El SSP Colossus, señalado por inyectar IDs falsos en las bid requests
Un informe publicado por Adalytics sugiere que el SSP Colossus habría estado presentando de manera sistemática IDs de usuario falsos en los Ad Exchanges.
El informe, que examinó datos disponibles públicamente a través del código fuente publicitario y las respuestas de ofertas ofrecidas por The Trade Desk en nombre de varios anunciantes y publishers, reveló que, de entre 16 SSPs comunes, 15 lograron una coincidencia exacta entre los IDs de usuario declarados y aquellos almacenados en los navegadores de los usuarios. Sin embargo, Colossus se destacó como una excepción al presentar con frecuencia IDs que no coincidían.
¿Por qué es relevante esto? La publicidad programática se apoya en gran medida en los IDs de usuario para dirigir anuncios a audiencias específicas. Estos IDs contienen información valiosa sobre las características demográficas y los hábitos de navegación de los usuarios. Para los anunciantes, lograr una precisión en el targeting de estos IDs puede marcar una diferencia significativa en la efectividad de sus campañas. Por lo tanto, una discrepancia entre los IDs almacenados en los navegadores de los usuarios y los IDs presentados a los compradores de medios podría resultar en que se muestren anuncios a las audiencias incorrectas.
"Según la información y evidencia que hemos revisado, parece que Colossus estaba presentando incorrectamente los IDs de usuario, lo cual difiere notablemente de las expectativas de los anunciantes", afirmó Jay Friedman, CEO de Goodway Group, agencia de marketing digital.
Además de afectar los intereses de los anunciantes, la incorrecta representación de los IDs de usuario podría tener consecuencias significativas para la privacidad de los datos de los usuarios. Los IDs inexactos podrían obstaculizar que los usuarios ejerzan sus derechos según legislaciones clave de privacidad, como RGPD de la UE o las 15 leyes estatales de privacidad de EE.UU., dado que los usuarios podrían no poder verificar la información que se recopila sobre ellos.
Un portavoz de la empresa matriz de Colossus, Direct Digital Holdings (DDH), comentó que no se les dio la oportunidad de revisar el informe antes de su publicación, a pesar de “solicitarlo en repetidas ocasiones". Sin embargo, el portavoz de la empresa comentó: "Creemos que ha habido un intento deliberado de obtener ganancias financieras al intentar desacreditar el desempeño y las operaciones de DDH... Hemos tenido conocimiento de un informe de investigación de Adalytics, una entidad con ánimo de lucro, que realiza afirmaciones deliberadamente falsas, engañosas e inexactas..."
Colossus insiste en que las afirmaciones de Adalytics "no reflejan con precisión las interconexiones dentro de la cadena de valor programática y el rol de Colossus SSP a través de The Trade Desk". Específicamente, señaló que Colossus no transfiere directamente ningún ID de usuario de The Trade Desk al participar en las bid requests, sino que lo hace a través de "un intermediario de comercio público". Según el portavoz, esta práctica se lleva a cabo para cumplir con las normativas de The Trade Desk y OpenRTB, un marco estandarizado que regula el comercio de medios en el ecosistema programático. Ese “intermediario” es BidSwitch, que no es más que un "middleware" que conecta a los players dentro del ecosistema programático.
Aunque Colossus señala a BidSwitch, Criteo (quien adquirió IPONWEB, empresa propietaria de BidSwitch) defiende la integridad del papel desempeñado por esta plataforma. "BidSwitch opera como una plataforma neutral de 'passthrough', enviando tráfico de SSP’s a DSP’s sin manipular el contenido de las bid requests de los SSP o las respuestas de oferta de los DSP", declaró Ryan Damon, consejero general de Criteo, en un comunicado. Damon destacó que Bidswitch lleva más de 11 años realizando esta función con cientos de socios en toda la industria, incluidos los más grandes. Además, señaló que cualquier insinuación de que BidSwitch es responsable de manipular el contenido de las solicitudes de oferta de Colossus SSP es falsa, y animó a todas las partes a investigar más a fondo antes de hacer declaraciones engañosas.
El informe de Adalytics también explica que, al comparar a Colossus con otro SSP que transacciona a través de BidSwitch, TrustX, solo se observaron discrepancias entre los IDs declarados y reales con Colossus, no con TrustX.
Entonces, ¿qué puede estar sucediendo?
Adalytics no acusa a Colossus de haber representado erróneamente los IDs de usuario de manera consciente, ni especula sobre las motivaciones de la empresa. Sin embargo según una fuente no revelada se informó a The Drum que los hallazgos sugieren que Colossus podría haber estado representando intencionalmente los IDs de usuario, una práctica que podría potencialmente engañar a los compradores de medios haciéndoles creer que están adquiriendo audiencias de mayor calidad de lo que realmente son.
"Esta investigación nos indica que los millones de dólares invertidos en identificar audiencias objetivo y adecuar la creatividad a dichas audiencias podrían estar siendo malgastados", expresó un ejecutivo de un anunciante del Fortune 500 en el informe. "Además, esto genera una experiencia deficiente para el consumidor, ya que los anuncios mostrados podrían resultar completamente irrelevantes".
Otro ejecutivo dijo que, al revisar los datos de sus propiedades, inicialmente pensaron que Colossus simplemente podría estar practicando un “puente de IDs de usuario” (user ID bridging), que se trata de una técnica que enlaza los IDs de los usuarios entre diferentes plataformas o entornos, especialmente en situaciones donde los métodos de tracking tradicionales, como las cookies, no están disponibles o son ineficaces. Consiste en relacionar los IDs de usuario de un entorno, como un navegador con third-party cookies, a otro entorno con third-party cookies limitadas o diferentes tipos de señales de datos, como apps móviles o un navegador cookieless, como Safari. Esto permite a los players AdTech realizar una estimación fundamentada sobre la ID de un usuario.
El propósito de esta práctica es asegurar la coherencia en la dirección y tracking de usuarios a lo largo de diversos puntos de contacto, lo que habilita a los anunciantes para ofrecer experiencias más personalizadas y coherentes. Cuando no hay señales determinísticas disponibles, se suele considerar aceptable siempre que se realice de forma transparente y ética, salvaguardando así la privacidad del usuario.
Existen razones legítimas para emplear el user ID bridging, aunque no siempre resulta necesario, especialmente cuando se dispone de IDs determinísticos a largo plazo, como las third-party cookies. De hecho, distorsionar los IDs de usuario a través del user ID bridging en situaciones donde existen IDs precisos y determinísticos podría encajar en la definición del Consejo de Evaluación de Medios sobre 'Sophisticated Invalid Traffic', y por ende ser considerado fraudulento.
Sin embargo, es posible que Colossus esté haciendo algo más complicado y potencialmente nefasto. Si un SSP como Colossus quisiera engañar a los media buyers para que paguen sumas más altas, es posible que rutinariamente cambien el ID asociado con el perfil o dispositivo único de un usuario, representando erróneamente el ID de usuario durante las bid requests. El SSP podría hacerlo para engañar a un media buyer para que crea que está llegando a un usuario de mayor valor o para evitar los frequency cappings y así obtener más dinero al bombardear a un usuario con el mismo anuncio una y otra vez. Este comportamiento, conocido como rotación de ID puede conducir a inexactitudes en el targeting y la medición de anuncios. y se considera una práctica no ética en la industria.
"La rotación de ID ayuda a los SSP’s, a muy corto plazo, a aumentar los ingresos para ellos y sus publisher en una Ad call", dice Friedman de Goodway Group. Pero es un juego peligroso, advierte. "Por supuesto, una vez que se descubre, es más probable que pierdan ingresos significativos a medida que los anunciantes pierden confianza."
El ejecutivo de media publishing, que usa Colossus, encontró algunas anomalías en su código fuente. El equipo configuró una variedad de dispositivos para probar qué tipo de IDs aparecían y ganaban subastas en su site. De los 33 SSPs utilizados por la empresa, todos excepto Colossus presentaron IDs que coincidían con los IDs de los dispositivos que habían configurado. Colossus a veces presentaba IDs que no coincidían con los IDs de los dispositivos. La fuente advierte que el experimento interno del equipo fue limitado en escala y que una evaluación de terceros por parte de un grupo como Adalytics probablemente presentaría una imagen más completa.
Otra fuente consultada dice que varios DSPs han advertido más preocupaciones sobre Colossus, y el martes de esta semana, esa empresa pausó todo su negocio con Colossus.
¿Podría ser un fallo de los socios de Ad Verification?
Colossus se asocia con al menos tres empresas de Ad Verification y antimalware: Human, Moat (Oracle) y Confiant. Si bien estas asociaciones sugieren un compromiso para combatir el fraude publicitario, las discrepancias observadas en los IDs de usuario plantean preguntas sobre la efectividad de estas medidas.
El portavoz de Direct Digital Holdings dijo que "Colossus SSP siempre ha sido diligente cuando se trata de calidad y transparencia, trabajando con Human, Confiant, Moat y otros socios de confianza de la industria para asegurarnos de cumplir con los más altos estándares en la oferta". El portavoz también enfatizó que "la integridad, la responsabilidad y la transparencia" son "valores fundamentales" en la empresa.
El site de la compañía indica que Human trabaja con el SSP tanto en el pre como en el post para mitigar el fraude, mientras que Moat proporciona a Colossus métricas de viewability y tráfico inválido. Tanto Human como Moat están acreditados por el Consejo de Evaluación de Medios para el 'Sophisticated Invalid Traffic Detection/Filtration', así como certificados por el Trustworthy Accountability Group. Confiant, por su parte, ofrece escaneo creativo y medidas de seguridad al SSP para evitar malware o ad hijacking.
Sin embargo, no todos los actores de la industria confían en la capacidad de los proveedores de verificación para detectar inexactitudes, representaciones erróneas o mal comportamiento en el ecosistema. Goodway Group, por ejemplo, "ha recomendado a sus clientes utilizar plataformas de análisis, como Fou o Adalytics, en lugar de, y no además de, los proveedores de verificación", según Friedman. "En pruebas comparativas, observamos que las plataformas de análisis revelaban significativamente más y más información útil sobre cómo podríamos minimizar el desperdicio de anuncios que la que obteníamos con los proveedores de verificación".
Un portavoz de Confiant comentó que "Confiant no es un proveedor de ad verification o prevención de fraudes. La verificación creativa, el antimalvertising, nuestra especialidad, a menudo se confunde con el ad verification".
¿Hay un incentivo en juego?
Aunque no está claro hasta qué punto Colossus está al tanto de sus problemas de representación errónea de IDs, la compañía parece estar pasando por algún grado de presión financiera. Direct Digital Holdings reveló a mediados de abril que su contador independiente, Marcum, renunció tras un retraso en la presentación de la SEC. (La compañía había solicitado una extensión a principios de abril, argumentando que necesitaba más tiempo para completar la auditoría de sus estados financieros). No obstante, la compañía niega tener problemas financieros. "DDH sigue estando bien posicionada operacionalmente y financieramente sólida, con ganancias estimadas para el año fiscal 2023 de 157 millones de dólares y experimentando un crecimiento continuo en 2024", afirmó el portavoz de la compañía en un comunicado. "Mantenemos una sólida relación financiera con nuestros socios y estamos comprometidos con la mejora continua y el fortalecimiento de nuestros productos y servicios", añadió.
"Defenderemos enérgicamente la reputación de nuestra empresa y emprenderemos todas las acciones legales y los remedios apropiados para abordar estas declaraciones intencionalmente falsas y representaciones fundamentales erróneas", añadió el experto.
No es la primera vez que Adalytics genera controversia con acusaciones de mal comportamiento en el sector AdTech. Justo el mes pasado, la compañía acusó a Forbes de operar un subdominio secreto y spam destinado a la publicidad, lo que llevó a importantes marcas como Microsoft y Disney a creer que estaban comprando publicidad en el site de noticias principal del publisher. El verano pasado, Adalytics acaparó titulares cuando destacó algunas de las prácticas publicitarias poco éticas de Google.
El informe de Adalytics sobre Colossus concluye con un call to action instando a los compradores de medios a ser escrupulosos al evaluar sus socios SSP y DSP, y en última instancia, a tomar el control de la salud de sus inversiones en medios. "Se alienta a las marcas y entidades AdTech a auditar sus propias compras de medios", dice el estudio, "para analizar cuánto transaccionó cada entidad con cualquier proveedor dado y si la entrega de anuncios a través de ese proveedor fue consistente con sus expectativas".
