CleanTap demuestra cómo colar tráfico inválido en CTV con un simple Raspberry Pi
El ecosistema publicitario en CTV vuelve a quedar en entredicho. Un nuevo informe publicado por la startup de curation CleanTap ha revelado vulnerabilidades importantes en las defensas contra tráfico inválido de las plataformas programáticas, tras un experimento en el que se logró “colar” inventario 100% fraudulento en subastas reales.
La compañía creó un dispositivo falso utilizando un Raspberry Pi modificado y una conexión HDMI simulada, emulando las características de un Smart TV para que pareciera un entorno legítimo. Durante 10 días en julio, este “CTV fantasma” emitió miles de bid requests desde dos direcciones IP distintas, todas aceptadas sin cuestionamiento por las plataformas.
El resultado es que el 100% de las pujas fraudulentas fue aceptado en subastas en vivo y 54 marcas compraron impresiones servidas a este dispositivo falso, según el informe. Entre los players que participaron en las subastas figuran publishers, plataformas de streaming, DSPs, SSPs, Ad Servers y proveedores de verificación. Aunque CleanTap no reveló nombres (dado que el IVT fue generado artificialmente), el hallazgo apunta a fallos sistémicos.
CleanTap diseñó el experimento para que las señales fraudulentas fueran fácilmente detectables. Utilizó un user agent inusual (una Raspberry Pi corriendo Android 15), ubicaciones IP de Ashburn (Virginia) (zona conocida por albergar la mayor concentración de data centers de EE. UU.) e incluso incluyó en algunos casos un mensaje explícito dentro del user agent que decía: “I’m a bot, don’t buy or sell ad space that I’m seeing!”.
Pese a ello, las plataformas aceptaron y sirvieron anuncios igualmente, lo que sugiere que las verificaciones pre-bid no están prestando atención adecuada a señales básicas como el user agent o la IP. Según Wayne Blodwell, Global SVP de Programmatic en Assembly Global, que revisó el informe antes de su publicación, “engañar a la tecnología programática CTV no es tan difícil, y eso es preocupante cuando hablamos de un inventario más caro y con expectativas más altas”.
Un problema estructural
La investigación subraya un contraste importante con la web. Mientras que los compradores de display programático han asumido que entre el 10% y el 20% del inventario puede contener algún grado de IVT, en CTV no existe esa tolerancia: el coste medio por CPM es significativamente mayor y las marcas esperan un control más exhaustivo.
Además, CleanTap construyó el dispositivo por menos de 100 dólares y utilizó un software público para simular sistemas operativos de Smart TV y canales FAST, demostrando que no hace falta sofisticación para infiltrar tráfico inválido en el ecosistema.
La empresa aclara que el experimento generó menos de 10.000 impresiones (una fracción minúscula del tráfico total), pero el objetivo no era medir la escala, sino demostrar la debilidad de las protecciones existentes. “Todo lo que sabemos es que el espacio publicitario se sirvió”, explicaba Will Rand, cofundador de CleanTap en AdExchanger.
Verificación: de reactiva a proactiva
Jenna Martinez, cofundadora de CleanTap, señala que el problema radica en el enfoque actual de las plataformas: “Los sistemas asumen que el tráfico es válido salvo que vean lo contrario. Debería ser al revés: asumir falsificación hasta verificar”.
La compañía propone un cambio de paradigma: pasar de sistemas de exclusión reactiva a mecanismos intrínsecos de verificación upstream, integrados directamente en DSPs, SSPs y Ad Servers. Esta necesidad se ve reforzada por declaraciones del MRC (Media Rating Council), que ha indicado públicamente que las plataformas pueden ignorar señales de verificación de terceros, lo que limita la eficacia de los filtros actuales.
Próximos pasos
Wayne Blodwell recomendaba a los compradores adoptar estrategias defensivas más firmes: priorizar acuerdos directos con publishers y curators de confianza, exigir transparencia sobre cómo se filtra el IVT y establecer procesos claros de “make-goods” para compensar impresiones inválidas. También sugirió que las plataformas deberían ofrecer más protecciones por defecto, en lugar de depender de configuraciones avanzadas poco accesibles.
Este informe aparece en un contexto de creciente control: en marzo, Adalytics publicó otra investigación que puso en duda la efectividad de las medidas contra bots en programática, y fue posteriormente demandada por DoubleVerify por difamación. A diferencia de ese caso, CleanTap compartió sus hallazgos con las empresas implicadas antes de la publicación, en un intento de promover una discusión constructiva.
Aunque la escala del problema aún no se ha cuantificado, el experimento de CleanTap demuestra que las brechas en la seguridad programática de CTV son explotables con medios mínimos, y plantea interrogantes sobre cómo proteger la inversión publicitaria en un entorno de CPM altos y expectativas de brand safety elevadas.
“La industria debe asumir que el fraude no es una anomalía, sino una amenaza constante que requiere verificaciones integradas desde el origen”, concluye Martinez.
Puntos clave:
CleanTap demostró la facilidad para infiltrar tráfico inválido en CTV, utilizando un Raspberry Pi modificado que fue aceptado en el 100 % de las subastas, con 54 marcas comprando impresiones falsas.
Las plataformas programáticas ignoraron señales básicas de fraude, como user agents sospechosos o IPs de data centers, evidenciando carencias en los sistemas de verificación pre-bid y en la detección de dispositivos falsos.
El caso subraya la necesidad de pasar de un modelo reactivo a uno proactivo de verificación, integrando controles desde el origen y reforzando la responsabilidad de DSPs y SSPs para proteger la inversión publicitaria en CTV.
Este resumen lo ha creado una herramienta de IA basándose en el texto del artículo, y ha sido chequeado por un editor de PROGRAMMATIC SPAIN.
