3 fuentes de fraude de SKAdNetwork para las que los anunciantes deben prepararse

¿Cómo se ve el fraude en iOS 14 con SKAdNetwork? ¿Es siquiera posible, dado que Apple firma criptográficamente las instalaciones de apps?

Los especialistas en marketing móvil inteligente están usando el tiempo entre ahora y principios de 2021, cuando Apple implementará completamente todas las funciones de privacidad de iOS 14’s, para probar SKAdNetwork. El objetivo: lograr que su capacidad de optimización de marketing sin IDFA sea tan buena o mejor que su análisis de atribución al estilo iOS 13 estándar.

¿Pero qué pasa con el fraude?

¿Debe preocuparse por el fraude en iOS 14 cuando SKAdNetwork está en pleno funcionamiento?

La respuesta corta es … absolutamente. La respuesta larga es que existen al menos tres formas en que los estafadores pueden falsificar conversiones, arruinar atribuciones, malgastar tu dinero y ensuciar tus datos. Exploramos las tres en esta edición de Growth Masterminds, con Singular’s head of prevención de fraude esfuerzos, Yonatan Komornik.

John Koetsier: Brevemente, ¿cuáles son los tres problemas potenciales?

Yonatan Komornik: SKAdNetwork 2.0 incluye la firma criptográfica que permite la validación de los datos y básicamente evita que los actores fraudulentos falsifiquen o falsifiquen las notificaciones de SKAdNetwork, pero todavía hay algunos problemas.

En primer lugar, los valores de conversión posteriores a la instalación no se incluyen en los datos firmados. Además, el país y la geolocalización no están codificados. Y, por último, validar la firma no es tan sencillo como podría parecer.

Koetsier: Profundicemos en cada uno de esos retos, empezando con las conversiones post‑instalación.

Hablamos de alguien que instaló una aplicación y quizás compró algo, participó, completó un nivel, lo que sea. ¿Cuál es el desafío?

Komornik: Veamos un paso atrás. SKAdNetwork 2.0 incluye un valor de seis bits, llamado valor de conversión.

Ese valor puede actualizarse desde la app del anunciante para reflejar el valor del usuario que llega desde el red publicitaria o campaña específica. Y eso’s incrustado en la notificación de SKAdNetwork. Así puedes recibir una notificación que indique una instalación proveniente de esta red publicitaria en esta campaña, e incluso de un editor específico, con un usuario que obtuvo una puntuación de 100, por ejemplo.

Y esas puntuaciones podrían ser lo que los anunciantes optimizan. Por ejemplo, cuanto mayor sea la puntuación, mejor será el usuario.

Ahora bien, este valor de conversión específico no se firma en la notificación de SKAdNetwork, lo que significa que, incluso si se modifica, la autenticación del postback de SKAdNetwork se procesará. Sigue siendo válida. Y dado que las notificaciones de SKAdNetwork llegan primero a la red publicitaria y solo después de compartirse con anunciantes o MMP, un actor fraudulento podría cambiar esos valores sin que nadie lo sepa.

Koetsier: Lo segundo que mencionaste fueron los códigos de país, ¿verdad? Tal vez buscas usuarios en el Reino Unido y obtienes Uzbekistán o algo así. ¿Cuál es el problema?

Komornik: Las notificaciones de SKAdNetwork provienen del propio dispositivo, lo que significa que los metadatos incorporan valores únicos y valiosos para los anunciantes, como la geolocalización, que puede derivarse de la dirección IP.

Pero como las notificaciones de SKAdNetwork se envían primero a la red, esta podría informar cualquier geolocalización que desee. De nuevo, no forma parte de los datos firmados y validados.

Koetsier: Así que esos son los valores de conversión post‑instalación y los códigos de país. Pero creo que mientras charlábamos antes, también mencionaste que validar firmas no es suficiente, ¿verdad? Alguien podría reproducir la misma notificación una y otra vez.

¿Es eso correcto?

Komornik: Así es.

Vamos a simplificarlo y a poner un ejemplo. Digamos que quieres incentivar a tu hijo para que saque buenas notas en los exámenes. Le has dicho que le darás un premio por cada examen que saque una A. La escuela no les pone fecha a esos exámenes. Simplemente les pone una A... y sabes que tu hijo puede falsificar esa nota. Así que te traerían un examen con una A.

Y obviamente estarías feliz. Y les darías cualquier premio que les prometiste.

Pero luego pueden volver a presentar el mismo examen. Y, siendo sinceros, ni siquiera leíste el primero. Además, no tiene fecha, así que les darías el premio de nuevo y podrían repetirlo cuantas veces quisieran.

Obviamente, tu memoria no es tan corta, así que quizás eso no funcione, pero quizá te hayan traído un examen de hace seis meses o de hace uno o dos años. Y podrían usar el mismo examen porque el sello, la A, sigue siendo una A, sigue siendo un examen correctamente calificado. Solo que no tiene fecha... no hay forma de saber si es reciente.

Y SKAdNetwork es exactamente lo mismo.

Básicamente, Apple le da a la red publicitaria (el estudiante) una notificación diciendo que recibió una instalación y le proporciona una firma que le permite validarla.

Y como anunciante, si quisieras revisar tu red publicitaria, les pedirías las notificaciones... pero esa red podría mostrar la misma notificación una y otra vez. Quizás no lo harían tan descaradamente... quizás estas simplemente las reemplazarían seis meses después. O quizás usarían algunas antiguas para complementar las nuevas.

Por lo tanto, tienes que comprobar cada nueva notificación y firma que recibes con todo lo que has recibido en el pasado.

Koetsier: ¿Qué pasa con el tráfico falso, los usuarios falsos, las granjas de dispositivos o incluso dispositivos falsos simulados en el software? ¿Siguen siendo un problema?

Komornik: Así que ésta es una gran pregunta.

Creo que vale la pena considerar que, incluso cuando empezamos a usar SKAdNetwork, no todo será basado en SKAdNetwork. Algunos anunciantes podrían intentar medir sus redes y canales publicitarios haciendo pruebas de incrementalidad o quizá simplemente verificando el aumento al ejecutar una campaña específica.

Y estos aún estarían abiertos a los tipos más tradicionales de fraude publicitario.

Por ejemplo, bots e instalaciones falsas. Otro tipo de fraude con el que podríamos encontrarnos son las campañas publicitarias incentivadas que se registran en los puntos finales de SKAdNetwork de Apple, pero que en realidad no atraen usuarios; básicamente, intentan obtener crédito por usuarios orgánicos.

Koetsier: Entonces … ¿cuál es la solución? Tienes Singular SKAN y lo que llamas Secure-SKAN … ¿cómo funcionan?

Komornik: Así que Singular validará las firmas de todas las notificaciones de SKAdNetwork para sus clientes. Pero como we’ve dicho, algunos de estos datos pueden cambiarse y we wouldn’t tener una forma clara de saber si solo recibimos los postbacks de las redes. Eso significa que queremos estar más cerca de la fuente … queremos estar más cerca del dispositivo que envía los postbacks, porque cuanto más cerca del dispositivo, menos oportunidades hay de que las redes lo cambien

El problema es que las notificaciones de SKAdNetwork solo se pueden enviar a un destino, que es la red.

Ese es el desafío al que nos hemos enfrentado, y creo que una de las soluciones más innovadoras que ideamos es, en realidad, usar una redirección HTTP 307 … una forma para que un punto final, por ejemplo el punto final de una red publicitaria, indique a un dispositivo: Enviar realmente esa respuesta a otro lugar también.

Ahora, las redes que admiten esta integración pueden redirigir los postbacks que reciben para SKAdNetwork y solicitar que también se envíen a Singular . Esto significa que Singular recibiría el postback directamente del dispositivo, sin modificar la información durante el proceso.

También existen algunos desafíos, y estamos trabajando con redes publicitarias y socios para implementarlos. Sin embargo, creemos que esta solución brindará mayor seguridad y confianza a los anunciantes en SKAdNetwork.

Koetsier: Cuando iOS 14 esté completamente implementado y Apple haya hecho la transición completa del IDFA a opcional, ¿esperan más fraude? ¿Menos fraude?

Komornik: Así … no soy una adivina. No puedo predecir el futuro.

Se esperaría una menor cantidad de fraudes en 202. Sin embargo, sabemos que los estafadores son muy hábiles y buscarán nuevas formas de abusar y secuestrar el sistema. Debemos mantenernos alerta y detectar esos casos.

Como ejemplo, hace un mes Snyk.io, una empresa de seguridad, descubrió una nueva campaña de fraude de instalación de anuncios que se suponía imposible en iOS. No diría que el fraude es imposible ahora. Será mucho más difícil y costoso de ejecutar.

Koetsier: ¿Qué deben hacer entonces los anunciantes para estar lo más seguros posible?

Komornik: Singular se encarga de la mayor parte, pero asegúrese de integrar nuestro último SDK y de pedir a sus socios que apoyen Secure-SKAN.

Koetsier: ¿Y para los no clientes?

Komornik: No dude en visitar nuestro sitio web y solicitar una demostración. Podemos guiarle a través de las diferentes funciones y explicarle en detalle.

Koetsier: Muchas gracias por su tiempo.

Suscríbete a Growth Masterminds en la plataforma de podcasting de tu elección aquí.