seguidores falsos

Tenía pendiente este fin de semana revisar con calma el genial reportaje de The New York Times (ES/en serio, aunque solo sea por el ejemplo de cómo hacer un reportaje digital aprovechando el medio, merece la pena verlo) titulado «La Fábrica de Seguidores», en la que hacen pública su investigación sobre el mercadeo que existe en el sector de la influencia digital.


Y empiezan fuerte:

LA VERDADERA JESSICA RYCHLY es una adolescente de Minnesota que tiene una amplia sonrisa y el cabello ondulado. Le gusta leer y escuchar las canciones del rapero Post Malone. Cuando usa Facebook o Twitter, a veces comenta sobre las cosas que la aburren o hace bromas con sus amigos. Ocasionalmente, como muchos adolescentes y jóvenes, publica una selfi.

Pero en Twitter existe una versión de Jessica que ninguno de sus amigos o familiares podría reconocer. Aunque las dos cuentas comparten su nombre, retrato y la misma biografía de una sola línea (“Tengo problemas”), la otra Jessica ha promocionado cuentas de inversiones inmobiliarias canadienses, criptomonedas y una estación de radio en Ghana. La cuenta falsa siguió o retuiteó cuentas en árabe e indonesio, idiomas que Jessica no habla. Mientras ella tenía 17 años y estaba en el último año del colegio, su contraparte falsa frecuentemente promovía pornografía gráfica, al retuitear cuentas como Squirtamania y Porno Dan.

El caso de Jessica Rychly es uno más de los miles de perfiles que alguien ha copiado para transformarlos en peones dentro de auténticas botnets que sirven a los intereses del mejor postor.

El artículo se centra en la empresa estadounidense Devumi, una de las más conocidas en todo el mundo por vender influencia, o lo que es lo mismo, poner a disposición del cliente miles de nuevos seguidores, likes, RTs y FAVs a precio de saldo.

¿Por qué alguien querría comprar seguidores?

Si es lector habitual de esta página, la respuesta debería ya resultarle trivial: Mayores números en redes sociales significa mayor influencia, ergo, mayor poder (y más $$$).

Estaba leyendo el artículo y no he podido sentirme más que identificado con los comentarios de algunos a los que el periódico les habían preguntado por los motivos. Y es que como bien sabrá, un servidor tiene un perfil público y un proyecto digital (éste) que se está sustentando hoy en día gracias a las aportaciones de los mecenas de la Comunidad, y a los artículos patrocinados que de vez en cuando escribo.


El problema es que medir la influencia en entornos tan puramente limitados como es el digital se hace en base a concesiones, y esto se traduce en que el número de seguidores o visitantes únicos es hoy en día uno de los principales reclamos a la hora de conseguir acuerdos con marcas.

Me ha pasado más de una vez, y de seguro me seguirá pasando: Pese a que la audiencia a la que me dirijo es puramente especializada (en terminología marketiniana, la mayoría de ustedes pertenecen a un micro-nicho muy rentable), «vender» esto entre las marcas es complicado cuando mi cuenta de Twitter (ES) apenas tiene unos miles de seguidores y la de Instagram (ES), que la abrí hace apenas un par de meses, tiene poco más de 250.

Ya ni hablemos de la lista de difusión (lo que por aquí llamamos Comunidad), que me empeño en mantener saneada, y que hoy en día está formada por cerca de 1,5k de miembros. Si no hiciera las limpiezas periódicas, en efecto podría decir que somos 4 o 5k de suscriptores, pese a que realmente la amplia mayoría no me leeríais… pero los números son los que mandan.

¿Significa esto que lo que un servidor plasma por aquí no llega a los potenciales interesados? Nada más lejos de la realidad. Tengo más que demostrado que cuando recomiendo un producto como mínimo una decena de ventas se producen, pero eso es un criterio puramente relativo. Y los números de audiencia/followers son absolutos y públicos, ergo, se toman como el criterio a seguir.

¿Cual es el problema entonces? Que muchos que de verdad viven de esto (un servidor afortunadamente tiene su trabajo, que es lo que le pone el plato de comida encima de la mesa cada día) se ven forzados por la propia industria a comprar seguidores/interacción a empresas como Devumi, generando además un ciclo que no tiene fin:

Varios clientes de Devumi reconocieron que habían comprado bots porque sus carreras dependían, en parte, de aparentar tener influencia en redes sociales. “Nadie te toma en serio si no tienes una presencia notoria”, dijo Jason Schenker, economista que se especializa en pronósticos económicos y que ha comprado unos 260.000 seguidores.

Esta es la cruda realidad. El tener más seguidores abre las puertas a patrocinios más jugosos, y además, atrae a más seguidores (pareces ser una persona más influyente). Por lo que todos aquellos que quieren vivir de la influencia se ven forzados a comprar influencia, a sabiendas que esa influencia es falsa.


Porque aquí viene la parte interesante de este informe: Esos supuestos seguidores/interaccionadores reales han demostrado ser, en la mayoría de los casos, usurpaciones de identidad gestionadas por bots. Que no hablamos de que Pepito, previo pago, haya hecho RT a un contenido nuestro, sino que un bot ha clonado la cuenta de Pepito y se dedica a dar sin sentido RTs, Follow, Likes y FAVs a todos los clientes de esta botnet.

Devumi no crea (a priori) las botnets, sino que las compra a intermediarios, quedándose un fee que en algunos casos llega a ser hasta 16 veces mayor que el precio que paga por ellas.

Ya era ilegal lo que hacían (traficar con interacciones sociales), pero es que además están traficando con esas interacciones desde cuentas que son falsas (y que por supuesto están prohibidas)… Y quien dice Devumi, dice cualquier otro servicio de compra de seguidores y/o viralizadores de contenido.

consultoria Presencia en Internet

¿Qué tipo de bots sociales hay?

TNT habla de tres tipos principales:

Bots programáticos

Encargados de publicar mensajes cada cierto tiempo, como El bot de la torre del reloj Big Ben (EN), que tuitea la hora… cada hora, y que sigue un esquema del tipo:

 when(time_of_day == 1)
    tweet("BONG")

Un servidor creó en su día uno que se dedicaba a trollear a usuarios que habían publicado algún tweet que contenía una serie de palabras específicas. Resulta relativamente sencillo hacer algo así en python (tardé como un par de horas), y luego la cosa está en subir el código a un servicio que nos permita ejecutarlo periódicamente sin estar nosotros detrás dándole al botón.

Bots de monitoreo

Revisan otras cuentas de Twitter o sitios web y tuitean cuando hay algún cambio. Un ejemplo podría ser el de SF QuakeBot (EN), que tuitea la información cuando el Servicio Geológico de Estados Unidos publica sobre algún terremoto en la zona de la bahía de San Francisco.


Con un esquema del tipo:

 when(earthquake)
   tweet(quake_summary)

Bots de amplificación

Como los que vende Devumi, siguen y dan retuit y me gusta a lo publicado por clientes que hayan comprado el servicio. Por ejemplo:

 when(client_tweet)
   retweet(client_tweet)

Y es además la razón de toda esta industria que se ha creado alrededor de viralizar opiniones que llegan incluso a influir en la decisión de voto de un país entero. Sobre manipulación masiva, y en particular, sobre el precio que tiene lanzar este tipo de campañas, ya he hablando en profundidad, así que no voy a repetirme.

¿Qué hace identificativo a una cuenta de bots de una cuenta real?

Habría varios elementos, pero por señalar los más importantes:

Imágenes de perfil y de fondo robadas

A la fotografía original le suelen cambiar un poco los colores y la compresión. Es una estrategia muy utilizada para bypasear los controles de detección automatizados que aplican tanto a los servicios sociales como a herramientas del tipo Google Images.

Basta con que le cambien un poco el contraste o que le den la vuelta para que los sistemas de AI no sean capaces de reconocer que estamos ante la misma fotografía, mientras que el ojo humano es incapaz de diferenciarlas.

Así no saltan las alertas si es que el usuario tiene alguna programada, y el servicio donde se sube tampoco se da cuenta.

Caracteres remplazados en nicks de usuario

La primera letra del nombre de la cuenta de Rychly fue cambiada de una «i» minúscula a una «ele» minúscula. Otra estrategia que ya comentamos al hilo de las maneras que existen de ofuscar URLs en campañas de phishing y que también se utiliza en campañas de email spoofing.

De nuevo estamos ante algo que el grueso de usuarios no se darían cuenta, y que por supuesto permite no repetir nick (algo imposible por razones obvias).

Proporciones inusuales

Lo habitual para un perfil de un usuario medio es que se tenga un equilibrio entre seguidores y seguidos, incluso estando desequilibrado a favor de los seguidos.

En el ejemplo que pone el TNT, Rychly sigue a unas 200 cuentas, como el usuario promedio de Twitter, mientras los bots de Devumi siguen a miles de cuentas y tienen pocos seguidores propios (normalmente otros bots y algún incauto que no se ha dado cuenta de que hablamos de una cuenta falsa).

Interacciones y actividad

Cada cuenta de bots, incluida la falsa de Rychly, retuitea contenido en varios idiomas y sobre una cantidad vertiginosa de temas.

Eso es algo que claramente es raro para un usuario normal, que normalmente tocamos unos pocos temas/idiomas.

La actividad también puede ser un buen síntoma de que estamos ante unos bots o un usuario legítimo. Aunque los usuarios podemos programar publicaciones, solemos estar activos a un horario normal, dejando las noches libres de interacciones. Un bot normalmente no se preocupa de eso y lanza sus interacciones cuando corresponde (tan pronto se lo manda la botnet).

¿Te preocupa tu Seguridad y Privacidad Online?

He diseñado este curso online en 8 módulos en el que cubriremos todos los fundamentos de la ciberseguridad, ayudándote paso por paso a configurar la seguridad y privacidad de tus cuentas digitales y de tus dispositivos.

¿Qué hacer en caso de suplantación de identidad?

Como ya expliqué en su día, es importante que hagamos de vez en cuando egosurfing, es decir, buscarnos en Internet para saber qué sabe Internet de nosotros. Y esto pasa por:

  • Poner nuestro nombre y apellidos, nuestro DNI, nuestros nicks habituales, nuestro télefono y nuestro email en Google/Bing/DuckDuckGo o el buscador que queramos a ver qué sale. Tampoco está de más hacer lo propio en los buscadores de Twitter/Facebook/Instragram y compañía.
  • Poner nuestra foto de perfil en Google Images, a ver si descubrimos que se está utilizando en otros lugares. Ya le digo que no es fiable 100%, pero a veces se saca algo.
  • En caso de dar con una cuenta fail, denunciarla ante el servicio donde esté la cuenta. Todas las redes sociales cuentan con un botón de denuncia en el que podremos explicar el caso y a priori deberían tomar una decisión en unos pocos días.
  • También podemos recurrir a las autoridades de nuestro país. En el caso de España, el GDT de la Guardia Civil (ES) o a la Brigada de Investigación Tecnológica de la Policía (ES).

Como corolario, espero que esta pieza sirva ya no solo para denunciar lo absurdo que resulta basarse en el número de seguidores de cara a valorar la influencia de un usuario (máxime a sabiendas lo fácil que resulta tergiversar esta métrica), sino también alertar de los riesgos que conlleva tener perfiles fake de nuestra identidad digital.

El día de mañana estos perfiles puede estar promocionando campañas políticas o sociales que pongan en riesgo nuestra vida o la de nuestros allegados, ya que afectos prácticos, somos nosotros quienes estamos dando nuestro apoyo a dichas campañas…

________

Puedes ver más artículos de esta serie en #MundoHacker, donde tratamos en varios tutoriales las medidas para atacar y/o defenderse en el mundo digital.

Y si el contenido que realizo te sirve para estar actualizado en tu día a día, piensa si te merece la pena entrar en el Club Negocios Seguros y aprovecharte de todo el contenido exclusivo que publico para los miembros.

Banner negocios seguros