.

Computación

La guerrilla de científicos que logró confundir a Google con AdNauseam

1

Las leyes de privacidad actuales no protegen a las personas de la vigilancia generalizada de las grandes tecnologías. Para remediarlo, esta extensión permite esquivar y engañar al gigante con clics falsos. Para demostrarlo, un equipo de programadores llevó a cabo este curioso experimento

  • por Lee Mcguigan | traducido por Ana Milutinovic
  • 14 Enero, 2021

Todos hemos vivido la siguiente situación: mientras navegamos por la web nos aparecen anuncios que nos resultan raros. ¿Cómo sabían que estaba pensando en apuntarme a un gimnasio? ¿O cambiar de trabajo? ¿O que necesito un préstamo? Tal vez se pregunte si Google puede leer su mente. Google incluso presume de conocernos mejor que nosotros mismos.

Está claro que Google no puede leernos la mente. Pero sí nuestro historial de búsqueda y rastrea gran parte de nuestra navegación web. Google dispone de una enorme cantidad de datos sobre sus usuarios y los utiliza para generar sumas inimaginables de dinero con publicidad: unos 100.000 millones de euros al año. La empresa opera una vasta máquina de elaboración de perfiles, encasillando a las personas en distintas categorías sobre quiénes son, cuánto valen y cómo se espera que actúen. Google no solo organiza la información del mundo, también cataloga las poblaciones globales.

Muchos de los dispositivos y plataformas digitales que la gente utiliza a diario están diseñados para que los usuarios resulten transparentes ante las empresas que desean predecir su comportamiento, influir en él y analizarlo. Esta publicidad basada en la vigilancia tiene importantes costes sociales. Los más importantes: erosiona la privacidad, perpetúa varias formas de discriminación y aleja el dinero del periodismo de interés público que las democracias necesitan para sobrevivir. Los legisladores no han actuado de manera decisiva para mitigar estos costes.

Algunos activistas, frustrados por la incapacidad de los reguladores para restringir de manera efectiva las acciones de Google, han tomado las riendas. En 2014, Daniel Howe, Mushon Zer-Aviv y Helen Nissenbaum lanzaron una extensión de navegador denominada AdNauseam que pincha automáticamente en los anuncios web para interferir en el seguimiento y la creación de perfiles del comportamiento. Nissenbaum dirige un grupo de investigación en Cornell Tech (EE. UU.), al que pertenezco.

AdNauseam es una herramienta de confusión. Las tácticas de confusión son una especie de reacción guerrillera a la falta de protección de la privacidad. Dado que no es posible esconderse de la vigilancia de Google, estas técnicas introducen información errónea o excesiva para crear desorden y, en última instancia, sabotear al sistema.

No se trata de una idea nueva. Nissenbaum escribió en un ensayo de 2019 con Finn Brunton en el que afirmaban: "Estamos rodeados de ejemplos de confusión que aún no definimos con ese nombre". Puede ser algo tan simple como añadir artículos adicionales a nuestro carrito de la compra en la farmacia para distraer la atención de algo que podría generar una opinión no deseada. El navegador Tor, que amplía el tráfico web de los usuarios para que ninguno destaque, es quizás uno de los ejemplos más exitosos de confusión sistemática.

AdNauseam es como un software de bloqueo de anuncios convencional, pero con una capa adicional. En vez de limitarse a eliminar los anuncios cuando el usuario navega por un sitio web, también hace clic en ellos automáticamente. Al hacer que parezca que el usuario está interesado en todo, AdNauseam dificulta que los observadores construyan un perfil de esa persona. Es como bloquear el radar con señales falsas. Y es adaptable. Los usuarios pueden optar por confiar en los anunciantes que respetan la privacidad mientras bloquean a otros. También tienen la posibilidad de elegir si hacer clic automáticamente en todos los anuncios de un sitio web determinado o solo en un porcentaje de ellos.

Queríamos intentar comprender qué sucede dentro de la caja negra de las increíblemente lucrativas plataformas de ventas de publicidad de Google de una forma que nadie más había hecho fuera de la empresa.

Como era de esperar, a Google no le gusta nada AdNauseam. En 2017, prohibió esta extensión en su Chrome Web Store. Después de que Nissenbaum diera una conferencia sobre AdNauseam en 2019 en la Universidad de California, en Berkeley (EE. UU.), los escépticos que se encontraban entre el público, incluidos los empleados de Google, desestimaron su trabajo. Los algoritmos de Google, según ellos, detectarían y rechazarían fácilmente los clics falsos; AdNauseam no suponía un peligro para las sofisticadas defensas de Google.

Nissenbaum se lo tomó como un desafío. Empezó una investigación, a la que me uní más tarde, para probar si AdNauseam funciona según el diseño. Primero publicamos un sitio web y luego compramos anuncios en el mismo sitio a través del "pago por clic", lo que significa que el anunciante paga cada vez que un usuario hace clic en su anuncio, para comprobar si los clics generados por AdNauseam se registraban por parte del editor y si se cobraban al anunciante.

Nuestras pruebas demostraron que AdNauseam sí funcionaba, en la mayoría de los casos. Pero, a medida que el experimento se desarrollaba, se convirtió en algo más que en una respuesta para la pregunta que nos habíamos hecho inicialmente. Queríamos intentar comprender qué sucede dentro de la caja negra de las increíblemente lucrativas plataformas de ventas de publicidad de Google de una forma que nadie más lo había hecho fuera de la empresa.

El primer paso del experimento consistió en crear una página web y una cuenta de AdSense. Google AdSense es un servicio de ventas para pequeños editores que no tienen medios para atraer a los anunciantes por sí solos. Por una comisión del 32 %, Google maneja todo el proceso de monetización del tráfico del sitio web: vende los anuncios, cuenta las reacciones y los clics, recauda y realiza los pagos, y controla el posible fraude. Si los escépticos en la charla de Nissenbaum tenían razón, pensamos que AdSense debería notar algo raro con los clics de AdNauseam y descartarlos.

A continuación, creamos una campaña de publicidad en el sitio web utilizando Google Ads, el servicio que compra espacio para los anunciantes. Google Ads es para los anunciantes lo que AdSense sería para los editores. Los pequeños anunciantes le indican a Google a qué tipo de personas les gustaría llegar y cuánto están dispuestos a pagar, y luego Google encuentra a esas personas mientras navegan por una variedad de sitios web. En este caso, la campaña se inventó para ejecutarse solo en nuestra página y para superar a los anunciantes de la competencia. Lo configuramos de esta manera porque queríamos tener cuidado de no sacar provecho o atraer a desconocidos a nuestro experimento.

Ubicados en ambos lados de la transacción publicitaria, estábamos listos para observar el ciclo de vida de un clic en un anuncio de un extremo a otro. Invitamos a distintos voluntarios particulares a descargar AdNauseam y visitar nuestra página. Pronto registramos varias docenas de clics exitosos de AdNauseam, facturados a la cuenta del anunciante de nuestro equipo y acreditados a la cuenta del editor. AdNauseam funcionaba.

Pero esto solo demostró que Google no descartó el primer clic en un anuncio generado por un nuevo usuario de AdNauseam reclutado específicamente para el experimento. Para silenciar a los escépticos, necesitábamos probar si, con el tiempo, Google era capaz de aprender a reconocer los clics sospechosos.

Así que realizamos el experimento con personas que llevaban tiempo usando AdNauseam. Para cualquiera que estuviera atento durante un rato, estos usuarios destacan muchísimo, porque con la configuración predeterminada de AdNauseam parecen estar haciendo clic en el 100 % de los anuncios que ven. Los usuarios pueden ajustar la tasa de los clics, pero incluso al 10 %, estarían fuera de lo normal; la mayoría de las personas hacen clic en los anuncios gráficos solo el 1 % del tiempo.

Esta prueba fue diseñada para verificar si Google descartaría los clics de AdNauseam desde un navegador con un largo historial de tasas astronómicas de clics. Si los sistemas de aprendizaje automático de Google eran tan inteligentes, no deberían tener problemas con esa tarea.

anuncios en los que se hizo clic

Foto: La imagen del "almacén de anuncios" de AdNauseam captada por el navegador automático Selenium. Créditos: Mushon Zer-Aviv.

Lo probamos de dos maneras                      

Primero, con las personas: reclutamos a usuarios de AdNauseam con gran experiencia para que visitaran nuestro sitio web. También invitamos a nuevos usuarios de AdNauseam a usar el software de clic durante una semana en el transcurso de su navegación web normal, para crear un historial y luego participar en la prueba.

Segundo, con el software: realizamos una prueba automatizada con una herramienta de software llamada Selenium, que simula el comportamiento humano de navegación. Con Selenium, programamos un buscador equipado con AdNauseam para navegar automáticamente por la web, por distintos sitios y páginas, con pausas, desplazándose y haciendo clic en los anuncios por el camino.

Básicamente, esto nos permitió construir rápidamente un registro de actividad prolífica de clics mientras controlábamos estrictamente las variables que podrían ser relevantes para que Google clasifique un clic como "auténtico" o no. Configuramos cuatro de estos navegadores automáticos y los ejecutamos respectivamente durante uno, dos, tres y siete días.

Al final de cada período, enviamos los navegadores a nuestro sitio experimental para ver si AdSense aceptaba sus clics como verdaderos. El buscador Selenium que se ejecutó durante siete días, por ejemplo, hizo clic en más de 900 anuncios de Google, y casi en 1.200 anuncios en total. Si los sistemas de Google son realmente sensibles al comportamiento sospechoso de mucho clic, esto debería haber disparado las alarmas.

La mayoría de nuestras pruebas tuvieron éxito. Google filtró los clics en nuestro sitio web mediante el navegador automático que se ejecutó durante tres días. Pero no lo hizo en la gran mayoría de casos de los demás clics, aunque vinieran de usuarios normales de AdNauseam, ni siquiera en las pruebas automatizadas de mayor volumen, donde los navegadores hacían clic en más de 100 anuncios de Google al día. En resumen, las defensas avanzadas de Google no eran tan sensibles al tipo de comportamiento habitual de clic de AdNauseam.

Las defensas avanzadas de Google no eran tan sensibles al tipo de comportamiento habitual de clic de AdNauseam.

Pronto teníamos 100 dólares (82 euros) en nuestra cuenta de AdSense, suficiente para que Google nos enviara un cheque. No estábamos seguros de qué hacer con él. Este dinero no fue ganado de mala manera, para nada. Así estábamos recuperando el propio dinero que habíamos invertido en la cuenta del anunciante, menos el 32 % con el que se quedó Google. Decidimos no cobrar el cheque. Nos parecía suficiente saber que habíamos demostrado que, al menos por ahora, AdNauseam funcionaba. El cheque fue como un certificado de éxito.

Sin embargo, nuestro experimento no puede responder a otras preguntas importantes. Si alguien utiliza AdNauseam, ¿cómo afectan los clics al perfil que Google ha creado sobre esa persona? ¿AdNauseam protege con éxito a los usuarios y a las poblaciones en las que se pueden clasificar, para que no sean objeto de su publicidad? (Al fin y al cabo, incluso si una persona usa la extensión, Google aún puede recopilar una gran cantidad de datos de su correo electrónico, historial de búsqueda y otras fuentes).

Responder a nuestra simple pregunta original, si el software funciona, ya requirió un esfuerzo sustancial. Para poder responder a esas otras preguntas se necesitaba el acceso interno a muchos más nodos de la publicidad online. De hecho, ni siquiera podemos saber de manera concluyente por qué funcionó nuestra prueba, por qué Google no detectó estos clics de AdNauseam. ¿Fue una falta de habilidad o una falta de voluntad?

La falta de habilidad significaría que las defensas de Google contra los clics automáticos en anuncios son menos sofisticadas de lo que afirma la empresa. No obstante, por muy halagador que resulte concluir que nuestro pequeño equipo superó a una de las empresas más poderosas de la historia, parece poco creíble.

Una explicación más probable es la falta de voluntad. Google gana dinero cada vez que un anuncio recibe un clic. Si los anunciantes se enteraran de que se les estaba facturando por clics falsos, eso socavaría la confianza en el negocio de la publicidad online. Pero los anunciantes no pueden comprobar esas sospechas a menos que tengan la posibilidad de mirar desde ambos extremos del mercado, como hicimos nosotros. E incluso si lo lograran, el dominio del mercado de Google les impide llevar su negocio a otra parte.

En un comunicado, la portavoz de Google Leslie Pitterson escribió: "Detectamos y filtramos la gran mayoría de esta actividad falsa automatizada. Sacar conclusiones de un experimento a pequeña escala no es representativo de los métodos avanzados de detección de tráfico no válido de Google ni del trabajo continuo de nuestros equipos dedicados a la tecnología, políticas y operaciones que trabajan para combatir el fraude publicitario todos los días. Invertimos bastante en la detección del tráfico no auténtico, incluido el tráfico automatizado de extensiones como AdNauseum [sic], para proteger a los usuarios, anunciantes y editores, ya que el fraude publicitario perjudica a todos los actores del ecosistema, incluido Google".

AdNauseam podría adaptarse para esquivar la contraofensiva de Google, pero cualquier carrera armamentista obviamente favorecería a Google.

Si, contrariamente a las afirmaciones de Pitterson, los resultados de nuestro experimento se mantienen a gran escala, eso podría ser una mala noticia para los anunciantes, pero es una buena noticia para los usuarios de internet. Significaría que AdNauseam es una de las pocas herramientas que actualmente tiene la gente común a su disposición para protegerse de la creación invasiva de perfiles.

De todos modos, es una defensa temporal e imperfecta. Si Google encuentra una manera, o la voluntad, de neutralizar AdNauseam, entonces cualquier utilidad que tenga podría ser de corta duración. AdNauseam podría adaptarse para esquivar la contraofensiva de Google, pero una carrera armamentista obviamente favorecería a Google.

Los gobiernos y los reguladores generalmente no han elaborado ni aplicado reglas que impidan la vigilancia comercial. Es cierto que algunas leyes recientes, como el Reglamento General de Protección de Datos (RGPD) de la UE y la Ley de Privacidad del Consumidor de California (EE. UU.), afectan a la capacidad algo limitada de las empresas para vender o compartir datos personales con terceros. Sin embargo, estas leyes no restringen la capacidad de Google para ser una primera parte observadora a un montón de actividad en internet y muchas de las transacciones de publicidad. De hecho, Google puede beneficiarse de estas leyes de privacidad, ya que limitan la capacidad de sus rivales y clientes para adquirir los datos que ha obtenido. Google sigue analizando y los anunciantes se vuelven más dependientes de lo que sabe Google.

AdNauseam no impide que Google haga esto, pero permite que las personas protesten contra estos ciclos de vigilancia y seguimiento de conducta que han convertido gran parte del mundo online en una pesadilla de privacidad. La confusión es un acto de resistencia que sirve para socavar la confianza en el seguimiento y la focalización, y para erosionar el valor de los perfiles de datos, con la esperanza de que los anunciantes y las empresas de tecnología publicitaria empiecen a encontrar poco práctico y rentable espiar a las personas. Cualquiera que desee un negocio de publicidad online menos invasivo puede probar AdNauseam.

Otro importante beneficio del uso de AdNauseam es que, en la medida en la que genera confusión, ayuda a proteger la privacidad de todos, no solo de sus usuarios. Esto se debe a que la información personal no es estrictamente personal; la información sobre mí puede crear información sobre otras personas con las que me asocio o personas que comparten algo en común conmigo. Si usted y yo visitamos los mismos sitios web, los especialistas en marketing podrían usar lo que saben sobre mí para crear una opinión sobre usted, quizás etiquetándolo como valioso, arriesgado o con probabilidad de hacer clic en un anuncio u otro. Los usuarios de AdNauseam, al disfrazar sus propias preferencias, dificultan que Google perfile y evalúe a otras personas en sus órbitas. Por eso, los motores de creación de perfiles y predicción de la publicidad de vigilancia se vuelven menos fiables.

Pero, de alguna manera, los escépticos tienen razón: un puñado de programadores e investigadores no pueden enfrentarse con los titanes tecnológicos. La confusión no sustituye a un movimiento organizado y enérgico, respaldado por la fuerza de la ley, para contrarrestar la publicidad de vigilancia que gobierna gran parte de internet. Afortunadamente, algunos gobiernos están presentando demandas antimonopolio contra Google y Facebook, abriendo investigaciones sobre las prácticas de datos de estas empresasemitiendo multas por transgresiones y trabajando en protecciones de privacidad potencialmente más fuertes. Pero, por ahora, las tácticas de guerrilla como AdNauseam son las únicas armas que tenemos.

Computación

Las máquinas cada vez más potentes están acelerando los avances científicos, los negocios y la vida.

  1. Ciberescándalo: Google para un hackeo antiterrorista de un país aliado

    La empresa detectó que un grupo "experto" de hackers usaba 11 poderosas vulnerabilidades para comprometer dispositivos iOS, Android y Windows, y corrigió los fallos. Los atacantes resultaron ser agentes de inteligencia occidentales cuya misión quedó paralizada, lo que podría ponerles en peligro

  2. El dilema de seguridad de Apple: el sistema protege a los hackers que logran entrar

    El diseño ultrabloqueado del iPhone evita la mayor parte de los ataques, pero los más sofisticados siempre encuentran una entrada. Una vez dentro, las propias defensas del sistema los esconden. A pesar de ello, parece el mejor enfoque y el resto del sector empieza a moverse en la misma dirección

  3. Microsoft alerta de que el ciberataque a Exchange es cada vez mayor

    Cuatro grupos de hackers carroñeros se han unido a la sofisticada campaña de ataque de Hafnium, lo que podría aumentar el número de víctimas a cientos de miles