El pasado 19 de noviembre del 2018 se anunció el arresto de un cibercriminal ruso en el país de Bulgaria, esto a solicitud de las autoridades de Estados Unidos. La razón por la cual se arrestó a esta persona con el sobrenombre de «Nastra» en el mundo del internet, es porque se reportó su muy probable participación en un fraude publicitario que Google cerró a finales de octubre.

A razón de testimonios cercanos a «Nastra» se conoce su tipo de operación la cual funciona mediante una red de 50 servidores arrendadas a otras personas, quienes luego le darían un mal uso para cometer fraude publicitario. Con base a lo anterior se supone que «Nastra» no estuvo involucrado de manera directa en el desarrollo de  una red de bots, creado por un grupo de ciberdelincuentes llamado «Ad Fraud Komanda» o AFK13.

El proceso de la red de bots mencionado para realizar el fraude publicitario consiste en rastrear y automatizar el comportamiento de un usuario regular en alguna de las aplicaciones involucradas para después estos bots simulen la condunta rastreada para ver los anuncios y así cobrar las ganancias producidas.

La complejidad de este desarrollo se refleja en el periodo de tiempo activo que duró el fraude sin ser detectado, estos registros van desde septiembre del año 2014 a diciembre del año 2016. En  los cuales se hizo uso de 571.904 direcciones IP para repartir el uso de los bots dedicados a la tarea de ver los anuncios, siendo estos principalmente videos debido a que incluyen la tasa de anuncio más alta.

Realizar el rastreo de comportameinto de un usuario regular da una idea de los parámtros utilizados por los bots para simular el comportameinto humano, engañar las estadísticas y no ser detectado.

Estos parámetros consistieron en asegurarse que la mayoría del tiempo de uso sería durante el día, haciendo uso de los navegadores web de uso más común, inicio de sesión en redes sociales, navegación por el software involucrado y la tarea más importante, ver los anuncios.

Todas estas características fueron parte fundamental para que el fraude no sea detectado, pero la razón de la alta complejidad para la detección del fraude, fue el especial cuidado al proceso de ver los anuncios, dedicando un bot a sólo ver de 2 a 3 anuncios diarios simulando muy de cerca el comportamiento de un usuario regular y no alterando las estadísticas de uso.

Para la realización de estos fraudes existen diferentes formas de uso, aunque muy similares tienen un esquema diferente, sin quitar el objetivo principal el cual es ganar dinero de los anuncios.

El esquema más común utilizado consiste en que una firma de publicidad fraudulenta ofrece a las compañias un hospedamiento para sus anuncios en sitios web (falsos) de la firma de publicidad. Después ya con los anuncios cargados en sus páginas falsas inician el método de los bots para ver los anuncios y obtener su ganancia.

El segundo esquema consiste en que una empresa ficticia compra aplicaciones web o móviles con usuarios reales y una buena reputación y una vez así ya se tengan estas aplicaciones en su poder, se integre el bot que rastreará el uso del usuario para después acceder e interactuar como un usuario real y ver los anuncios montados en las aplicaciones para generar su ganancia.

En un incidente similar ocurridó con Google, Scott Spencer, Director de Gestión de Productos, mencionó

Tenemos que ser muy cuidadosos sobre comentar o discutir especificaciones sobre bots o nuestra detección

Ya que tenía descontentos a los afectados por no brindar detalles sobre como terminaron los anuncios y como se detectaron para así ellos puedan tomar medidas de seguridad en el futuro, por lo que no tenemos respuesta de como paró el incidente mencionado de tan largo periodo de tiempo de duración.

Se calcula que esta operación obtuvo ganancias cercanas a los $75 millones de dólares por año, dando como percepción que los ciberdelincuentes sólo tienen un objetivo en específico y es el de obtener dinero ilícitamente.

Este fraude publicitario no vulnera directamente los datos del usuario pero al hacer un rastreo de su interacción con el servicio involucrado, para después imitarlo, abre las posibilidades de lo que se pueda llegar a hacer si el objetivo de cometer fraude publicitario cambia a obtener credenciales de los usuarios o información más específica de alguna persona.