Todos sufrimos la molestia de los anuncios cuando utilizamos las aplicaciones gratis. El modelo «freemium» se ha hecho tan fuerte en Android que resulta muy difícil que alguien pague por una aplicación; por lo que los desarrolladores deben monetizar el esfuerzo de desarrollo integrando la molesta publicidad. Esta no es que genere mucho dinero si se utiliza tal y como dictan las compañías publicitarias, pero puede generar millones cuando se abusa del sistema.

En una impresionante investigación de BuzzFeed News que te recomendamos leer en profundidad han descubierto un gigantesco fraude publicitario que envuelve a aplicaciones Android con cierta popularidad en la Google Play. Dicho fraude generaba millones en clicks falsos que engrosaban las arcas de un entramado opaco de empresas. El hilo parece no tener fin, pero sí conocemos todas las claves necesarias para entender cómo funciona el fraude. Este es tan complejo en la ejecución como sencillo en el planteamiento.

Los estafadores capturaban el comportamiento real del usuario y lo replicaban en una red de bots

Cada vez que abrimos una aplicación o juego utilizamos la interfaz de una manera tal que esto identifica nuestro uso como humano. Pulsamos en determinadas zonas de la pantalla, usamos unos tempos aleatorios, podemos escribir en pantalla de una manera concreta… Imitar de cero el comportamiento humano utilizando inteligencia artificial es casi imposible; de ahí que se necesiten modelos de uso auténticos para replicarlos.

El objetivo era conseguir el mayor número de comisiones por anuncio

Cada vez que una app o juego imprime en pantalla un anuncio, ya sea en banner como a pantalla completa, se genera un impacto publicitario que queda registrado en la empresa que sirve dicho anuncio. Si dicho impacto atrae al usuario para que pinche en la publicidad se traduce en un click; que puede transformarse en una conversión cuando se ha conseguido el objetivo del anuncio (vender un producto, descargar otra aplicación, contratar un servicio…). En caso de que se haya realizado la conversión el dueño de la app recibe un porcentaje en forma de comisión.

Teniendo en mente cómo funciona el sistema para generar dinero incluyendo anuncios en las aplicaciones volvemos de nuevo a lo complicado de replicar el uso humano. Ya que no se generan suficientes clicks porque a nadie le gustan los anuncios, la ingeniosa solución que encontraron para conseguir millones de dólares con dichos clicks fue crear una red de bots que replicara el uso natural generando conversiones en un grupo de aplicaciones controladas por las empresas.

Controlando el uso de las aplicaciones solo había que aumentar el número de anuncios para conseguir infinidad de clicks

¿Cómo se capturaba el comportamiento humano real para que lo replicaran los bots? Comprando aplicaciones Android que poseían reputación entre los usuarios. El conglomerado de empresas adquiría una a una las apps a sus desarrolladores pagándoles importantes sumas en Bitcoins. Una vez con el control de las apps capturaban el uso normal que se hacía de ellas paras trasladar ese comportamiento a los bots automatizados. Por último, los bots utilizaban las aplicaciones manipuladas para generar clicks y conversión que se traducía en dinero para las empresas fraudulentas. Millones de dólares.

Un fraude casi imposible de detener: los anunciantes estiman que el 23 % de las impresiones de publicidad son falsas

Las empresas compraban una a una las aplicaciones para obtener el control de los anuncios y de los registros de uso. No tenían por qué modificar los permisos o inyectar malware, les bastaba con aumentar el ritmo de la publicidad y comprobar cómo reaccionaban los usuarios a ella. Después, con solo replicar las reacciones mezclaban el tráfico real con el generado por los bots, lo que hacía imposible su detección: los mecanismos antifraude de los anunciantes no diferenciaban los clicks reales de los falsos ya que el comportamiento era idéntico.

El fraude no tenía por qué suponer un riesgo para el usuario: se dirigía a los gestores de los anuncios

No es un fraude que nos afecte directamente a los usuarios ya que el destino no era obtener nuestros datos o infectar nuestros teléfonos, sino burlar a los anunciantes que publican los banners en las aplicaciones. Google tuvo constancia de la investigación de BuzzFeed News y procedió a eliminar todas las aplicaciones involucradas. Además, aseguró al medio que lleva a cabo análisis constantes para continuar limpiando la Play Store: el pasado año eliminó más de 700 000 apps que violaron las políticas de la tienda.

Noticias como esta continúan poniendo en duda la seguridad y privacidad de Android. Aunque el fraude no se ha generado en nuestro sistema solo porque sea más vulnerable, el principal problema es que resulta masivo; por lo que generar millones de clicks es mucho más simple en Android que en iOS. Además, también Google posee más laxitud en la revisión de aplicaciones, algo que debería mejorar en el futuro.

Actualizado 24/10/2018

Google ha realizado una declaración oficial sobre este caso, en el que ha recalcado las políticas de Google Play contra el fraude publicitario. A continuación tenéis la declaración completa:

“Nos tomamos muy en serio nuestra responsabilidad de proteger a los usuarios y ofrecer una gran experiencia en Google Play. Nuestras políticas de desarrolladores prohíben el fraude publicitario y el abuso del servicio en nuestra plataforma, y si una app viola nuestras políticas tomamos medidas” – portavoz de Google”