Según una nueva investigación, un ejército de bots se hace pasar por usuarios de Apple está navegando por la web y “mirando” los anuncios explotando el relay privado de iCloud de Apple. Esto causa problemas a los anunciantes en línea, con un exploit de uso activo que podría costar a las empresas estadounidenses más de 65 millones de dólares en 2022.
Apple plantea iCloud Private Relay como una forma de proteger la privacidad de los usuarios en Internet, utilizando una infraestructura compleja para enmascarar al usuario del seguimiento. Sin embargo, ese mismo sistema puede ser un dolor de cabeza para algunos anunciantes en línea, que pueden haber perdido dinero debido a un posible fraude.
El equipo de investigación de fraude y cumplimiento de anuncios de Pixalate afirma que hay un posible exploit en el sistema que se relaciona con las direcciones IP utilizadas por iCloud Private Relay. Apodado “iP64”, se cree que los estafadores de anuncios están aprovechando la confianza en el relay privado de iCloud por parte de la industria publicitaria, así como otros factores, para salirse con la suya con el fraude publicitario.
Un problema inesperado para los anunciantes
El fraude publicitario consiste en formas de publicar anuncios de manera solapada, como mostrarlos de formas no conformes para obtener impresiones, o falsificar impresiones o clics. Al hacerlo, los estafadores pueden obtener ingresos por “mostrar” anuncios, a pesar de no hacerlo legítimamente.
Según Pixalate, las afirmaciones de Apple de que el tráfico de iCloud Private Relay está a salvo del fraude es una cosa con la que cuentan los estafadores. Dado que “los sitios web que utilizan direcciones IP para hacer cumplir las medidas de prevención del fraude y antiabuso pueden confiar en que las conexiones a través de Private Relay han sido validadas por Apple a nivel de cuenta y dispositivo”, los anunciantes agregan las direcciones iP de ICPR a “listas de permitir”.
En segundo lugar, la publicidad programática utiliza una compleja cadena de suministro en la que las ofertas pasan por múltiples “saltos”. Dado que hay muchos intermediarios involucrados, las empresas de la cadena de suministro de anuncios no tienen acceso directo a los dispositivos para verificar las direcciones IP “declaradas”, por lo tanto, trabajen confiando que son válidas.
Los estafadores luego utilizan técnicas como la suplantación de centros de datos para insertar una dirección IP iCPR publicada por Apple en una solicitud de anuncio. El resultado es que las empresas que sirven anuncios ven la dirección IP de iCPR y “confía ciegamente en la solicitud”, dice Pixalate.
El nivel de fraude de clics podría ser alto, y Pixalate cree que, si bien el 21 % del tráfico de Safari afirma pasar por iCPR, más del 90 % de ese tráfico parece ser falsificado.
En los ejemplos ofrecidos por Pixalate, las direcciones IP de los usuarios finales se declararon como una dirección iCPR, pero en realidad eran de T-Mobile, o proporcionadas por los centros de datos de Amazon AWS. En algunas versiones, el supuesto tráfico iCPR provenía del navegador Firefox, lo que es imposible, ya que iCPR solo está disponible en Safari.
Sobre cómo la industria publicitaria puede mitigar dicho fraude, los investigadores creen que las empresas de tecnología publicitaria deberían tener una mejor comprensión de la cadena de suministro de anuncios, analizar las fuentes y trabajar con los vendedores de anuncios para reducir el tráfico tergiversado.
La reparación podría tener daños colaterales
Sin embargo, una propuesta a corto plazo implica agregar direcciones IP de iCPR a “listas de bloqueo”, para no confiar explícitamente en las fuentes de tráfico de iCPR.
“Si bien este enfoque puede resultar en el bloqueo de usuarios reales de iCPR, los números de adopción verdaderos parecen ser lo suficientemente bajos como para que, a corto plazo, la mayoría de las empresas no vean ningún impacto material (aparte de las reducciones de IVT)”, ofrece Pixalate.
Apple explica cómo funciona el Relay privado de iCloud en este documento.
Faq-mac: En este análisis vemos muchos condicionales y suposiciones… también hay que decir que el relay privado de iCloud está pensado para los usuarios, no para el mercado publicitario. Que se utilice mal o se abuse de lo que significa el relay privado de iCloud, no quiere decir que Apple tenga algo que corregir o que la solución sea defectuosa, de la misma manera que no hay que cambiar el diseño del cuchillo porque alguien lo use para amenazar o causar daño.
