HUMAN destapa un caso de Ad-Fraud impulsado por IA que generaba 2.300 millones de peticiones diarias
El fraude publicitario o Ad-Fraud, lejos de estar en retroceso, evoluciona y adopta herramientas cada vez más complejas para burlar los controles de la industria. Así lo demuestra el último informe de HUMAN, que ha desvelado los detalles de “SlopAds”, una operación de fraude publicitario móvil sin precedentes por su escala y sofisticación.
El esquema utilizaba 224 apps distribuidas en Google Play, con más de 38 millones de descargas en 228 países, y generaba hasta 2.300 millones de bid requests al día antes de su desactivación. Las principales zonas afectadas fueron Estados Unidos, India y Brasil. La infraestructura detrás de SlopAds incluía múltiples servidores de comando y control y dominios promocionales para sostener el flujo de tráfico fraudulento, lo que evidencia un alto grado de organización.
SlopAds no se limitaba a simples clicks falsos. Las apps diferenciaban entre instalaciones orgánicas y no orgánicas gracias a etiquetas de atribución legítimas, activando su comportamiento fraudulento únicamente si el usuario había llegado a la app tras clicar en un anuncio. Para los usuarios que instalaban la app de forma directa, esta se comportaba de forma inofensiva, lo que dificultaba la detección.
Una vez activado, el módulo malicioso (denominado FatModule) era descargado mediante esteganografía digital, oculto en cuatro archivos PNG que contenían fragmentos de código ensamblados en el dispositivo. Este módulo desplegaba WebViews invisibles que simulaban navegación legítima, cargaban anuncios, realizaban auto-clicks y ejecutaban múltiples redirecciones para limpiar las trazas de referenciación. Según HUMAN, en algunos casos el fraude impactó directamente en webs de juegos en HTML5 y páginas de noticias, replicando tácticas observadas en operaciones previas como BADBOX 2.0.
Respuesta de la industria
Google eliminó de Play Store todas las apps identificadas y ha implementado bloqueos proactivos en Play Protect para evitar descargas futuras de apps con comportamientos similares. Sin embargo, HUMAN advierte que los responsables de SlopAds probablemente intenten reaparecer con nuevas apps, dado el nivel de inversión en infraestructura y las pruebas de nuevas variantes detectadas durante la investigación.
Desde HUMAN recomiendan que los media buyers, agencias y plataformas refuercen sus protocolos de detección de tráfico no válido (IVT) y trabajen de manera más estrecha con sus partners tecnológicos. “Los players maliciosos están utilizando herramientas del propio stack publicitario (desde tags de atribución hasta técnicas de encriptación) para camuflarse entre el tráfico legítimo. Esto exige un esfuerzo colectivo para detectar y filtrar este tipo de amenazas”, explica a Digiday Lindsay Kaye, VP de Threat Intelligence de HUMAN.
Implicaciones para el ecosistema
El caso SlopAds subraya una tendencia de fondo: el Ad-Fraud está pasando de ser un problema “de volumen” a un problema “de precisión”, en el que los atacantes condicionan su comportamiento para maximizar el performance económico sin disparar alarmas. Además, la utilización de IA y técnicas avanzadas de ocultación plantea nuevos retos regulatorios y tecnológicos en un momento en que la industria busca consolidar la confianza en la compra programática.
Para los anunciantes, la lección es clara: las métricas de atribución y los datos de conversión no deben asumirse como infalibles. El uso legítimo de tags de atribución por parte de los atacantes demuestra que el fraude se integra cada vez más en la cadena de suministro digital, obligando a revisar las estrategias de auditoría y verificación.
La publicación del informe de HUMAN coincide con la presentación de recursos en el juicio antimonopolio de Google en EE. UU., lo que añade presión a todo el ecosistema publicitario en un momento en el que se reclama mayor transparencia y responsabilidad en la cadena de valor.