Granjas de clics con millones de teléfonos atrapados

Es una de las últimas estafas digitales a gran escala detectada. Implica a 224 aplicaciones de Android, 228 países y unos 38 millones de personas afectadas. Estos últimos días, Google pedía a los usuarios que borraran ciertas aplicaciones involucradas en una campaña publicitaria fraudulenta. «Las apps, aparentemente legítimas, una vez instaladas, ejecutaban en segundo plano un sistema capaz de generar grandes volúmenes de visitas y clics falsos sobre anuncios seleccionados. Todo ello formaba parte de un fraude de alcance global. En la práctica, esto convertía los dispositivos en una granja de móviles distribuida, siguiendo un esquema muy similar al de una botnet», explica José Luis Vázquez Poletti, profesor del departamento de Arquitectura de Computadores y Automática de la Universidad Complutense de Madrid.

Cualquier de nuestros móviles es susceptible de convertirse en un nodo de una granja fantasma; los estafadores ganan dinero a costa de nuestra información personal, mientras comprometen la velocidad de los dispositivos. Estas granjas «fantasma» representa una variante de LOS locales físicos donde decenas de móviles están conectados en red y generan tráfico fraudulento. Las tenemos en la retina por trabajos como los del fotógrafo británico Jack Latham que pasó en 2024 un mes por la capital de Vietnam (Hanói) dentro de estos locales. En ellos, un solo operador vigila el trabajo autónomo de cientos de teléfonos que crean likes, visualizan contenido, inflan el número de descargas de alguna app o interactúan con otros usuarios.

«Empezaron a llamar la atención del público alrededor de 2014, cuando las campañas de monetización por clic y la generación de visualizaciones de contenido comenzaron a mover un volumen de negocio nada desdeñable. Se utilizan para manipular redes sociales, creando seguidores falsos, generando interacciones aparentes y, en definitiva, inflando las métricas del cliente que paga por este servicio. El mercado está tan profesionalizado que existen planes de precios adaptados a cada plataforma y bolsillo. El propósito original fue generar clics falsos en anuncios y simular tráfico humano para inflar ingresos o manipular campañas; es decir, para el fraude publicitario, pero también para el mercado de las aplicaciones. Muchas apps escalan posiciones en los rankings gracias a miles de instalaciones simuladas por estos dispositivos. También se usa para la desinformación. Desde campañas políticas nacionales hasta conflictos como la Guerra de Ucrania. Este tipo de infraestructuras permiten amplificar narrativas, fabricar tendencias o inundar la conversación pública con ruido», continúa.

Al ir vinculadas a dispositivos reales, con su SIM (que son baratas y se puede sustituir a menudo) y dirección IP propias (cada reconexión genera una nueva IP), son más difíciles de identificar que las redes de bots, programas de software se que usan para los mismos fines.

Son ilegales en Europa y suelen encontrarse en países con legislaciones más laxas o precios de la energía más baratos. Sin embargo, en determinadas redes sociales es fácil encontrar perfiles que venden no solo likes (cien botseguidores por tres euros), sino también kits para montar en casa una granja de móviles personal con hasta 20 dispositivos. Jack Latham, de hecho, ha montado una exposición con una de estas cajas con varios teléfonos conectados a una interfaz informática para alertar de otro de los usos de estas granjas: «la difusión de desinformación. Ocurre en tu bolsillo, no en los periódicos, y es aterrador cómo se adapta a tu tipo de neurosis», comentaba a la CNN. El ex primer ministro de Camboya Hun Sen (2016) y el presidente de los EE UU (2015) han sido acusados de comprar seguidores e interacciones falsas en Facebook. Detrás del referendum del Brexit también se ha querido ver la mano negra de estos «bots».

La irrupción de la IA generativa está acelerando estas prácticas, permitiendo crear perfiles de usuario creíbles y mensajes a gran escala, generando un tráfico casi indistinguble del de usuarios legítimos. «En general, estas tecnologías, se usan siempre con fines lucrativos, sobre todo para phising. Se pueden hacer muchas cosas y la IA generativa está permitiendo más personalización. Estamos viendo cómo pueden hacerse pasar por el banco o por una empresa de paquetería con mensajes muy personalizados. En redes sociales, están consiguiendo colarse en las reseñas de productos, que ya no son tan fiables, o pueden hundir a la competencia, consiguiendo que sus anuncios o videos no se muestren en las plataformas», matiza Sara Lumbreras, directora de la cátedra Ciencia, Tecnología y religión de la Universidad Pontificia Comillas.

Publicidad digital

Algunos estudios apuntan a que mas del 50% del tráfico de Internet está ya protagonizado por bots y eso se nota en el marketing digital. «En los foros, los usuarios mencionan programas como Appium o plataformas de «device farms» de código abierto (herederas de proyectos como OpenSTF), que permiten orquestar acciones en varios teléfonos a la vez, así como apps de duplicación de pantalla tipo Panda Android Screen Mirroring o TotalControl para manejar cada terminal desde el PC. Sobre esa base técnica se construye el negocio: los dispositivos se sincronizan para reproducir vídeos, generar visualizaciones, interactuar en redes como TikTok o simular instalaciones de apps, todo ello coordinado desde un único panel y, muchas veces, con conocimiento compartido en comunidades de Reddit o Discord. DoubleVerify ha documentado esquemas en Connected TV como CycloneBot, capaces de generar hasta 250 millones de peticiones de anuncios falsos al día en plataformas de streaming, con pérdidas potenciales de 7,5 millones de dólares al mes para anunciantes desprotegidos», comenta Juan Antonio Muñoz-Gallego González, Fundador de Skiller Academy y miembro de la Asociación de Marketing de España.

Además, comenta, «entre un 5 % y un 11 % de las impresiones de una campaña pueden ser inválidas (bots, inventario falso, tráfico manipulado), mientras que en campañas protegidas esa cifra baja a alrededor de un 0,7–1,1 %. Si lo aterrizamos: en una campaña de 10 millones de euros, entre 500.000 y 1,1 millones pueden irse a tráfico no humano si no hay controles».

Hay otro problema según relata y es que «distorsiona completamente las métricas y se contaminan los datos de rendimiento. También hay un problema reputacional: : la proliferación de webs de contenido basura generado por IA («AI slop websites») y apps fraudulentas hace que la publicidad aparezca en contextos de muy baja calidad, lo que daña la percepción de las marcas y, de rebote, la confianza de los anunciantes en el canal digital».

¿Es posible protegerse?

«Trabajar siempre con verificación independiente, generar listas de medios de comunicación auditados, potenciar la relación directa con dichos medios, exigencia de transparencia a las plataformas, revisión periódica de dónde se está imprimiendo realmente la publicidad y coordinación con los equipos de seguridad y tecnología del anunciante y lo primero es asumir que ningún camino de compra de publicidad es inmune. De hecho, DoubleVerify está viendo cómo muchas fuentes vendidas como «tráfico directo» revenden impresiones inválidas originadas en estas mismas apps y esquemas de fraude impulsados por IA. Por eso, el punto de partida es trabajar siempre con verificación independiente», es parte de la receta de Juan Antonio Muñoz para que las empresas se protejan.

Para él es obvio que vivimos en el internet de los bots y las granjas. «La IA ha roto la balanza entre humanos y máquinas porque ha democratizado el fraude avanzado. Antes, montar una granja de clics sofisticada exigía saber programar, entender redes, conseguir infraestructura y pasar tiempo en foros especializados; hoy cualquier actor, incluso amateur, puede usar modelos generativos para escribir reseñas falsas, crear descripciones de apps convincentes, clonar webs con plantillas y lanzar campañas de phishing o de fraude publicitario casi en modo “plug & play. La IA produce el envoltorio (apps, webs, textos, reseñas, identidad visual) que hace que una operación parezca legítima y simular mejor el comportamiento humano: bots que mueven el ratón, hacen scroll, cambian de pestaña, generan sesiones largas en CTV o tráfico de audio continuo».

Jorge Zabaleta, adexchange Group Product Manager en Seedtag «si no se corta el tráfico fradulento, no solo se pierde rendimiento, se pierde futuro».

Atasco «bot»

►Hay decenas de casos de fraude en internet como el del malware conocido como Joker: «Un troyano para Android capaz de robar datos sensibles y realizar fraude financiero mediante la suscripción silenciosa a servicios premium. Este tipo de malware puede convertir un dispositivo comprometido en parte de una red de terminales utilizados para actividades automatizadas, incluida la generación de tráfico fraudulento», comenta el profesor de la UCM Vázquez Poletti. Aunque también hay casos artísticos. «En 2017 el creador Simon Weckert realizó una intervención urbana en la que paseó lentamente un carrito cargado con 99 móviles con Google Maps abierto. El sistema interpretó que tantos dispositivos, moviéndose a baja velocidad, equivalían a un atasco real, provocando una congestión fantasma en la calle por la que transitaba», relata Poletti.