7 Min. Read

Por qué un SDK de código cerrado es esencial para combatir el fraude

Michel Hotoveli Michel Hotoveli Aug 27, 2019

Chris Rock hizo una declaración famosa en uno de sus espectáculos cómicos: “No hay ganancia en la cura, solo hay ganancia en los medicamentos”. Hablaba de las grandes empresas farmacéuticas, que en teoría están más interesadas en proporcionar medicamentos para tratar los síntomas que en encontrar curas reales para las enfermedades. La broma cínica de Chris Rock fue que las empresas farmacéuticas prefieren mantener clientes recurrentes antes que curarlos.

Si bien no estoy seguro de cómo funciona la estructura económica de una empresa farmacéutica, esta noción tiene sentido económico, y no solo en relación con quienes fabrican fármacos y medicamentos. 

Si analizamos la economía actual, veremos que las empresas multimillonarias que cotizan en bolsa, muchas de las cuales ofrecen soluciones y servicios a “problemas” y “enfermedades” de la vida moderna, están obligadas a mostrar ganancias y crecimiento.

Más allá de las industrias específicas, esta lógica puede aplicarse a la industria de los anuncios en línea y a la “enfermedad” que la azota: el fraude. En los últimos años, no solo hemos visto crecimiento en la escala de los esquemas de fraude y en la facilidad para llevar a cabo dichas estafas, sino también una conciencia creciente sobre el fraude y sus consecuencias para los anunciantes y los publishers. Volviendo a la economía básica, podemos decir que cuando la demanda aumenta, en general, también aumentará la oferta; con la mayor conciencia sobre el fraude, las empresas nuevas se pusieron a la altura de las circunstancias y comenzaron a ofrecer soluciones propias y de terceros para combatir el fraude.

Como entidades financieras, estas empresas pueden diferir en precios, mensajería, percepción y tipo de solución, pero las mismas preguntas todavía aplican a todas ellas: ¿realmente harían todo lo que esté a su alcance para eliminar su principal fuente de ingresos? ¿Existe la demanda de soluciones de prevención contra el fraude en un mundo sin fraude?

Al analizar el juego del gato y el ratón de la prevención contra el fraude para responder la pregunta anterior, debes buscar las lagunas que una de las partes dejaría a la otra para que el juego continúe. Puede que sean pequeñas, pero ahí están. Podría ser tan simple como ofrecer servicios pagos a las partes interesadas en ambos lados (anunciantes y partners), lo que podría dañar la naturaleza imparcial necesaria para eliminar las fuentes fraudulentas.

Por ejemplo, los proveedores de soluciones contra el fraude podrían depender de los negocios generados por una parte o entidad determinada (de ambos lados), lo cual a su vez podría dañar su lógica y sus intenciones ante una decisión comercial sobre un caso de fraude que podría afectar sus negocios mutuos.

En ese sentido, también es importante examinar dónde se ubica su proveedor de soluciones contra el fraude en la cadena de publicación de anuncios, incluso cuando es imparcial. 

Una señal de alerta más importante que me gustaría comentar es la dependencia de una solución de SDK de código abierto en la base del paquete de prevención contra el fraude.

 

Por qué el código abierto está de más en tu solución contra el fraude

Algunos proveedores de soluciones contra el fraude podrían llegar a enorgullecerse del uso de la tecnología de código abierto como parte de su configuración de prevención contra el fraude. De hecho, muchas herramientas en línea utilizan el código abierto para proporcionar una mejor solución, ya que se ajusta a la visión y al funcionamiento de su solución. Wikipedia, Google y Adobe son solo algunos de los nombres importantes que utilizan el código abierto para aprovechar los numerosos beneficios ofrecidos por el impulso de la comunidad de perfeccionar y desarrollar mejores productos de forma colectiva.  

Las soluciones de código abierto son realmente excelentes; sin embargo, junto con muchos beneficios, se hace evidente una falla importante al analizar la seguridad y la protección con respecto al fraude. 

Si bien una solución de código abierto es transparente y está disponible para que se realicen revisiones y mejoras, también es más susceptible a la ingeniería inversa y a las manipulaciones. Esto es equivalente a invertir en el sistema de seguridad más avanzado para tu hogar y luego dejar la puerta de entrada abierta. 

Más propensas a las violaciones de seguridad de diferentes tipos, las soluciones de atribución basadas en SDK de código abierto dieron origen a un nuevo tipo de fraude: la suplantación de SDK.

La suplantación de SDK hace referencia a las instalaciones de aspecto legítimo generadas por defraudadores sin ninguna instalación real. Esto se traduce en presupuestos de publicidad agotados y datos de targeting engañosos, con efectos a largo plazo en la actividad y la asignación de presupuestos.

Un defraudador que busca suplantar la actividad de un SDK con el propósito de secuestrar la atribución para fondos de publicidad solo necesita echar un vistazo al código e invertir en un poco de ingeniería inversa para obtener acceso. El defraudador ahora puede entender la lógica de la mensajería HTTP mucho más fácilmente, ver cómo se recopila cada valor de campo y luego usar la solicitud HTTP para su beneficio.

 

Subscribe to AppsFlyer content

The latest mobile marketing tips & trends delivered to your inbox.

 

La mayor parte del debate sobre la suplantación de SDK está centrada en ataques de red como MITM (ataques por intermediarios) o ataques de repetición, pero ese es solo un punto donde pueden suplantarse los datos del SDK. Los datos se pueden recopilar, manipular y suplantar incluso antes de enviarlos a través de la red. Hay muchas herramientas para el análisis dinámico y la instrumentación que permiten monitorear y manipular cualquier dato en la aplicación atacada antes de enviarlo al back-end (durante el tiempo de ejecución de la aplicación).

El uso correcto de estas herramientas permite a los defraudadores manipular los datos que quieran mientras dejan intactos los mecanismos de “protección” de la red (léase: los datos de back-end aparecen como legítimos y “firmados”). Es importante destacar que cualquier software (de código abierto o no) puede ser víctima de la ingeniería inversa; los proveedores de software que afirman lo contrario desconocen los riesgos a los que se enfrentan o son ingenuos, o ambos.

La pregunta es: ¿qué hacen estas empresas para proteger su software contra los intentos de ataque?

 

Cómo se relaciona esto con el código abierto

  • El código abierto hace que el proceso de piratería sea más rápido y más barato: los estafadores saben exactamente cómo se recopilan y se empaquetan los datos dentro del SDK, lo que les permite encontrar dónde los datos pueden falsificarse fácilmente y crear un “fraude de calidad”.
  • Cualquier mecanismo de protección contra este tipo de fraude es claramente visible y puede evadirse. Mantener la lógica del SDK como incógnita significa que los defraudadores deberán invertir muchos más recursos para la ingeniería inversa.
  • En las soluciones de código abierto, los mecanismos criptográficos implementados en el código están expuestos y pueden estudiarse o revertirse con facilidad.
  • Cuando se trata del código abierto, la responsabilidad principal de proteger el software recae sobre el cliente: si no toma todas las medidas necesarias para asegurar su código fuente, será inherentemente más fácil de entender, revertir y manipular.

La protección contra MITM, implementada de la manera correcta, puede prevenir el robo de datos personales a través de redes remotas (un escenario donde los piratas informáticos intentan robar información privada que se envía a través de la red desde una ubicación remota).

Pero este caso es diferente. Cómo uno asegura su SDK y lo autentica en el servidor es esencial, ya que los defraudadores quieren generar tráfico con apariencia de legítimo. Así, lo único que necesitan es acceso a la aplicación para la que desean generar tráfico y el conjunto de herramientas apropiado. Entonces, el código de la aplicación puede modificarse, incluso a nivel del sistema operativo, para generar tráfico falso y satisfacer las necesidades del defraudador.

La protección contra MITM deja de tener sentido.

Cada una de estas violaciones puede resolverse cuando se detecta, pero requerirá actualizaciones urgentes del SDK por parte del propietario de la aplicación, sin importar el cronograma original de actualizaciones o de lanzamientos de funciones. Esto significa que los propietarios de las aplicaciones corren el riesgo de entrar en un ciclo frustrante, costoso y que requiere mucho tiempo, en el cual deben invertir recursos adicionales de ingeniería, mientras que su SDK sigue expuesto para el próximo esquema… y así el ciclo continúa.

 

Puntos clave

El fraude no es broma.

Agota los presupuestos de publicidad y alimenta fuentes ilegítimas que harán todo lo posible para encontrar la próxima laguna o violación de seguridad. Como marketers responsables, se espera que adoptemos un enfoque más cuidadoso y que evaluemos los beneficios de cualquier solución de protección contra el fraude que utilicemos. No es suficiente registrarse con un proveedor de soluciones y creer que estamos cubiertos.

Cuando se habla de fraude, ninguna solución es perfecta: el trabajo para destruir el entorno de los defraudadores es largo y complejo. Cuantas más empresas participen en la causa justa, mejor, pero debemos detenernos y preguntarnos si todos nos involucramos con las intenciones correctas y el arsenal adecuado. 

En AppsFlyer, creemos en impulsar una solución de prevención altamente eficiente para cualquier cosa, desde el secuestro de atribuciones hasta los usuarios falsos generados a partir de bots.

Como parte del compromiso de AppsFlyer para resolver el fraude publicitario móvil, el SDK de AppsFlyer aplica las mejores herramientas del mercado para proteger su código contra la ingeniería inversa. Protect360, la solución de protección contra el fraude de AppsFlyer, utiliza una sofisticada ofuscación y cifrado en sus fuentes de código y es el paquete de protección contra el fraude en publicidad móvil más avanzado del mercado.

 

 

Reserva una demo para Protect360 hoy mismo