El fraude de clics está drenando 100,000 millones de dólares de la AdTech. Aquí va adónde acaba el dinero de verdad.
El fraude publicitario superó los 84,000 millones de dólares en 2025 y rebasará los 100,000 millones en 2026. Las cinco categorías principales, por qué la verificación post-puja no basta y qué arquitectura pre-puja funciona.
El IAB estimó 84,000 millones de dólares en pérdidas globales por fraude publicitario en 2025. La mayoría de los analistas del sector espera que las cifras de 2026 superen los 100,000 millones de dólares. Estas cifras se citan con la frecuencia suficiente como para haber perdido su capacidad de impactar, pero la mecánica subyacente importa a cualquiera que gestione inventario monetizado con publicidad o compre medios programáticos a escala.
Las pérdidas no se distribuyen de forma uniforme. Los grandes anunciantes con equipos dedicados de brand safety atrapan la mayor parte del fraude contra sus campañas. Los anunciantes medianos que operan a través de agencias pierden porcentajes significativos de su inversión. Los publishers con protección débil de su inventario ven cómo las impresiones fraudulentas ahogan su inventario legítimo. La cifra agregada de 100,000 millones es la suma de muchas pérdidas más pequeñas repartidas por toda la cadena de valor.
Este artículo es para líderes de AdTech, programática y del lado publisher que intentan entender cuál es su exposición real y qué defensas aguantan. Escrito para explicar las cinco grandes categorías de fraude en AdTech, por qué la verificación post-puja no basta y qué arquitectura pre-puja sí funciona.
Las cinco grandes categorías de fraude en AdTech
Fraude de clics
La forma más directa. El tráfico automatizado hace clic en anuncios de pago sin intención de conversión. El anunciante paga por el clic; el clic no produce ningún valor. Los benchmarks del sector sitúan el fraude de clics en el 15-25% de los clics de pago en la mayoría de las campañas.
El mecanismo: redes de bots u operaciones de tráfico de pago generan clics a escala. Las operaciones modernas usan infraestructura de proxies residenciales para que los clics parezcan tráfico de consumo legítimo. El coste por clic fraudulento es de fracciones de céntimo del lado del atacante, mientras que el anunciante paga entre 1 y 50 dólares por clic según la subasta.
Los objetivos: las campañas con CPC altos son las más atractivas. Una campaña de servicios jurídicos que paga más de 50 dólares por clic es un objetivo más atractivo que una campaña de notoriedad de marca que paga 0,25 dólares por clic. El fraude sigue al dinero.
El patrón de defensa que falla: el análisis de conversiones post-clic. Para cuando ha notado que los clics no convierten, el presupuesto ya está gastado. Los reembolsos de las redes publicitarias son posibles, pero lentos y parciales.
El patrón de defensa que funciona: la inteligencia de dispositivos pre-puja. Verificar que la impresión se está sirviendo a un dispositivo legítimo antes de colocar la puja. El presupuesto de latencia es ajustado —normalmente menos de 50 milisegundos—, pero viable con la arquitectura adecuada.
Fraude de impresiones
Menor valor por evento que el fraude de clics, mayor volumen. El tráfico de bots genera impresiones en inventario por el que paga el anunciante, pero ningún humano ve nunca el anuncio. Las estimaciones del sector sugieren que el 10-20% de las impresiones de todo el ecosistema son fraudulentas.
El mecanismo: los publishers (a menudo publishers fantasma que operan a través de múltiples sitios) generan tráfico de bots para inflar el recuento de impresiones de su inventario. El bot carga la página, el anuncio se sirve, la impresión cuenta, el publisher cobra. El tráfico nunca fue humano.
Las variantes:
- Ad stacking: se sirven varios anuncios en un único espacio. El usuario (si lo había) solo ve el anuncio superior. Los otros 4-10 anuncios de la pila cuentan como impresiones.
- Pixel stuffing: el anuncio se sirve en un iframe de 1×1 píxel. Técnicamente «visible» según la definición del sector. Visible para nadie.
- Fraude de auto-refresco: las páginas actualizan automáticamente los espacios publicitarios a alta frecuencia, generando impresiones en cada refresco. Habitual en sitios de baja calidad que intentan maximizar el recuento de impresiones.
El patrón de defensa que falla: las métricas de viewability por sí solas. Los estándares de viewability del MRC (50% de los píxeles visibles durante 1 segundo) se manipulan con facilidad. Un inventario que «aprueba» la viewability puede seguir siendo fraude de impresiones.
El patrón de defensa que funciona: la evaluación pre-puja de la calidad del tráfico. Identificar si el dispositivo que solicita la impresión es un dispositivo de consumo real o parte de una operación de inflado de inventario.
Fraude de conversiones
Específico del marketing de resultados y las redes de afiliación. El anunciante paga por CPA (coste por adquisición) —normalmente entre 10 y 200 dólares por lead cualificado, registro o venta—. Las operaciones de fraude generan conversiones falsas que parecen lo bastante legítimas como para reclamar los pagos de CPA, pero que nunca producen clientes reales.
El mecanismo: las operaciones de afiliación cosechan leads de brechas de datos previas, rellenan formularios de registro con estas credenciales y reclaman los pagos de CPA. O crean identidades desechables mediante operaciones de identidad como servicio, completan el flujo de conversión y desaparecen.
La economía: las redes de afiliación pagan CPA por conversiones. Las operaciones de fraude generan conversiones a bajo coste marginal. Se reparte la operación entre múltiples anunciantes y redes; cada pérdida individual es lo bastante pequeña como para escapar a un escrutinio detallado, pero el volumen agregado es significativo.
El patrón de defensa que falla: mirar las tasas de conversión de forma aislada. El tráfico fraudulento a menudo produce tasas de conversión de aspecto normal porque el fraude está estructurado para parecer normal.
El patrón de defensa que funciona: el análisis a nivel de dispositivo de las fuentes de conversión. Múltiples leads «diferentes» que provienen de la misma huella de dispositivo son una señal de fraude de afiliación. La vinculación de dispositivos entre clientes atrapa operaciones que abarcan múltiples anunciantes.
Suplantación de dominios
La categoría de fraude que explota de forma más directa el ecosistema de los ad exchanges. El atacante tergiversa el inventario ante los ad exchanges, afirmando que las impresiones ocurren en dominios premium cuando en realidad ocurren en sitios fantasma.
El mecanismo: la solicitud de anuncio incluye metadatos que declaran el dominio de la página. Algunos exchanges y SSP no verifican esto con rigor. El anunciante paga un CPM premium por impresiones en lo que cree que es un publisher de confianza; la impresión en realidad se sirve en un sitio fantasma que comparte los ingresos por CPM con el suplantador.
Las variantes:
- Suplantación de subdominio: declarar impresiones en yourbrand.com cuando están en subdomain.shadowsite.com, que lo imita.
- Suplantación de dominio de app: inventario de apps móviles que afirma ser inventario de apps premium.
- Suplantación de CTV/streaming: impresiones de televisión conectada que se declaran en plataformas de streaming premium.
El patrón de defensa que falla: confiar en el SSP. Muchos SSP tienen una verificación inadecuada de las declaraciones de dominio. La confianza sin verificación es la vulnerabilidad.
El patrón de defensa que funciona: la verificación pre-puja de la autenticidad del inventario. Combinar inteligencia de dispositivos (atrapando el inflado de inventario impulsado por bots), análisis de referrer (atrapando la suplantación de dominios) y auditoría de SSP (confianza selectiva según la calidad de la verificación).
Tráfico inválido sofisticado (SIVT)
La categoría del IAB que captura el fraude más preocupante: tráfico de bots diseñado específicamente para parecer usuarios reales y así evadir la detección. No se trata de bots de clic rudimentarios; es automatización que simula métricas de interacción, completa acciones del embudo y se comporta de forma similar a los humanos.
El mecanismo: operaciones de bots impulsadas por software sofisticado (a menudo agentes basados en LLM en 2026) generan interacción real en los sitios de los anunciantes. Hacen scroll, permanecen en las páginas, navegan por los menús y a veces completan conversiones parciales. La firma de comportamiento se parece lo suficiente a la de los humanos como para que un análisis de comportamiento simple no los atrape.
El patrón de defensa que funciona: la inteligencia a nivel de dispositivo que atrapa la brecha entre la similitud de comportamiento y las diferencias de infraestructura subyacentes. El agente puede comportarse como un humano, pero las características del dispositivo, la red y el entorno lo delatan. La detección multicapa con comprobación de coherencia atrapa lo que el análisis de comportamiento por sí solo pasa por alto.
La brecha de arquitectura que tiene la mayoría de los anunciantes
La mayoría de los anunciantes y publishers usa una o más de estas capas de defensa:
Verificación post-puja (MOAT, IAS, DV, etc.). Analiza las impresiones después de servirlas. Buena para reclamaciones de reembolso e informes de brand safety. No es eficaz para la prevención: el presupuesto ya está gastado.
Listas de bloqueo estáticas. Listas de dominios, IP o características de dispositivo conocidos como fraudulentos. Se eluden simplemente cambiando la firma superficial. La carga de mantenimiento es alta; la eficacia es limitada.
Filtros de los ad exchanges. Filtros pre-puja integrados en el ad exchange o el DSP. La calidad varía drásticamente. Los grandes DSP tienen filtros sofisticados; los más pequeños no.
Análisis del seguimiento de conversiones. Detectar el fraude observando las tasas y la calidad de las conversiones. Atrapa el fraude perezoso; pasa por alto el sofisticado, diseñado para producir tasas de conversión de aspecto normal.
Analítica interna del tráfico. Algunos anunciantes analizan su propio tráfico en busca de patrones de fraude. Útil para atrapar algo de fraude a posteriori; limitada para la prevención.
La brecha: inteligencia en tiempo real, pre-puja, sobre si el inventario es legítimo antes de colocar la puja. Esta es la capa infrainvertida en todo el sector. La arquitectura para implementarla existe, pero no está desplegada de forma generalizada.
Cómo es la inteligencia de dispositivos pre-puja
El patrón de arquitectura:
Del lado del publisher: un SDK en la página captura la huella del dispositivo y las señales de comportamiento mientras la página carga. Los datos del dispositivo se incluyen en los metadatos de la solicitud de puja enviada a los ad exchanges.
En el ad exchange: las solicitudes de puja llevan la carga útil de inteligencia de dispositivos junto con la información estándar del inventario.
Del lado del DSP / anunciante: una llamada de verificación pre-puja contra el servicio de inteligencia de dispositivos. El servicio devuelve un veredicto —probablemente humano, posiblemente bot, probablemente fraude— dentro del presupuesto de latencia pre-puja de 10-50 milisegundos.
Lógica de decisión: el DSP usa el veredicto para decidir si pujar por la impresión. El inventario probablemente humano se puja con normalidad. El inventario probablemente de bots se puja a importes más bajos o se omite por completo. El fraude probable se excluye de forma explícita.
Registro post-puja: el veredicto y las señales se registran junto con la impresión para el análisis posterior al evento, las reclamaciones de reembolso y el ajuste continuo de reglas.
La ventaja: prevención en lugar de reembolso posterior al evento. El anunciante, en primer lugar, no paga por inventario fraudulento, en vez de perseguir reembolsos después.
La restricción de latencia es real. Los presupuestos pre-puja suelen ser de 100ms totales de ida y vuelta, desde el inicio de la subasta hasta la respuesta de puja. Dentro de eso, la llamada de inteligencia de dispositivos debe completarse en 30-50ms para dejar tiempo al resto de la lógica del DSP. Esta es una restricción de ingeniería dura que limita qué arquitecturas de detección son viables en el contexto pre-puja.
Cómo es un despliegue en la práctica
Una plataforma de publicidad programática que sirve unos 100M de impresiones al mes. Estimación previa al despliegue de la tasa de fraude según los benchmarks del sector: 18-25% de las impresiones llegando a bots o a inventario fraudulento.
Arquitectura desplegada:
- SDK de inteligencia de dispositivos en el inventario de los publishers (donde había acceso disponible)
- Llamada de verificación pre-puja del DSP al servicio de verificación
- Integración del veredicto en la lógica de puja con tres umbrales (humano de alta confianza, sospechoso, probablemente fraude)
- Registro post-puja para análisis y reclamaciones de reembolso
Resultados a los 90 días:
- Impresiones de bots reducidas un 78% en el inventario con SDK desplegado
- Tasa de clics aumentada un 31% en el inventario limpio (porque humanos reales veían de verdad los anuncios)
- Tasa de conversión aumentada un 22% en el inventario limpio (porque los clics provenían de usuarios reales)
- Reclamaciones de reembolso a los SSP upstream reducidas un 60% (porque la prevención pre-puja atrapó la mayor parte del fraude antes de que requiriera reembolso)
- Latencia media de puja añadida por la verificación: 32ms (dentro del presupuesto)
- Ahorro directo en fraude evitado: 340,000 dólares al mes a esta escala
Las cuentas del ROI para la plataforma: la infraestructura de verificación costó aproximadamente 4,000 dólares al mes. Ahorro directo: 340,000 dólares al mes. Los beneficios no directos (mejores métricas de rendimiento de campaña, mejor retención de anunciantes, menos tiempo dedicado a gestionar reclamaciones de reembolso) multiplican el valor.
Qué significa esto para su equipo
Si opera en el espacio de la AdTech, tres observaciones:
Observación 1: su tasa de fraude probablemente es mayor de la que muestran los informes. La verificación post-puja atrapa lo que es capaz de identificar. El tráfico inválido sofisticado apunta específicamente a las brechas de la verificación post-puja. La tasa honesta suele ser mayor que la tasa reportada, a veces de forma significativa.
Observación 2: el pre-puja está infrainvertido en todo el sector. La mayoría de las plataformas tiene verificación post-puja porque el sector la ha estandarizado. La verificación pre-puja es la brecha de alto apalancamiento. Las plataformas que la despliegan tienen una ventaja que sus competidores no tienen.
Observación 3: la restricción de latencia de 50ms es una virtud, no un defecto. Las arquitecturas que encajan en el presupuesto de latencia se ven obligadas a ser eficientes. Las que no encajan son rechazadas por los ad exchanges. La restricción produce mejor ingeniería.
Las plataformas que gestionan bien esta transición comparten un patrón: miden la tasa de fraude con honestidad (incluidas las categorías que la verificación post-puja pasa por alto), despliegan verificación pre-puja en cada punto de inventario disponible y tratan la integración como ingeniería continua en lugar de como una selección de proveedor.
Dónde encaja Tracio
La inteligencia de dispositivos de Tracio está diseñada para el despliegue pre-puja en el contexto de la AdTech. La arquitectura cumple el presupuesto de latencia de 50ms que exigen los ad exchanges. La cobertura de señales gestiona las cinco categorías de fraude —fraude de clics, fraude de impresiones, fraude de conversiones, suplantación de dominios y SIVT— a través de una capa de detección unificada.
Los patrones de integración:
- SDK del lado del publisher para la verificación del inventario
- Llamada del lado del servidor del DSP para el veredicto pre-puja
- Uso compartido de señales entre clientes para atrapar operaciones de fraude que abarcan múltiples anunciantes
- Capa de JavaScript polimórfico que rota a diario para resistir la evasión por parte de las operaciones de fraude
El veredicto —probablemente humano, sospechoso o probablemente fraude— se devuelve en menos de 50ms con las señales subyacentes adjuntas. El equipo del DSP lo usa para dirigir la lógica de puja. El equipo del publisher lo usa para filtrar el inventario antes de servirlo.
El plan gratuito cubre 2,500 verificaciones al mes, suficientes para ejecutar un piloto significativo sobre una campaña o un segmento de inventario concreto y medir su tasa real de fraude.
¿Quiere ver cómo es su tasa real de fraude?
Inicie su prueba gratuita — 2,500 verificaciones gratis, sin tarjeta de crédito. Solicite una demo para recorrer con nuestro equipo su escenario concreto de despliegue en AdTech, incluidos los patrones de integración pre-puja y la arquitectura específica del DSP.