Fraude con demostraciones: cómo funciona, dónde se esconde y por qué es peligroso

Fraude con demostraciones: cómo funciona, dónde se esconde y por qué es peligroso

El mercado de la publicidad digital valora los grandes números: alcance, frecuencia, visibilidad, coste por mil. Donde la métrica es la moneda, siempre aparece quien falsifica los billetes. El fraude de impresiones es la manipulación de las visualizaciones publicitarias: eventos que parecen registros legítimos pero que no generan contacto real con la audiencia. En los informes todo parece en orden, el dinero se gasta según el plan de medios, pero el resultado desaparece como la estela de un dron en la niebla. 

Abajo hay un mapa detallado: qué se entiende por fraude de impresiones, cómo funciona técnicamente, dónde suele aparecer y qué herramientas ayudan realmente a defenderse.

Términos sin aburrimiento: qué se considera una impresión y cuándo es "real"

Una impresión es el momento registrado por el sistema cuando un anuncio se renderizó en el cliente. En el ideal, en la pantalla de una persona real. En la práctica, las plataformas diferencian entre "impresión" y "impresión visible". Para web y display, las recomendaciones del sector consideran visible un evento cuando al menos la mitad del área del banner estuvo en pantalla durante al menos un segundo; para vídeo, dos segundos. Estos principios son bien conocidos por asociaciones profesionales y se aplican en la industria para reducir las visualizaciones "muertas". Más información sobre la medición de la visibilidad en Media Rating Council: enlace, y sobre estándares y protocolos básicos en IAB Tech Lab: enlace.

En las conversaciones sobre manipulación suelen aparecer dos términos: GIVT y SIVT. GIVT (tráfico inválido general) incluye bots básicos, solicitudes defectuosas, llamadas de prueba y autoactualizaciones que no intentan ocultarse. SIVT (tráfico inválido sofisticado) abarca tráfico con camuflaje: emulación de usuarios, suplantación de dispositivos, inserción de impresiones en capas invisibles, cadenas de proxies complejas y otros trucos que hacen que los eventos ficticios sean indistinguibles de los legítimos.

Por qué sucede: la economía de la suplantación

La motivación del fraude es sencilla: dinero e informes. La plataforma, la red de revendedores o la aplicación ganan por volumen de impresiones. Cuantas más "visualizaciones", mayor ingreso. Una agencia puede ceder a la tentación de cumplir KPI de alcance de forma fácil. Un desarrollador móvil puede cerrar un bache financiero mediante autoactualizaciones agresivas o cargas de anuncios en segundo plano. Los arbitradores obtienen margen comprando "basura" barata y vendiendo inventario "premium" a través de cadenas complejas de proveedores. Pregunta "por qué" y casi siempre te responderán "para ganar más rápido y lucir mejor en el informe".

Dónde falla la ecosistema: breve análisis de la cadena programática

Las compras modernas se realizan por el protocolo OpenRTB: una solicitud va a la subasta, compite con millones de otras, el DSP puja y el SSP concede la impresión al ganador. Cuanto más compleja la cadena de intermediarios, más zonas ciegas. Para reducir la superficie de ataque, la industria definió tres archivos clave: ads.txt para sitios, app-ads.txt para aplicaciones y sellers.json para vendedores de inventario. Ayudan a identificar quién está autorizado a vender la plaza y a descartar intermediarios innecesarios. También es útil el objeto de la cadena de suministro schain en OpenRTB, que registra la ruta del inventario. La base de estándares y protocolos está en IAB Tech Lab: enlace.

Esquemas típicos de fraude de impresiones

El repertorio de técnicas es amplio, pero cada truco tiene una "firma" reconocible. A continuación están los métodos más habituales para aparentar que los anuncios fueron vistos.

  • Apilamiento de anuncios. Varios banners se colocan uno encima de otro en la misma zona. El usuario solo ve el superior, pero los contadores registran la impresión de cada capa. Detectar este "pastel en capas" es responsabilidad de los verificadores de visibilidad.
  • Reducción a píxel. El anuncio se comprime a un contenedor minúsculo: formalmente se renderizó, pero en la práctica es imposible verlo. A menudo se oculta en 1×1 píxel.
  • iFrame invisibles. La publicidad se carga en un iFrame fuera del viewport o con estilos que la hacen invisible. La impresión se contabiliza y el usuario queda "ajeno".
  • Autoactualización de espacios. Un refresco intensivo aumenta el volumen de inventario. En el papel hay muchas impresiones; en la práctica, las mismas personas rotan en bucle con fracciones de segundo de contacto.
  • Suplantación de dominio. Un vendedor fraudulento declara un dominio valioso pero dirige el tráfico a una página de baja calidad. La verificación con ads.txt y sellers.json elimina buena parte de estos trucos.
  • Suplantación de aplicación. En in-app a veces se falsifica el bundle ID, haciendo creer al sistema que la impresión ocurre en una app popular cuando no es así.
  • Fraude en vídeo. Reproducción automática sin sonido fuera de pantalla, reproductores diminutos, renderizado en pestañas en segundo plano. En Connected TV se añade la suplantación por servidor: un nodo SSAI genera flujos de "visualizaciones" desde dispositivos inexistentes.
  • Inyección de anuncios. Extensiones del navegador, SDK maliciosos y "mejoradores" de página insertan anuncios sobre la maquetación original. Luego: se desplaza, se registra la impresión y se marcha.
  • Granja de dispositivos y emuladores. Navegadores sin cabeza, emuladores de Android, builds anti-detección y proxies residenciales imitan comportamiento humano: mueven el ratón, "se quedan" en la página, cargan creativos rápidamente. Esto pertenece al SIVT.

Cocina técnica del atacante

El núcleo del esquema es un generador de eventos que por todos los campos se parece al humano. En web son emuladores con renderizado completo del DOM, inicialización correcta de SDK publicitarios y temporizaciones realistas: primero llega el contenido, luego "madura" la visibilidad y después disparan píxeles y trackers. En las aplicaciones se falsifican identificadores de dispositivo, versiones de sistema operativo, se simulan eventos del ciclo de vida de la app y condiciones de red "reales". En CTV se añaden conjuntos fabriles de device ID, duraciones de sesión idénticas, valores de buffering "cuadrados" y telemetría excesivamente limpia.

Para parecer humano se usan proxies residenciales, subredes "calientes" de proveedores de acceso, distribuciones uniformes por husos horarios; sexo y edad se extraen de perfiles de enriquecimiento o se asignan aleatoriamente. Para enmascararse como navegador se ajustan correctamente User-Agent, listas de fuentes, tamaños de pantalla y tasa de refresco; se simula movimiento de ratón y se generan valores "inflados" de viewability. Por los detalles, los atacantes a veces insertan simulación de scroll, arrays de eventos táctiles y "pegado" del cursor en zonas "interesantes".

Cómo se ve el problema en los informes: señales y síntomas

El fraude de impresiones se puede detectar por huellas. Lo principal es mirar el conjunto, no una cifra "sospechosa" aislada.

  • Visibilidad anómala. Casi perfectos 98–100% de viewable con volúmenes enormes son una alarma. Los usuarios reales raramente son tan "obedientes".
  • Falta de interacciones. Muchísimas impresiones y apenas clics o conversiones post-view. Para awareness puede ser aceptable, pero la curva de CTR/conversiones queda plana y no responde a creativos, frecuencia o ubicaciones.
  • Geografía y ASN. El tráfico "resident" proviene de las mismas subredes, sistemas autónomos y ciudades, sin coincidir con la segmentación de la campaña.
  • Horario. Planchas uniformes por la noche y caídas de día: patrón típico de emuladores que rotan según el horario de la granja.
  • Rutas de suministro sospechosas. La misma plaza llega a través de una cadena interminable de revendedores, aunque en ads.txt solo tenga uno o dos canales autorizados.
  • Temporizaciones antinaturales. Los disparos de píxeles de visibilidad ocurren en intervalos fijos, como si alguien hubiera puesto un metrónomo.

Web, aplicaciones y CTV: cada entorno tiene su carácter

En navegador es más común el apilamiento, la reducción a píxel y la suplantación de dominio, así como inyecciones mediante extensiones. En aplicaciones móviles predominan las autoactualizaciones agresivas de espacios, la carga de creativos en segundo plano y la falsificación de identificadores de paquete. En CTV el propietario de la televisión no tiene por qué intervenir: basta "calentar" el servidor de inserción de anuncios (SSAI), generar visualizaciones desde dispositivos inexistentes y distribuir los flujos por IP. Allí los presupuestos son mayores y las verificaciones a menudo menos estrictas que en la web, lo que hace la plataforma atractiva para atacantes.

Herramientas y estándares que ayudan realmente

No existe un botón mágico que lo arregle todo, pero un conjunto de prácticas reduce notablemente las pérdidas.

  • Higiene de suministro. Firmar y verificar ads.txt, app-ads.txt y sellers.json, exigir schain en cada solicitud OpenRTB. Eliminar intermediarios innecesarios y practicar la optimización de la ruta de suministro.
  • Medición de visibilidad. Implementar SDK de medición abiertos (por ejemplo, SDK de medición abierta) y comparar los informes de varios sistemas. Metodologías distintas son útiles para detectar discrepancias importantes.
  • Filtrado de IVT. Construir filtros propios para GIVT (centros de datos, bots conocidos, entornos de prueba) y mantener las reglas actualizadas. Para SIVT usar analítica de comportamiento y deduplicación de dispositivos.
  • Registros en lugar de "temperatura media". Guardar bid logs, win-notices, cadenas de suministro, post-registros de píxeles y marcas de tiempo. Con logs es más fácil discutir que con bonitas gráficas agregadas.
  • Control de frecuencia y creativos. Aplicar frequency caps estrictos, limitar autoactualizaciones y proteger contra rotaciones que convierten la página en un ventilador de impresiones.
  • Reglas para CTV. Exigir informes detallados sobre dispositivos y reproductores, verificar orígenes de SSAI, contrastar telemetría y pools de IP, y excluir subredes en la nube sin audiencia real.

Proceso: cómo hacer una auditoría exprés y no ahogarse

Un enfoque sistemático es mejor que el pánico. Actuar por pasos, de lo simple a lo complejo.

  1. Verificar el inventario. Recoger los ads.txt/app-ads.txt actualizados de las plazas, descargar sellers.json de los proveedores y reconstruir rutas desde schain. Eliminar caminos "extraños".
  2. Medir la visibilidad. Contrastar informes de dos medidores independientes y señalar banderas: 100% viewable, planchas bruscas, temporizaciones idénticas.
  3. Revisar logs. Analizar campos OpenRTB: dominio, bundle de la app, tipo de dispositivo, SO, UA, IP/ASN, identificadores de usuario. Encontrar grupos con concentración inusual.
  4. Comprobar frecuencia y refresco. Identificar "ventiladores" de impresiones por plaza y zona, limitar actualizaciones y eliminar escenarios agresivos.
  5. Segmentar por ruta de suministro. Comparar el rendimiento de canales que comparten las mismas plazas: si una ruta "vierte" impresiones sin rastro, es candidata a pausa.
  6. Lanzar un creativo "trampa". Colocar una marca oculta o píxel trampa, no visible para el usuario pero detectable por un bot. Las detecciones son señal para bloquear la fuente.
  7. Preparar pruebas. Documentar casos, construir una línea temporal, reunir CSV de logs y capturas. Eso es la base para negociar devoluciones.

Factor humano: dónde se equivocan con más frecuencia

La gente tiende a creer las buenas noticias. Una entrega uniforme de impresiones, alcance ordenado y un CPM atractivo relajan. El error es analizar métricas por separado. Visibilidad sin interacciones, frecuencia enorme sin aumento de reconocimiento, geografía perfecta pero subredes sospechosas: cada discrepancia aislada es explicable; juntas conforman una historia. Otro error es dejar la "configuración para después". Listas de bloqueo, límites, limpieza de rutas y auditoría de SDK son tareas que conviene implantar y mantener, en vez de intentar "salvar el presupuesto" heroicamente en diciembre.

Aspectos legales y contractuales

En los contratos conviene fijar principios como "pagamos por impresiones visibles", la obligación del proveedor de cumplir estándares sectoriales y el deber de facilitar logs bajo demanda. Es útil incluir cláusulas de devolución ante IVT detectado y el derecho a suspender canales problemáticos. Para CTV e in-app tiene sentido especificar requisitos sobre fuentes de telemetría e identificadores de dispositivos. Cuanto más claras sean las condiciones, menos espacio habrá para la "contabilidad creativa".

Escenario de caso: cómo se desarrolla una investigación en la práctica

Imaginemos que una campaña de pronto aumenta volumen y muestra "visibilidad perfecta", pero los embudos superiores no avanzan. El equipo descarga los logs y ve que gran parte del tráfico pasa por tres intermediarios hacia los mismos dominios. En un slot hay un refresh cada 10 segundos y los tiempos de visibilidad se agrupan en valores idénticos. La comprobación de ads.txt revela que la plaza no está autorizada para ciertos canales y sellers.json desvela un revendedor no evidente. Se bloquea la ruta, se limita la frecuencia, el volumen de "milagros" cae y las conversiones vuelven a la normalidad. En un par de días el plan de medios vuelve a centrarse en personas, no en "píxeles vivos".

Particularidades de la medición: por qué dos informes rara vez coinciden

Incluso la analítica honesta difiere entre proveedores. El disparo de píxeles, la atribución, la deduplicación de usuarios y la metodología para calcular viewability varían. Eso es normal. Lo importante no es un número absoluto, sino la dinámica y la coherencia de las tendencias. Si un sistema muestra "inundación" de impresiones y otro indica "calma", conviene asumir lo peor y profundizar.

Comunicación con socios: cómo discutir eficazmente

El mejor argumento son los hechos. Logs fríos, líneas temporales, ejemplos de cadenas de suministro y ubicaciones concretas. No hay vergüenza en equivocarse; la vergüenza es no hablar: las plazas honestas ayudan y seguirán ayudando a limpiar el inventario porque la reputación vale más que un ingreso puntual. Si un socio se niega a tratar el IVT y responde "así está configurado el mercado" a todo, eso es un riesgo que debe documentarse y llevarse al plano contractual.

Qué deben hacer los equipos de marketing y seguridad juntos

El fraude de impresiones no es solo asunto de marketing. Los técnicos ayudan a validar SDK, analizar patrones de red, revisar extensiones y detectar procesos sospechosos en la red corporativa. Los equipos de compra se responsabilizan de la limpieza de canales, los logs y los KPI; los juristas, de contratos y devoluciones. Se encuentra un lenguaje común rápido cuando todos ven las mismas tablas y comparten el mismo presupuesto.

Lista de verificación final de prevención

  • Implementar y revisar regularmente ads.txt/app-ads.txt, trabajar solo con canales autorizados.
  • Exigir sellers.json y schain a los proveedores, reducir intermediarios innecesarios.
  • Instalar medidores de visibilidad independientes y comparar informes.
  • Mantener un registro centralizado de solicitudes, impresiones y conversiones.
  • Limitar autoactualizaciones, controlar la frecuencia y limpiar espacios problemáticos.
  • Para CTV: validar orígenes de SSAI, comprobar device ID y pools de IP anómalos.
  • Incluir en los contratos reglas de devolución por IVT y obligaciones de entrega de logs.

Conclusión: menos magia, más ingeniería

El fraude de impresiones es consecuencia de la multiplicidad de intermediarios, la automatización y el dinero en la publicidad digital. Donde la cadena es larga siempre habrá lugar para "píxeles muy listos". Gana quien convierte la compra en un proceso de ingeniería: estandariza las entregas, mide la visibilidad, guarda logs, optimiza rutas y revisa los canales con honestidad. 

Que en las gráficas haya menos perfección y más verdad: las personas reales a veces no hacen clic, se equivocan y cierran pestañas. Pero así los presupuestos dejan de filtrarse a emuladores y el sistema publicitario vuelve a impulsar el crecimiento de la marca, no los porcentajes en un informe ajeno. Si se mantiene esta disciplina día a día, el fraude de impresiones deja de ser "magia negra" y se convierte en un conjunto de trucos reconocibles que se detectan fácilmente con análisis rutinario.

Alt text
article-title

Deni Haipaziorov