Así de fácil (y barato) es engañar a Facebook para colar publicidad engañosa

"Como una comunidad confía en sus ciudadanos para denunciar un crimen, nosotros confiamos en ti para que nos digas cuándo encuentras 'spam'". El símil lo ponía Matt Hicks, portavoz de Facebook, en un post de hace algunos años: las notificaciones de los usuarios forman parte de la base sobre la que sus ingenieros construyen mecanismos ‘antispam’.

TE PUEDE INTERESAR

Entradas agotadas: cómo los 'bots' compran tickets de forma masiva para su reventa

Lucía Caballero

Evitar esta práctica ilícita "no es una tarea fácil" −aseguraba Hicks− ni siquiera para el gigante de Mark Zuckerberg. Sus 1.654 millones de usuarios activos mensuales complican la tarea, convirtiendo a la red social en un paraíso para los defraudadores. Desde la plataforma explican que tienen equipos dedicados a combatir los delitos informáticos y han desarrollado “numerosas herramientas” tecnológicas para prevenir y eliminar el ‘spam’.

Facebook disponede "un sistema que automáticamente analiza los enlaces para determinar si las webs asociadas funcionan como ‘spam’ o contienen ‘malware’" y se alíacon empresas de antivirus e instrumentos de detección externos como Web of Trust.

Un equipo de investigadores italianos estimaba, en 2013, que el ‘spam’ generaba en Facebook unos beneficios anuales de 200 millones de dólares

Pero, pese a la vigilancia, un equipo de investigadores italianos estimaba en 2013 que el ‘spam’ generaba en Facebook unos beneficios anuales de 200 millones de dólares. Los estafadores utilizan los anuncios para conseguir visitas a webs engañosas o cargadas de publicidad para sacar tajada. Aparte de crear una página en la red social para atraer seguidores y simular contenidos atractivos (desde porno hasta noticias falsas), usan trucos dirigidos a evitar sospechas, como acortar los enlaces externos.

La plataforma advierte en las condiciones de publicidad acerca de las prácticas prohibidas. Los anuncios no deben incluir "contenido falso, fraudulento o engañoso, como afirmaciones, ofertas o prácticas comerciales que puedan inducir a engaño". Tampoco "cualquier tipo de ‘software’ que genere una experiencia inesperada o engañosa, incluidos los enlaces a sitios que contengan este tipo de productos" ni "páginas de destino que no funcionen".

Sin embargo, los esfuerzos por detectar los incumplimientos no parecen aplicarse al principio del proceso. Tal y como ha podido comprobar Teknautas, no hacen falta complejas artimañas para crear publicidad que dirija al usuario a una web externa diferente a la indicada. Lo explicamos a continuación.

Creación del anuncio

El primer paso para crear un anuncio es elegir el objetivo de la campaña publicitaria, en este caso conseguir más clics en un supuesto ‘site’ de internet. Después, hay que especificar el público objetivo, presupuesto y tiempo durante el cual estará vigente el contenido. Como se trata de una prueba, restringimos el número de destinatarios a unas pocas personas de nuestro entorno en cuyos perfiles podremos apreciar el resultado.

A continuación, el anunciante puede seleccionar el formato que desea para su producto y dónde aparecerá. Añade el componente audiovisual –la foto o fotos que quiere mostrar− y decide si podrá verse en las secciones de noticias del ordenador y del móvil, en Instagram o en la columna derecha de Facebook.

En este caso, elegimos como empresa creadora del anuncio un supuesto medio de comunicación que quiere aumentar su audiencia. Se llama ‘La Televisión de España’ y tiene una página de Facebook del mismo nombre a la que está vinculada la publicidad. Sin embargo, fijamos como URL del sitio web de destino –donde llevan los clics− thisisnotavirus.com, un sitio inofensivo que muestra diferentes composiciones de formas y colores.

Incluimos un título llamativo y un contenido que atraiga la atención de la audiencia. Para completar el proceso, debemos especificar el "enlace de visualización", es decir, una web que aparecerá indicada en la parte inferior del anuncio. Teóricamente, esta página (la que ven los internautas) debería coincidir con la de destino, pero el objetivo de la publicidad ‘spam’ es convencer al usuario de que pinche en un link que parece fiable. Por eso, introducimos en este campo el nombre de la página oficial de Televisión Española (rtve.es).

Así, el público ve en el anuncio el titular, la fotografía y el enlace de Televisión Española, con lo que aumentan las posibilidades de que cliquen pensando que se trata de un contenido de la web de la cadena y, por tanto, fiable. Sin embargo, quien pinche en el enlace, acabará en thisisnotavirus.com.

Examen aprobado

Una vez terminado el proceso de creación del anuncio, solo falta esperar el veredicto de Facebook. "Antes de que los anuncios se muestren en Facebook o Instagram, se revisan para garantizar que cumplan nuestras políticas de publicidad", advierten desde la plataforma. El periodo de validación no suele durar más de 24 horas, aunque puede prolongarse.

En el caso de la publicidad de ‘La Televisión de España’, el lapso ha sido de unas pocas horas. La red social lo ha aprobado, sin importar que las páginas web de destino y mostrada públicamente no se parezcan en absoluto.

La plataforma no comprueba algo tan sencillo como esta coincidencia; sin embargo, bloquea sistemáticamente contenidos tras la más mínima denuncia. Así lo hizo con una entrevista publicada en ‘The Guardian’ a principios de año, cuyo autor se quejaba en su cuenta de que Facebook no permitía compartir el artículo. Tras informar a la red social del caso, esta admitió que se trataba de un error: sus algoritmos antifraude lo habían identificado como ‘spam’.