Confiant destapa una trama de robo de cookies que lleva años robando créditos de atribución
Vamos con el segundo esquema de Ad-Fraud del día: Confiant afirma haber identificado una trama de "cookie-stuffing" perpetrada presuntamente por Dataly Media, una plataforma de marketing de afiliación con sede en Ecuador.
Las supuestas prácticas de cookie-stuffing de Dataly Media se remontan al menos a 2015 y sustentan gran parte del negocio de marketing de afiliación de la empresa realizado desde entonces, según Confiant. Sin embargo, Confiant no fue capaz de proporcionar una estimación de la cantidad de ingresos que Dataly Media ha obtenido de estas prácticas.
Dataly Media sirvió aproximadamente 125 millones de impresiones de anuncios de display sólo en 2022, según estimaciones de Confiant, pero no está claro cuántas de estas colocaciones fueron objeto de "cookie stuffing". En 2022, Dataly Media estaba activa en al menos cuatro DSP; Confiant declinó nombrar estos DSP.
¿Qué es el "cookie stuffing"?
"Cookie stuffing es esencialmente robar conversiones", dijo Jerome Dangu, cofundador y CTO de Confiant.
Los anunciantes que realizan campañas de coste por clic (CPC), coste por lead (CPL) y coste por adquisición (CPA) pagarían a Dataly Media por estas conversiones supuestamente robadas. En el marketing de afiliación, los píxeles de seguimiento demuestran si una conversión (como una suscripción o la compra de un producto) se ha producido porque un usuario ha visitado un sitio web concreto o ha hecho clic en un enlace de marketing de afiliación determinado.
Pero en una trama de "cookie stuffing", un malhechor incrusta un código en la creatividad publicitaria. El código deja caer un píxel de seguimiento para un sitio web distinto del que el usuario está visitando en ese momento, sin su conocimiento o consentimiento. Las plataformas de marketing de afiliación atribuyen entonces las conversiones que realiza un usuario a un sitio que nunca ha visitado.
ÇGracias a su presencia en los DSP, Dataly Media puede pujar por el inventario publicitario subastado por sitios de publishers desprevenidos. Al ganar una subasta de anuncios, Dataly Media colocaba anuncios supuestamente incrustados con código de relleno de cookies que cargaba uno o más iframes ocultos dentro de la creatividad del anuncio.
La página de destino del anunciante, incluidos los rastreadores de clics asociados, se mostraba dentro de estos iframes ocultos sin que el usuario lo supiera. Los rastreadores de clics activan la atribución en la plataforma de marketing de afiliación Eficads de Dataly Media, así como en plataformas de marketing de afiliación de Third-Party y proveedores de atribución.
El efecto es el mismo que si el usuario hubiera hecho clic en un anuncio de un producto y hubiera aterrizado en la página de destino del anunciante. Pero en lugar de atribuir la visita a la página de destino y cualquier transacción completada al sitio que el usuario visitó realmente, los píxeles de seguimiento atribuyen las conversiones a un sitio de marketing de afiliación hecho para la publicidad (MFA) completamente independiente, propiedad de Dataly Media y gestionado por ésta, por ejemplo, thetop3.com. A continuación, los anunciantes deben pagar al publisher gestionado por Dataly Media por sus campañas CPC, CPL y CPA.
Vías de suministro "sucias" y "limpias''
Dataly Media supuestamente opera una serie de sitios MFA que se utilizan para desviar el crédito de atribución. Estos sitios MFA parecen legítimos porque atraen una buena cantidad de tráfico válido, aunque tráfico que se compra a través de widgets de recomendación de contenidos como Taboola.
En este sentido, el supuesto esquema de cookie-stuffing implica lo que Confiant denomina una ruta de suministro "sucia" que contiene tráfico no válido generado por publicidad maliciosa y una ruta "limpia" que contiene tráfico válido (aunque mayoritariamente de pago).
Al parecer, Dataly Media blanquea el tráfico no válido generado por el sistema de "cookie-stuffing" mezclándolo con el tráfico válido procedente de la publicidad nativa.
Fuente: Confiant
Por ejemplo, el sitio AMF thetop3.com de Dataly Media está especializado en listas de los "3 mejores" que promocionan productos a través de enlaces de afiliados. Por tanto, si un anunciante está realizando una campaña de marketing de afiliación a través de thetop3.com, no le sorprendería ver un gran número de visitas atribuidas a la página de destino procedentes de thetop3.com. Pero algunas de esas visitas a la página de destino se fabrican a través del supuesto esquema de "cookie-stuffing" y se roban de otros sitios de publishers.
"Así, si un anunciante o una plataforma de afiliación examinasen los datos, verían que tienen muchos visitantes procedentes de thetop3.com y un buen número de conversiones. Pero el número de visitantes (válidos) se compone esencialmente de tráfico que se compra en Taboola por muy poco dinero", explica Dangu.
Además de Dataly Media, Confiant identificó tres entidades jurídicas principales implicadas en la supuesta trama de "cookie-stuffing": Just Media Group (renombrada de Just Click Media), Eficads y Tredia Solutions. Dataly Media, Eficads y Tredia Solutions parecen estar gestionadas por Just Media Group, pero la estructura de propiedad del grupo no está clara, según Dangu.
Para adelantarse a los intentos de identificar cualquier presunto delito, Dataly Media creó supuestamente más de 100 dominios publicitarios y se asoció con una amplia gama de plataformas publicitarias.
El "Cookie stuffing" suele pasar desapercibido y quedar impune porque en el marketing de afiliación abundan los malos players, afirma Dangu. El problema puede estar más extendido de lo que el sector quiere admitir. La responsabilidad suele recaer en los proveedores que examinan la creatividad de los anuncios y el fraude publicitario a nivel de impresión para alertar sobre estas prácticas.
"No se trata de tráfico de bots, y técnicamente no se ataca a los usuarios, sino que se crean impresiones falsas. Así que, por mucho que esto diluya la calidad de los programas de afiliación, queda completamente oculto en las matemáticas de la contabilidad y en cómo está organizado el sector para atajar este problema", afirma Dangu.
El daño causado
Sin embargo, las presuntas prácticas de Dataly Media de "cookie-stuffing" crean una serie de problemas tanto para los publishers como para los anunciantes. Para los anunciantes, el tráfico inválido degrada el rendimiento de la campaña y distorsiona los datos utilizados para la segmentación. El tráfico no válido también puede afectar a las métricas de rendimiento, como el coste por click. Mientras tanto, los sitios web de los publishers se atascan debido a la carga de red necesaria para renderizar los iframes ocultos en la creatividad publicitaria, lo que provoca problemas de latencia para los visitantes del sitio.
Y la falta de consentimiento de los usuarios para el uso de píxeles de seguimiento de Third-Party significa que las partes involuntarias podrían estar en un aprieto por no cumplir con las regulaciones de privacidad de datos como el GDPR de Europa. De hecho, Confiant descubrió que el 76% de los presuntos anuncios de cookie-stuffing servidos por Dataly Media en 2022 se sirvieron a usuarios europeos, infringiendo el GDPR.
Dataly Media está registrada en la TCF Global Vendor List con el nombre de Tredia Solutions. Sin embargo, su divulgación de almacenamiento de dispositivos solo contiene algunos de los dominios asociados de Dataly Media, con una serie de dominios no declarados bajo TCF.
"IAB tiene cierta jurisdicción aquí para la aplicación, porque (Dataly Media) es un proveedor que no cumple (bajo TCF)", dijo Kaileigh McCrea, ingeniero de privacidad en Confiant. "La violación a nivel GDPR normalmente sería aplicada por la Autoridad de Protección de Datos en el país donde la empresa tiene su sede. Además, puede haber algunas acciones que podrían presentarse en nombre de los usuarios en ciertos países."
Confiant ha puesto sus conclusiones en conocimiento de IAB Europe. También se ha puesto en contacto con Just Media Group, pero no ha recibido respuesta.
Fuente: AdExchanger
