En su forma más pura, el relleno de cookies es la atribución errónea de un clic o una impresión a un usuario o empresa no deseado. Digiday cubrió el relleno de cookies hace unos años en lo que respecta al marketing de afiliados, pero resulta que también se puede hacer en publicidad programática. Sin embargo, los últimos tres términos parecían usarse indistintamente, todos insinuando que se cambió una identificación sin conocimiento o acuerdo por parte del comprador para producir un mejor resultado para el vendedor.

A los efectos de este artículo, utilizaremos “suplantación de identidad”, dada la nefasta connotación de “suplantación de identidad” y el hecho de que la acción implica engaño, en lugar de una falta de coincidencia accidental. Solo sepa que puede encontrar otros términos en sus lecturas.

¿WTF es la suplantación de identidad?

La suplantación de identidad se produce cuando un intercambio de anuncios o un vendedor de inventario publicitario intercambia la identificación de usuario objetivo del lado comprador en el DSP por una identificación diferente que es de mayor valor o ofrece datos más atractivos para un anunciante. Ocurre principalmente en un entorno compatible con cookies de terceros, como el navegador Chrome, y se basa en los ID de las cookies.

¿Estas identificaciones falsificadas están completamente inventadas?

La versión más nefasta sería la fabricación de una identificación de usuario, pero también puede suceder al encontrar otra identificación de usuario asociada con un dispositivo diferente que posee el usuario o tal vez uno para otra persona en el hogar de ese usuario, según Chris Kane, cofundador. de Jounce Media.

Aquí hay un ejercicio de visualización que Kane compartió:

Imagine que el usuario al que intenta apuntar es la diana de una diana y el dardo más cercano a la diana es la ID de usuario, que es el identificador más preciso para dicho usuario. Esa identificación se extrae de la cookie en el navegador o dirección IP actual del usuario, por lo que está casi seguro de saber quién es ese usuario.

Sin embargo, hay otros dardos en el tablero que se encuentran en los círculos más alejados. Representan otras identificaciones que se sabe que son adyacentes al usuario, o quizás a alguien en el hogar de ese usuario, pero no se garantiza que sean exactamente la misma persona. Sin embargo, los dardos son atractivos porque tienen información diferente sobre esa persona de la que se recopiló mediante la identificación de la diana.

¿Puede darme un ejemplo de cómo se pueden utilizar las identificaciones asociadas para la suplantación de identidad?

Seguro. Digamos que la identificación de la computadora personal de un usuario podría haber recopilado consultas de búsqueda para seguros de automóvil, pero actualmente se encuentran en su computadora de trabajo separada. El SSP sabe que la identificación de la computadora personal sería extremadamente valiosa para usted como anunciante de seguros, pero ese no es el dispositivo en el que se encuentra actualmente el usuario objetivo. Independientemente, el SSP decide cambiar el ID asociado con la computadora del trabajo (el ID de la diana) e intercambiar el ID de la computadora personal porque puede aumentar el CPM, sabiendo muy bien que pagaría más por un usuario que tiene un mayor propensión a comprar su seguro.

Sin embargo, todavía no sabes si es la misma persona que usó la computadora personal. E incluso si el CPM siguiera siendo el mismo precio que el ID de usuario original de la computadora del trabajo, todavía no estás comprando un anuncio dirigido a la persona a la que crees que te diriges.

¿Es esto un fraude?

Parece depender de la intención. Si bien la “suplantación de identidad” o el “relleno de identidad” no se mencionan explícitamente en la definición de detección de tráfico no válido del Media Rating Council (subtítulo “Tráfico no válido sofisticado” o SIVT), el relleno de cookies sí lo es, y se describe entre paréntesis como “insertar, eliminar o atribuir erróneamente cookies, manipulando o falsificando la actividad anterior de los usuarios”.

Es más, la acción tiene como objetivo aumentar las ventas de un anunciante sobre un usuario que no es quien el vendedor dice ser. Especialmente si la identificación de usuario que se intercambia tiene datos falsificados (o incluso representa a un usuario completamente falso) en lugar de pertenecer realmente a un ser humano real.

“No hay ninguna duda de que si un SSP sabe de manera determinista, basándose en su sincronización de cookies con un DSP, que el DSP actualmente llama al navegador ‘123’, no debe emitir una solicitud de oferta con ningún valor que no sea ‘123’. Y si lo hace, será fraudulento y claramente violará los estándares del MRC”, dijo Kane.

Mike O’Sullivan, cofundador de la firma de datos publicitarios Sincera, dijo que cree que la suplantación de identidad/relleno cae en un área un poco más gris, particularmente en el caso en que las identificaciones en realidad provienen de algún otro lugar en la diana del usuario.

“Creo que esto es potencialmente una nueva frontera para la verificación de anuncios, pero también, hasta cierto punto, es un poco un KYC. [Know Your Customer] problema más que cualquier otra cosa”, dijo O’Sullivan. “Es bastante esotérico”, ya que no se considera inseguro para la marca, ni se trata de tráfico de bots, pero añadió “es una intención traviesa o maliciosa”. Y creo que debería haber un sistema que capture eso… cae en esta zona gris”.

¿Quién se supone que debe detectar la suplantación de identidad?

Según ejecutivos de la industria, ya sean empresas de verificación o DSP, aunque en realidad no existe un consenso.

Algunos de los ejecutivos de agencias y publicaciones que hablaron con Digiday sobre el problema de Colossus dijeron que las empresas de verificación deberían detectar la suplantación de identidad, pero no todos están de acuerdo en que esto esté dentro del ámbito de competencia de las empresas.

Dado que el acto de “manipular o falsificar la actividad previa de los usuarios” está incluido en las directrices del MRC para SIVT, varios ejecutivos argumentaron que cualquier entidad acreditada por el MRC para detectar actividad fraudulenta en el mercado programático debería ser responsable de capturarla.

Otros ejecutivos argumentaron que debido a que el DSP debería poder detectar una identificación de usuario diferente a la original que envió durante la subasta, corresponde al DSP detectar e informar la discrepancia a sus clientes.

“Simplemente subraya la importancia de la confianza, porque la solicitud de oferta es una declaración. Existe oportunidad de verificar lo que hay en esa declaración, pero no sé si la verificación [firms] Siempre podemos seguir el ritmo del nivel de innovación y, por tanto, de los nuevos datos que figuran en la solicitud de oferta”, afirmó O’Sullivan.

¿En qué se diferencia esto del puente de identificación?

De nuevo, intención. La respuesta corta es que el puente de identificación es una solución sin cookies para escalar la identificación alternativa del usuario en todas las ventanas y dispositivos. Solo tendría lugar en navegadores como Safari, donde la cookie de terceros ya ha quedado obsoleta.

“La diferencia es que tienes una excusa plausible para cuando lo haces como puente y, en muchos casos, con los puentes, los compradores y vendedores tienen acuerdos que lo permiten”, dijo O’Sullivan.

¿Será esto un problema una vez que Google desapruebe las cookies de terceros?

En teoría, una vez que desaparezcan las cookies de terceros, el problema de la suplantación de identidad también desaparecerá. Sin embargo, no hay forma de saber si surgirá una nueva iteración de suplantación de identidad en un entorno sin cookies. Si bien el puente de identificación y otras tácticas de enriquecimiento de ofertas se realizan de manera creíble, si hemos aprendido algo sobre la industria de la publicidad digital en las últimas décadas es que siempre habrá alguien tratando de engañar al sistema.