La mayor estafa con 'bots' de la historia: así han robado cinco millones diarios falseando reproducciones de vídeos

“La operación con ‘bots’ más rentable descubierta hasta la fecha”. Así describen los investigadores de la firma de seguridad informática White Ops el gigantesco fraude a la industria de la publicidad online que ha estado sustrayendo entre 3 y 5 millones de ingresos cada día a grandes medios de comunicación y los mayores anunciantes del otro lado del charco.

Bautizada como Methbot, esta estafa ideada por un grupo de cibercriminales rusos (Ad Fraud Komanda o AFK13) “produce volúmenes masivos de impresiones fraudulentas” para la publicidad en formato vídeo. Lo hace usando “un ejército de navegadores automatizados” que se ejecutan desde direcciones IP obtenidas de manera ilícita, capaces de ver (o, mejor dicho, fingir que ven) hasta 300 millones de anuncios al día.

El sistema, complejo y sofisticado, se basa en crear copias de los soportes elegidos (por ejemplo, la web de la revista 'Vogue' o la de la cadena de televisión 'ESPN') utilizando datos de registro aparentemente reales, o al menos lo suficientemente aparentes para hacer creer al algoritmo que decide la inserción de publicidad que debe dar prioridad a estas páginas. Más de 6.000 dominios, muchos pertenecientes a cadenas generalistas, se han visto afectados.

El funcionamiento es aparentemente sencillo: cuando el programa que escoge qué anuncios van a parar a qué publicaciones lee los datos de las páginas falsificadas por AFK13, les otorga prioridad sobre las verdaderas, colocando los vídeos publicitarios más jugosos.

El siguiente paso de los estafadores es desplegar el ejército de ‘bots’. Operando desde ‘data centers’ en Estados Unidos y Holanda, los más de 570.000 navegadores automatizados de AFK13 se dedican a reproducir los vídeos insertados en esas webs fraudulentas, generando ese volumen de ingresos tan elevado que los cibercriminales han venido obteniendo (a razón de unos 13 dólares -más de 12 euros- por cada 1.000 impresiones).

En otras palabras, este grupo de cibercriminales usa un auténtica horda de ‘bots’ adiestrados para hacerse pasar por internautas de carne y hueso que acuden a una página web (a ojos del algoritmo, grande y relevante) y hacen los clicks necesarios para visualizar el vídeo de un anuncio.

Para que estos farsantes resultaran más reales, y así fueran capaces de saltarse las medidas de detención más comunes, AFK13 se hizo con cientos de miles de direcciones IP y las asoció con proveedores de internet estadounidenses, logrando que sus muchísimos navegadores automatizados, en lugar de provenir todos de los mismos ‘data centers’, parecieran estar en un sinfín de hogares norteamericanos.

Según los expertos de White Ops, los delincuentes de AFK13 han debido realizar un considerable esfuerzo técnico para poner en marcha un timo de esta envergadura. Descubrir el funcionamiento de los mecanismos de control de calidad que aplican las redes de publicidad para decidir dónde se insertan los anuncios (sobre todo los mejor pagados) ha debido requerir una compleja labor de ingeniería inversa.

Con Methbot se han batido todos los récords en materia de fraude con ‘bots’, al menos hasta donde saben los investigadores de la firma de seguridad informática. Amenazas anteriores como ZeroAccess, Chameleon o HummingBad lograban generar unos 900.000, 200.000 y 10.000 dólares de ingresos al día, respectivamente. Cifras mucho más modestas que los entre 3 y 5 millones que ha estado sustrayendo AFK13 de las arcas de los anunciantes.

Los investigadores de White Ops comenzaron a seguir las huellas de estos rusos en septiembre de 2015, cuando detectaron tráfico automatizado pasando por las redes de un cliente. Sin embargo, ha sido en octubre de 2016 cuando la actividad de Methbot ha alcanzado su apogeo.

“Llevamos semanas trabajando con las autoridades federales”, ha asegurado el director de operaciones de White Ops, Eddie Schwartz. “No tenemos duda alguna de que se trata de un grupo radicado en Rusia, un único grupo”. Y eso complicará las cosas, tanto para dar caza a los criminales como para que los anunciantes recuperen su dinero: “Históricamente, es difícil lograr que Rusia coopere para perseguir crímenes relacionados con internet”, asegura al respecto.

Así las cosas, la mejor forma de protegerse que tienen plataformas y anunciantes es bloquear las direcciones IP y los dominios que White Ops ha podido relacionar con AFK13 y colaborar para encontrar otros y seguir el rastro del dinero hasta los estafadores.