¿Qué es el ID Spoofing?
A principios de este mes, se descubrió que los anuncios servidos a través del gigante tecnológico Colossus tenían IDs de usuario mal etiquetados, según un informe de Adalytics. Este artículo ha generado acusaciones tales como que Colossus estaba engañando a los anunciantes para que compraran audiencias que no eran su objetivo real. Se alega que el SSP estaba cambiando el ID de usuario asociado con una impresión para hacerlo más atractivo a los anunciantes, permitiendo así cobrar un CPM más alto.
En el informe se mencionaron varios términos para describir esta mala práctica, entre ellos "cookie stuffing", "ID mis-matching", "ID spoofing" y "ID stuffing". Para este artículo, utilizaremos "ID spoofing" debido a su connotación engañosa.
¿Qué es el ID spoofing?
El ID spoofing ocurre cuando un SSP, un ad exchange o un vendedor de inventario intercambia el ID de usuario dirigido por el lado de la compra en el DSP por un ID diferente que sea de mayor valor o que ofrezca datos más atractivos para un anunciante. Este fenómeno ocurre principalmente en un entorno donde las third-party cookies están permitidas, como en el navegador Chrome, y depende de las cookies.
¿Estos IDs son inventados?
La versión más nefasta sería la fabricación de un ID de usuario completamente ficticio, pero también puede ocurrir al encontrar otro ID de usuario asociado a un dispositivo diferente del mismo usuario o, quizás, de alguien más en el hogar del usuario, según Chris Kane, cofundador de Jounce Media. Supongamos que el ID de un ordenador personal de un usuario ha recopilado consultas de búsqueda sobre seguros de automóvil, pero actualmente el usuario está utilizando el ordenador de trabajo. El SSP sabe que el ID del ordenador personal sería extremadamente valioso para un anunciante de seguros, pero no es el dispositivo que el usuario está utilizando en ese momento. A pesar de esto, el SSP decide intercambiar el ID asociado al ordenador de trabajo por el ID del personal, ya que puede aumentar el CPM, sabiendo que el anunciante pagaría más por un usuario con una mayor probabilidad de comprar su seguro.
¿Es fraude?
Depende de la intención. Aunque "ID spoofing" o "ID stuffing" no se mencionan explícitamente en la definición de ‘Detección de Tráfico Inválido’ del Media Rating Council, el "cookie stuffing" sí lo está, y se describe como la "inserción, eliminación o atribución incorrecta de cookies, manipulando o falsificando la actividad previa de los usuarios".
¿Quién debería detectar el ID spoofing?
Según ejecutivos de la industria, las empresas de verificación tipo IAS/DoubleVerify o los DSPs deberían ser responsables de detectar el ID spoofing. Sin embargo, no existe un consenso claro. Algunos argumentan que cualquier entidad acreditada por el MRC para detectar actividades fraudulentas en el mercado programático debería asumir esta responsabilidad. Otros creen que el DSP debería ser capaz de detectar un ID de usuario diferente al original enviado durante la subasta y reportar la discrepancia a sus clientes.
¿Diferencias entre ID spoofing e ID bridging?
La diferencia radica en la intención. El ID bridging es una solución cookieless diseñada para ampliar el ID alternativo del usuario a través de distintas ventanas y dispositivos. Esto solo ocurre en navegadores como Safari, donde las third-party cookies ya ha sido deshabilitadas.
¿Qué pasara cuando Google elimine las third-party cookies?
En teoría, una vez que las third-party cookies desaparezcan, el problema del ID spoofing también debería desaparecer. Sin embargo, no se puede descartar que surja una nueva forma de ID spoofing en un entorno cookieless. Aunque el ID bridging y otras tácticas de de pujas se realicen de manera legítima, siempre habrá quienes intenten engañar al sistema.
