, P puede colaborar con varios sitios web deshonestos, cada uno de los cuales puede colaborar con varios editores deshonestos. Si el encargado de la publicidad visita el sitio web de P, se mostrará la página no fraudulenta y, por lo tanto, no se podrá acusar a P de ser fraudulento. Sin una razón para sospechar que existe tal colaboración, el encargado de la publicidad tiene que inspeccionar todos los sitios de Internet para detectar tales ataques, lo que es inviable. [8]
Otro método propuesto para la detección de este tipo de fraude es mediante el uso de reglas de asociación . [9]
Un factor importante que afecta la clasificación de los sitios web en los resultados de búsqueda orgánicos es el CTR (tasa de clics). Es decir, la relación entre clics e impresiones o, en otras palabras, cuántas veces se hace clic en un resultado de búsqueda en comparación con la cantidad de veces que aparece el anuncio en los resultados de búsqueda.
A diferencia del fraude PPC, donde un competidor aprovecha los servicios de una red de bots o mano de obra de bajo costo para generar clics falsos, en este caso el objetivo es adoptar una política de " empobrecer al vecino " contra los competidores haciendo que su tasa de CTR sea lo más baja posible, disminuyendo así su posición en los resultados de búsqueda.
Por lo tanto, los actores maliciosos generarán clics falsos en los resultados de búsqueda orgánicos que desean promocionar, mientras evitan los resultados de búsqueda que desean degradar. Esta técnica puede crear efectivamente un cártel de servicios comerciales controlados por el mismo actor malicioso, o usarse para promover una determinada opinión política, etc. Se desconoce la escala de este problema, pero es ciertamente evidente para muchos desarrolladores de sitios web que prestan mucha atención a las estadísticas en las herramientas para webmasters.
En 2004, el residente de California Michael Anthony Bradley creó Google Clique, un programa de software que, según él, podía permitir a los spammers defraudar a Google y obtener millones de dólares en clics fraudulentos, lo que finalmente condujo a su arresto y acusación. [17]
Bradley pudo demostrar que el fraude era posible y que Google no lo podía detectar. El Departamento de Justicia alegó que se había puesto en contacto con Google y le había dicho que, a menos que le pagaran 100.000 dólares por los derechos de la tecnología, la vendería a los spammers, lo que le costaría millones a Google. Como resultado, Bradley fue arrestado por extorsión y fraude postal en 2006. [18]
Los cargos fueron retirados sin explicación el 22 de noviembre de 2006; tanto la oficina del fiscal de Estados Unidos como Google se negaron a hacer comentarios. Business Week sugiere que Google no estaba dispuesto a cooperar con la fiscalía, ya que se vería obligado a revelar públicamente sus técnicas de detección de fraudes de clics. [19]
El 18 de junio de 2016, Fabio Gasperini, ciudadano italiano, fue extraditado a los Estados Unidos por cargos de fraude de clics. [20] Una acusación formal acusó a Gasperini de:
Según el gobierno de Estados Unidos, Gasperini creó y operó una red de bots de más de 140.000 computadoras en todo el mundo. Este fue el primer juicio por fraude de clics en Estados Unidos. Si era condenado por todos los cargos, Gasperini corría el riesgo de pasar hasta 70 años en prisión.
Simone Bertollini, un abogado italoestadounidense, representó a Gasperini en el juicio. El 9 de agosto de 2017, un jurado absolvió a Gasperini de todos los cargos de delito grave de la acusación. Gasperini fue declarado culpable de un delito menor por obtener información sin obtener un beneficio económico. Gasperini fue sentenciado a la pena máxima legal de un año de prisión, una multa de 100.000 dólares y un año de libertad supervisada tras el encarcelamiento. Poco después se le contabilizó el tiempo que ya había cumplido y se le envió de regreso a Italia. Actualmente hay una apelación pendiente. [21]
Probar el fraude de clics puede ser muy difícil, ya que es difícil saber quién está detrás de una computadora y cuáles son sus intenciones. Cuando se trata de detectar el fraude de anuncios móviles, el análisis de datos puede brindar algunas indicaciones confiables. Las métricas anormales pueden indicar la presencia de diferentes tipos de fraudes. Para detectar el fraude de clics en la campaña publicitaria, los anunciantes pueden centrarse en los siguientes puntos de atribución [22]
A menudo, lo mejor que puede hacer una red publicitaria es identificar qué clics tienen más probabilidades de ser fraudulentos y no cargar la cuenta del anunciante. Se utilizan medios de detección aún más sofisticados, [23] pero ninguno es infalible.
El Informe Tuzhilin [24] elaborado por Alexander Tuzhilin como parte de un acuerdo judicial por fraude de clics, contiene un análisis detallado y exhaustivo de estos temas. En particular, define "el problema fundamental de los clics no válidos (fraudulentos)":
La industria de PPC está presionando para que se establezcan leyes más estrictas sobre el tema. Muchos esperan tener leyes que cubran a quienes no están sujetos a contratos.
Varias empresas están desarrollando soluciones viables para la identificación de fraudes de clics y están desarrollando relaciones de intermediación con redes publicitarias. Dichas soluciones se dividen en dos categorías:
En una entrevista de 2007 en Forbes , el experto en prevención de fraude de clics de Google, Shuman Ghosemajumder, dijo que uno de los desafíos clave en la detección de fraude de clics por parte de terceros era el acceso a datos más allá de los clics, en particular, los datos de impresiones de anuncios. [25]
El fraude de clics es menos probable en los modelos de costo por acción .
El hecho de que los intermediarios (motores de búsqueda) tengan la ventaja en la definición operativa de clics no válidos es la razón del conflicto de intereses entre los anunciantes y los intermediarios, como se ha descrito anteriormente. Esto se manifiesta en el Informe Tuzhilin [24], como se ha descrito anteriormente. El informe Tuzhilin no definió públicamente los clics no válidos ni describió las definiciones operativas en detalle. En cambio, ofreció una imagen de alto nivel del sistema de detección de fraudes y sostuvo que la definición operativa del motor de búsqueda investigado es "razonable". Uno de los objetivos del informe era preservar la privacidad del sistema de detección de fraudes para mantener su eficacia. Esto impulsó a algunos investigadores a realizar una investigación pública sobre cómo los intermediarios pueden luchar contra el fraude de clics [26] . Dado que presumiblemente dicha investigación no está contaminada por las fuerzas del mercado, existe la esperanza de que esta investigación pueda adoptarse para evaluar cuán riguroso es un intermediario en la detección del fraude de clics en futuros casos legales. El temor de que esta investigación pueda exponer el sistema interno de detección de fraudes de los intermediarios todavía se aplica. Un ejemplo de este tipo de investigación es la realizada por Metwally, Agrawal y El Abbadi en la UCSB . Otro trabajo de Majumdar, Kulkarni y Ravishankar en la UC Riverside propone protocolos para la identificación de conductas fraudulentas por parte de intermediarios en redes de distribución de contenido.