3 fuentes de fraude de SKAdNetwork para las que los anunciantes deben prepararse

¿Cómo se ve el fraude en iOS 14 con SKAdNetwork ? ¿Es siquiera posible, dado que Apple firma criptográficamente las instalaciones de apps?

Los expertos en marketing móvil están aprovechando el tiempo transcurrido entre ahora y principios de 2021, cuando Apple implementará por completo todas las funciones de privacidad de iOS 14 , para probar SKAdNetwork. El objetivo: que su capacidad de optimización de marketing sin IDFA sea tan buena o mejor que la de los análisis de atribución estándar de iOS 13.

¿Pero qué pasa con el fraude?

¿Debe preocuparse por el fraude en iOS 14 cuando SKAdNetwork está en pleno funcionamiento?

La respuesta corta es… absolutamente. La respuesta más larga es que existen al menos tres maneras diferentes en que los estafadores pueden falsificar conversiones, alterar las atribuciones, malgastar su dinero y destruir sus datos. Analizamos las tres en esta edición de Growth Masterminds, con el director de prevención del fraude Singular , Yonatan Komornik.

John Koetsier: Brevemente, ¿cuáles son los tres problemas potenciales?

Yonatan Komornik : SKAdNetwork 2.0 incluye la firma criptográfica que permite la validación de los datos y básicamente evita que los actores fraudulentos falsifiquen o falsifiquen las notificaciones de SKAdNetwork, pero todavía hay algunos problemas.

En primer lugar, los valores de conversión posteriores a la instalación no se incluyen en los datos firmados. Además, el país y la geolocalización no están codificados. Y, por último, validar la firma no es tan sencillo como podría parecer.

Koetsier : Analicemos cada uno de esos desafíos, comenzando con las conversiones posteriores a la instalación.

Hablamos de alguien que instaló una aplicación y quizás compró algo, participó, completó un nivel, lo que sea. ¿Cuál es el desafío?

Komornik : Retrocedamos un poco. SKAdNetwork 2.0 incluye un valor de seis bits, llamado valor de conversión.

La aplicación del anunciante puede actualizar ese valor para reflejar el valor del usuario que ingresa desde la red publicitaria o campaña específica. Esto se integra en la notificación de SKAdNetwork. Por ejemplo, puedes recibir una notificación que indique una instalación proveniente de esta red publicitaria en esta campaña, o incluso de un editor específico, que haya ingresado a un usuario con una puntuación de 100.

Y esas puntuaciones podrían ser lo que los anunciantes optimizan. Por ejemplo, cuanto mayor sea la puntuación, mejor será el usuario.

Ahora bien, este valor de conversión específico no se firma en la notificación de SKAdNetwork, lo que significa que, incluso si se modifica, la autenticación del postback de SKAdNetwork se procesará. Sigue siendo válida. Y dado que las notificaciones de SKAdNetwork llegan primero a la red publicitaria y solo después de compartirse con anunciantes o MMP, un actor fraudulento podría cambiar esos valores sin que nadie lo sepa.

Koetsier : Lo segundo que mencionaste fueron los códigos de país, ¿verdad? Quizás buscas usuarios en el Reino Unido y te aparece Uzbekistán o algo así. ¿Cuál es el problema?

Komornik : Las notificaciones de SKAdNetwork provienen del propio dispositivo, lo que significa que los metadatos incorporan valores únicos y valiosos para los anunciantes, como la geolocalización, que puede derivarse de la dirección IP.

Pero como las notificaciones de SKAdNetwork se envían primero a la red, esta podría informar cualquier geolocalización que desee. De nuevo, no forma parte de los datos firmados y validados.

Koetsier : Estos son los valores de conversión posteriores a la instalación y los códigos de país. Pero creo que, como conversábamos antes, también mencionaste que validar las firmas no es suficiente, ¿verdad? Alguien podría simplemente reproducir la misma devolución una y otra vez.

¿Es eso correcto?

Komornik : Así es.

Vamos a simplificarlo y a poner un ejemplo. Digamos que quieres incentivar a tu hijo para que saque buenas notas en los exámenes. Le has dicho que le darás un premio por cada examen que saque una A. La escuela no les pone fecha a esos exámenes. Simplemente les pone una A... y sabes que tu hijo puede falsificar esa nota. Así que te traerían un examen con una A.

Y obviamente estarías feliz. Y les darías cualquier premio que les prometiste.

Pero luego pueden volver a presentar el mismo examen. Y, siendo sinceros, ni siquiera leíste el primero. Además, no tiene fecha, así que les darías el premio de nuevo y podrían repetirlo cuantas veces quisieran.

Obviamente, tu memoria no es tan corta, así que quizás eso no funcione, pero quizá te hayan traído un examen de hace seis meses o de hace uno o dos años. Y podrían usar el mismo examen porque el sello, la A, sigue siendo una A, sigue siendo un examen correctamente calificado. Solo que no tiene fecha... no hay forma de saber si es reciente.

Y SKAdNetwork es exactamente lo mismo.

Básicamente, Apple le da a la red publicitaria (el estudiante) una notificación diciendo que recibió una instalación y le proporciona una firma que le permite validarla.

Y como anunciante, si quisieras revisar tu red publicitaria, les pedirías las notificaciones... pero esa red podría mostrar la misma notificación una y otra vez. Quizás no lo harían tan descaradamente... quizás estas simplemente las reemplazarían seis meses después. O quizás usarían algunas antiguas para complementar las nuevas.

Por lo tanto, tienes que comprobar cada nueva notificación y firma que recibes con todo lo que has recibido en el pasado.

Koetsier : ¿Qué pasa con el tráfico falso, los usuarios falsos, las granjas de dispositivos o incluso dispositivos falsos simulados en el software? ¿Siguen siendo un problema?

Komornik : Así que ésta es una gran pregunta.

Creo que vale la pena considerar que, incluso cuando empecemos a operar con SKAdNetwork, no todo se basará en ella. Algunos anunciantes podrían intentar medir sus redes y canales publicitarios mediante pruebas de incrementalidad o simplemente comprobando el incremento al ejecutar una campaña específica.

Y estos aún estarían abiertos a los tipos más tradicionales de fraude publicitario .

Por ejemplo, bots e instalaciones falsas. Otro tipo de fraude con el que podríamos encontrarnos son las campañas publicitarias incentivadas que se registran en los puntos finales de SKAdNetwork de Apple, pero que en realidad no atraen usuarios; básicamente, intentan obtener crédito por usuarios orgánicos.

Koetsier : Entonces… ¿cuál es la solución? Tienen Singular SKAN y lo que llaman Secure-SKAN … ¿cómo funcionan?

Komornik : Singular validará las firmas de todas las notificaciones de SKAdNetwork para sus clientes. Sin embargo, como ya hemos mencionado, algunos de estos datos pueden modificarse y no tendríamos una buena forma de saberlo si solo recibimos los postbacks de las redes. Esto significa que queremos estar más cerca de la fuente… queremos estar más cerca del dispositivo que envía los postbacks, porque cuanto más cerca estemos del dispositivo, menos posibilidades hay de que las redes lo modifiquen.

El problema es que las notificaciones de SKAdNetwork solo se pueden enviar a un destino, que es la red.

Ese es el desafío que hemos estado enfrentando, y creo que una de las soluciones más innovadoras que se nos ocurrió es usar una redirección HTTP 307 ... una forma para que un punto final, por ejemplo un punto final de una red publicitaria, le diga a un dispositivo: En realidad, envíe esa devolución a otro lugar también.

Ahora, las redes que admiten esta integración pueden redirigir los postbacks que reciben para SKAdNetwork y solicitar que también se envíen a Singular . Esto significa que Singular recibiría el postback directamente del dispositivo, sin modificar la información durante el proceso.

También existen algunos desafíos, y estamos trabajando con redes publicitarias y socios para implementarlos. Sin embargo, creemos que esta solución brindará mayor seguridad y confianza a los anunciantes en SKAdNetwork.

Koetsier : Cuando iOS 14 esté completamente implementado y Apple haya hecho la transición completa del IDFA a opcional, ¿esperan más fraude? ¿Menos fraude?

Komornik : Entonces… no soy un oráculo. No puedo predecir el futuro.

Se esperaría una menor cantidad de fraudes en 202. Sin embargo, sabemos que los estafadores son muy hábiles y buscarán nuevas formas de abusar y secuestrar el sistema. Debemos mantenernos alerta y detectar esos casos.

Por ejemplo, hace aproximadamente un mes, Snyk.io, una empresa de seguridad, desenmascaró una nueva campaña fraudulenta de instalación de anuncios que se suponía imposible en iOS. Así que no diría que el fraude sea imposible ahora mismo. Diría que se volverá mucho más difícil de llevar a cabo.

Koetsier : ¿Qué deben hacer entonces los anunciantes para estar lo más seguros posible?

Komornik : Singular se encarga de la mayor parte, pero asegúrese de integrar nuestro último SDK y de pedir a sus socios que apoyen Secure-SKAN.

Koetsier : ¿Y para los no clientes?

Komornik : No dude en visitar nuestro sitio web y solicitar una demostración . Podemos guiarle a través de las diferentes funciones y explicarle en detalle.

Koetsier : Muchas gracias por su tiempo.

Suscríbete a Growth Masterminds en la plataforma de podcasting de tu elección aquí .