Adalytics: bots buenos, bots malos y millones de dólares, el dilema moral de la programática

En estos últimos días ha habido un gran revuelo alrededor del último informe de Adalytics del pasado viernes, en el que se apunta directamente a empresas de la categoría “Ad Verification” (HUMAN Security, Integral Ad Science, DoubleVerify…) como responsables de no detectar tráfico de bots cuando deberían hacerlo.

En este artículo desgranamos el informe y damos la visión y la respuesta de las empresas de Ad Verification para que podáis haceros una composición de lugar y tener todos los puntos de vista. Ni los buenos son tan buenos, ni los malos son tan malos…

Y es que los bots tienen mala fama, pero no todos son malos. Sin los rastreadores web, por ejemplo, los motores de búsqueda no podrían indexar nuevo contenido en internet. Lo que sí es problemático es cuando los proveedores de verificación, sirven anuncios a estos bots, lo que pone en duda si están dejando pasar tráfico malicioso también.

En el informe publicado el viernes se detallan numerosos casos de marcas que sirven anuncios a bots conocidos que figuran en la lista internacional de ‘Spiders and Bots’ de IAB Tech Lab y en la lista de direcciones IP de centros de datos de TAG. Estos bots operan desde centros de datos cuyas direcciones IP son conocidas por su actividad bot, y normalmente se identifican como agentes de usuario bot. En otras palabras, bots que ni siquiera intentan ocultar que son bots. Las marcas afectadas incluirían a Disney, Hershey, Unilever, Procter & Gamble, Microsoft, IBM, JPMorgan Chase, Visa (y miles más), además de gobiernos estatales y agencias federales como el FBI, el Ejército y la Marina de EE. UU., y healthcare.gov.

El hecho de que agencias federales estén mencionadas en el informe ha llamado la atención del Congreso estadounidense. El senador Mark Warner publicó el viernes una carta al Departamento de Justicia solicitando una investigación a los proveedores de ad verification por no cumplir con los servicios pagados por el gobierno, y otra carta a la FTC pidiéndole investigar a estos proveedores por publicidad engañosa.

Desde el medio AdExchanger se ha analizado el informe de Adalytics preguntando a más de una docena de fuentes de la industria, incluyendo compradores de medios, expertos en mitigación de bots, publishers y ex-empleados de empresas de verificación de anuncios. Todas esas personas coincidieron en que el tráfico de bots analizado por Adalytics debería haberse identificado fácilmente al analizar el agente de usuario y la dirección IP asociada con las solicitudes de puja. Sin embargo, es posible que los DSP’s no estén transmitiendo siempre los datos del agente de usuario a las plataformas de verificación, lo que haría imposible usar esa señal para identificar bots en tiempo real. Varias fuentes dijeron que, según el informe, las plataformas de verificación parecen bloquear dominios basándose en evaluaciones históricas post-bid, en lugar de bloquear bots en tiempo real pre-bid impresión por impresión.

Si ese es el caso, según añadieron las fuentes, las soluciones de filtrado de bots pre-bid ofrecidas por las plataformas de verificación no son más que listas negras de dominios sobrevaloradas, y los anunciantes no deberían estar pagando un porcentaje de su CPM por usarlas. Mientras que una lista de dominios bloqueados podría costar unos pocos miles de dólares, algunos anunciantes pagan millones al año en pequeñas tarifas CPM por filtrado pre-bid, según confirmaron múltiples compradores.

Desperdicio generalizado

Según el informe de 240 páginas, Adalytics descubrió que IAS y DoubleVerify no siempre evitaron que los anuncios fueran servidos a bots conocidos, incluso en casos donde parecía que los anunciantes pagaban a estas compañías por servicios de filtrado pre-bid. También observó que múltiples DSPs y SSPs importantes sirvieron anuncios a estos bots, a pesar de afirmar usar tecnología de detección de bots, incluida la de HUMAN Security, para escanear el 100% de las impresiones.

La magnitud del posible desperdicio es asombrosa. Adalytics analizó el código fuente de millones de impresiones servidas a bots entre 2019 y 2025. Aunque no está claro si a los anunciantes afectados se les cobró realmente por estas impresiones, de ser así, podrían haber invertido millones en anuncios que no se sirvieron a humanos.

Pero independientemente de si las plataformas marcaron eventualmente estas impresiones y ofrecieron compensaciones, tres fuentes del lado comprador señalaron que los compradores pagan a IAS y DV una parte de sus CPM’s por los servicios de filtrado pre-bid, por lo que están siendo facturados por los proveedores de verificación de todos modos. Y estos servicios, dijeron, no parecen funcionar como se prometió.

Tráfico inválido poco sofisticado

Adalytics examinó anuncios servidos a tres tipos de bots no maliciosos: los asociados a HTTP Archive (que rastrea sitios para obtener datos sobre cómo están construidas las páginas), los de URLScan.io (que cataloga sitios potencialmente maliciosos) y tráfico de un tercer proveedor no identificado.

Los rastreadores de HTTP Archive suelen identificarse como bots al visitar una web y usan direcciones IP asociadas a centros de datos. En cambio, los bots de URLScan.io tratan de parecer tráfico humano legítimo.

La actividad de bots que se declaran como tales entra en la clasificación del MRC (Media Rating Council) como “tráfico inválido general”. Esto significa que no llega al nivel de “tráfico inválido sofisticado”, que sí intenta ocultar su condición de bot.

Cada vez que un navegador accede a una web, envía una solicitud al server con el agente de usuario y la dirección IP. De manera similar, cuando un SSP envía una bid request a un DSP, puede incluir también el agente de usuario e IP para la impresión publicitaria. Sin embargo, bajo los estándares de OpenRTB, incluir el agente de usuario es recomendable pero no obligatorio. Los verificadores pueden acceder a estas solicitudes pre- o post-bid para filtrar tráfico inválido antes o después de la puja. Los archivos de registro también pueden incluir el agente de usuario y, a menudo, la IP.

En resumen, los bots como HTTP Archive emiten señales claras en todo el proceso de puja de que no son humanos. Sander Kouwenhoven, CTO de Oxford BioChronometrics, especializado en prevención de fraude online, dijo estar “pasmado” de que estos bots declarados no fueran detectados. Varias fuentes dijeron a AdExchanger que quieren más responsabilidad en todo el supply chain para evitar el tráfico bot, pero no tienen muchas esperanzas. Los anunciantes pagan a sus socios de verificación para eximirse del riesgo, dijo Jay Friedman, CEO de la agencia Goodway Group. Las agencias pueden esconderse fácilmente tras sus proveedores de verificación y culparlos cuando salen informes como este. “Al mismo tiempo los equipos de compras de marca rara vez exigen responsabilidad al marketing por comprar impresiones desperdiciadas”, añadía el experto.

Fallo en la verificación

Tres de los mayores proveedores de verificación (y prácticamente todos los grandes players AdTech) están implicados en el informe. Adalytics pudo proporcionar los datos sobre IAS gracias a su herramienta Publisher Optimization, que transmite una señal Client Side que permite ver qué entidades IAS etiqueta como bots o no. Según Adalytics, el píxel de IAS etiquetó a bots conocidos como tráfico humano el 16% de las veces. Identificó a los bots de URLScan.io como humanos el 77% de las veces. ¿Qué supone esto? El muestreo podría ser parte de la causa. No se ofrecieron porcentajes similares para DV, pero un publisher compartió que su análisis interno mostró que DV etiquetó bots de URLScan.io como humanos el 21% de las veces, a pesar de pagar cientos de miles de dólares al año por mitigación de bots del lado del publisher.

Además, Adalytics señaló que el código fuente de impresiones contenía fragmentos relacionados con las soluciones pre-bid de IAS y DV, lo que indica que los anunciantes pagaron por segmentos libres de bots, y sin embargo los anuncios fueron servidos a bots conocidos. Algunos anunciantes individuales invirtieron millones al año en estos aspectos. Podría ser que IAS y DV no estén recibiendo los datos del agente de usuario del DSP. Por ejemplo, una fuente dijo que la API de The Trade Desk no permite excluir una impresión en tiempo real basándose en el agente de usuario.

“La verificación publicitaria es un área donde usamos herramientas internas y tecnologías de socios integrados. Seguiremos evaluando y colaborando con nuestros socios para mantener nuestro liderazgo”, respondió The Trade Desk.

IAS y DoubleVerify dan la cara

Nos hemos puesto en contacto con las empresas afectadas para que nos diesen su punto de vista, y tanto IAS como DV nos han remitido a una respuesta oficial en sus respectivas webs. “IAS se toma muy en serio estas afirmaciones y las técnicas defectuosas de evaluación en las que se basan. También estamos evaluando e innovando continuamente nuestras ofertas para responder al cambiante panorama digital”, que añade en un post de su blog que las afirmaciones de Adalytics son “infundadas y engañosas”.

“En todos los ejemplos compartidos con nosotros antes de la publicación DV identificó correctamente el tráfico bot. Cuando eso ocurre, las impresiones se eliminan de los conteos facturables que se reportan a los anunciantes, conforme a los estándares de la industria”, escribían desde DV también en su blog. “El último informe de Adalytics y la cobertura que le ha dado The Wall Street Journal (WSJ) son inexactos y engañosos. Tanto Adalytics como The WSJ son conscientes de que la premisa y las conclusiones del informe no están respaldadas por los hechos. Como hemos visto en casos anteriores, Adalytics manipula los datos y utiliza estos informes como herramientas de marketing para vender sus propios servicios, a expensas de la transparencia, la precisión y la confianza”.

Adalytics también señala a los DSP’s y SSP’s

Según el informe, las empresas de verificación no son las únicas que deberían dar explicaciones. Adalytics analizó cómo de efectivos son los DSPs para evitar servir anuncios a bots, calculando el porcentaje de solicitudes de SSP’s que resultaron en anuncios servidos a bots. Por ejemplo, el 15% de las solicitudes asociadas a bots ganadas por The Trade Desk vinieron de Microsoft Advertising, otro 15% de Index Exchange, 9% de Sovrn, 8% de Yieldmo y 7% de Sharethrough, y todos esos SSPs que dicen usar HUMAN. Yieldmo fue la única que respondió antes de la publicación, y declinó hacer comentarios hasta revisar el informe.

Además, Adalytics apunta en el informe que la ruta OpenPath de The Trade Desk sirvió más anuncios a bots que cualquier SSP externo. El 17% de impresiones compradas por compradores usando The Trade Desk vía OpenPath fueron servidas a bots. Google DV360 también sirvió anuncios a bots conocidos, incluso en YouTube TrueView. Adalytics afirma haber encontrado cientos de miles de casos en los que Google sirvió anuncios de healthcare.gov a bots con IPs de centros de datos. Algunos de estos bots parecen operar desde Google Cloud. En octubre de 2024, Adalytics analizó un subconjunto de anuncios servidos a bots vinculados a Google Cloud: 90% fueron comprados vía DV360, 5.6% desde The Trade Desk y 3.2% desde Amazon DSP.

“Tenemos sistemas para proteger a los anunciantes del tráfico inválido, y el informe de Adalytics refleja un malentendido de cómo funcionan nuestras defensas. Es importante señalar que servir un anuncio a tráfico inválido no significa que se cobre. Es probable que nuestros sistemas lo marcaran como inválido antes de facturar”, respondió Google. También añadió que en ciertos casos permite servir anuncios a bots intencionalmente para no alertar a los actores maliciosos o para recolectar más señales antes de clasificarlos. Adalytics también encontró pruebas de que marketplaces privados vendidos por SSPs como Index Exchange, Microsoft Advertising, Yieldmo, JWP Connatix, GumGum, Sharethrough y Kargo sirvieron anuncios a bots.

“Trabajamos con líderes acreditados por el MRC para asegurar experiencias seguras y libres de fraude. Como cliente de HUMAN, esperamos protección IVT total”, explicaban desde JWP Connatix. “Trabajamos con HUMAN Security, acreditado por el MRC, para bloquear tráfico inválido. Si las afirmaciones de Adalytics son precisas, colaboraremos para investigar y resolverlo”, añadía Sharethrough.

HUMAN parece ser el denominador común. Tanto The Trade Desk como Google han proporcionado su colaboración con ellos, pero varias fuentes dijeron que no está claro si HUMAN no detectó los bots, si las plataformas ignoraron sus señales, o si no estaban bien configuradas. Aun así, varias fuentes creen que las plataformas echarán la culpa a HUMAN. Mientras tanto, marcas y agencias culparán a sus proveedores de verificación, DV e IAS. Pero atribuir la culpa a un solo proveedor no tiene sentido cuando todo el ecosistema está implicado, dijeron varias fuentes.

El debate de fondo es el role que juegan entidades como el MRC y TAG en acreditar estas soluciones. Todos los proveedores mencionados están acreditados por MRC y/o TAG.“TAG sigue los requisitos de tráfico inválido del MRC, que permite filtrado pre- o post-bid de IPs de centros de datos. DV, HUMAN e IAS han sido auditados independientemente para cumplir esto”, dice Mike Zaneis, CEO de TAG. Pero los compradores aún se sienten desprotegidos. “El MRC se supone que me defiende,” dijo un ejecutivo, “pero por lo que veo, solo me deja dos opciones,” refiriéndose a DV e IAS. El sistema de acreditación necesita reforma, dijo Jay Friedman, incluyendo mayor supervisión de auditores externos. “¿Quién vigila a los vigilantes?”, se preguntaba el profesional.

Palabra de BOK

El veterano gurú del sector Brian O’Kelley (BOK), ha publicado en LinkedIn una reflexión contundente sobre este tema.

O’Kelley denuncia que los anunciantes están pagando cientos de millones de dólares por sistemas que no están funcionando como se promete. “Si has visto esos coches de Google Maps con cámaras recorriendo tu barrio, imagina que el 40% del tráfico en la calle fueran solo esos coches. Así de absurda es la situación en la web”, explica el gurú. Según datos recientes, alrededor del 40% del tráfico web corresponde a bots, muchos de ellos legítimos (como los de buscadores, IA o servicios de archivo), pero que igualmente generan una presión innecesaria sobre la infraestructura digital y el ecosistema programático. Lo que más alarma a O’Kelley es lo que denomina una “aldea Potemkin digital”: un entorno simulado donde los anuncios se sirven a bots, pero no se facturan, generando una cadena ineficiente que involucra a Google Ad Manager, SSPs, DSPs, Ad Servers creativos y plataformas de verificación. “Este enfoque solo funciona si todos los vendors están alineados, y el informe de Adalytics demuestra que no lo están”, afirma el profesional.

Lejos de convertir este problema en una oportunidad de venta, O’Kelley insiste en que no es momento de monetizar la situación, sino de resolverla con responsabilidad técnica y ética. “No se trata de decir: ‘Usa Scope3 Brand Standards y resolvemos todo’. Este problema no se debe monetizar, se debe solucionar”.Entre las medidas que propone se encuentran:

• Desactivar completamente el stack programático para bots y spiders conocidos, evitando así el desperdicio energético y computacional.

• Actualizar de forma más frecuente y rigurosa las listas de bots y spiders que utilizan las plataformas de AdTech.

• Dejar de cobrar por la protección frente a tráfico inválido general (GIVT), ya que, en su opinión, bloquear impresiones no facturables debería ser algo básico y no un extra de pago.

Además, Scope3 ha anunciado que pondrá de forma gratuita a disposición de todos sus clientes y socios las herramientas de detección de IVT adquiridas a través de Adloox, e invita a otros proveedores del sector a hacer lo mismo. Para O’Kelley, esta es una cuestión de principios. “Nadie debería pagar para protegerse de impresiones que ni siquiera van a ser facturadas. Así es como la publicidad debería funcionar”, comenta.

Su mensaje, claro y directo, plantea una crítica seria a la cadena de valor publicitaria digital actual, exigiendo que la eficiencia, la sostenibilidad y la transparencia dejen de ser productos premium y pasen a ser principios estándar.