Con las “señales resilientes” de Facebook, la vigilancia publicitaria evoluciona

O cómo Facebook elude tus protecciones contra el tracking, con la complicidad de los anunciantes

Publicado por Pixel de Tracking el 3 de agosto de 2021

La publicidad, producto de Facebook

Los resultados financieros de Facebook son muy claros: más del 98 % de sus ingresos provienen de la publicidad. Aquí Facebook dispone de 2 palancas de crecimiento:

  • Aumentar la oferta: es decir, brindar más oportunidades publicitarias a los anunciantes.
  • Aumentar la demanda: es decir, convencer a los anunciantes existentes de que aumenten sus presupuestos publicitarios, y captar nuevos anunciantes.

Aumentar la oferta: tu tiempo de cerebro disponible

La forma más directa de aumentar la oferta publicitaria es captar nuevos usuarios. Como se indica en esta nota interna, Facebook aplicó esta estrategia de crecimiento a toda costa de forma extrema:

Eso puede ser malo si lo convierten en algo negativo. Quizá cueste una vida al exponer a alguien al acoso. Quizá alguien muera en un atentado terrorista coordinado con nuestras herramientas.

[...] La cruda verdad es que creemos tan profundamente en conectar a las personas que cualquier cosa que nos permita conectar a más personas con más frecuencia es de facto buena. Es quizá el único terreno en el que las métricas sí cuentan la verdadera historia, en lo que a nosotros respecta.

Otra palanca, diversificarse mediante la compra de aplicaciones existentes. Así, en 2012 Facebook adquirió Instagram, sus usuarios y su saber hacer:

Instagram

Zuckerberg sobre la adquisición de Instagram: Facebook gana tiempo para incorporar a sus apps los mecanismos de crecimiento de Instagram (por entonces, por delante en lo móvil y en las fotos).

Incrementar la oferta publicitaria también pasa por la monetización del inventario de terceros: Facebook propone a las apps utilizar su red publicitaria, la "Facebook Audience Network", a cambio de una comisión. Ten en cuenta que la monetización del inventario de terceros depende de la capacidad de leer los datos del usuario de Facebook, y esa es sin duda una de las razones que empujaron a Facebook a cerrar su red publicitaria en la web móvil. Mediante Intelligent Tracking Prevention (ITP), los usuarios de Safari cuentan con protecciones contra el seguimiento de Facebook en sitios de terceros.

Tener miles de millones de usuarios en Facebook o Instagram no basta, hay que volverlos dependientes, cueste lo que cueste. He aquí un buen resumen de Robin Kelly, representante estadounidense por Illinois:

El modelo de negocio de tus plataformas es bastante sencillo: mantener a los usuarios enganchados. Cuanto más tiempo pasa la gente en las redes sociales, más datos se recolectan y más anuncios segmentados se venden. Para generar esa interacción, las plataformas de redes sociales amplifican el contenido que capta la atención. Pueden ser vídeos de gatos o fotos de vacaciones, pero con demasiada frecuencia se trata de contenido incendiario, con teorías de la conspiración o violencia. Los algoritmos de las plataformas pueden canalizar activamente a los usuarios desde lo convencional hacia lo marginal, sometiéndolos a contenido más extremo, todo para mantener su interacción.

Última palanca, mostrar cada vez más publicidad (frente a las publicaciones de tus amigos y de las páginas que sigues). Si aún sigues en Instagram, habrás notado la invasión progresiva de los anuncios en tu feed y en las stories. Instagram se ha puesto a la altura de Facebook, y probablemente hemos llegado al punto de saturación. Aunque Facebook e Instagram no tengan realmente competidores, la presión publicitaria está al máximo.

Aumentar la demanda: consumismo y propaganda

No basta con ofrecer numerosas oportunidades publicitarias, aún hay que convencer a los anunciantes de la eficacia de la publicidad en las aplicaciones de Facebook y en su red de socios. Facebook tiene varios puntos fuertes: su capacidad de dirigirse a una gran parte de la población en distintos momentos del día, sus múltiples criterios de segmentación, así como sus formatos publicitarios “nativos”. Pero el punto clave es la rentabilidad: Facebook debe demostrar que hace ganar dinero a los anunciantes, y no al revés.

¿Cómo optimiza Facebook una campaña publicitaria? Aquí hay un proceso estándar:

  1. Al iniciar la campaña publicitaria sin segmentación a priori: esto permite llegar a los usuarios y probar los mensajes publicitarios.
  2. Luego observando las conversiones: con el fin de comprender las características de los usuarios que logran el objetivo del anunciante, los mensajes publicitarios más efectivos, el mejor momento y contexto para entregar la publicidad, etc.
  3. Y por último, segmentando a usuarios similares: los “lookalikes” o “audiencias similares” en la jerga de la adtech.

Así, la eficacia de las campañas publicitarias de Facebook está estrechamente ligada a la información que posee sobre sus usuarios, así como a su capacidad para medir correctamente las conversiones.

gerente

Por defecto, el anunciante indica su objetivo, su presupuesto y su mensaje; el algoritmo de Facebook gestiona la segmentación automáticamente.

Muy a menudo, Facebook conoce de antemano el tipo de usuarios al que dirigirse porque el anunciante le ha enviado una lista de clientes llamada "audiencia personalizada" y le ha pedido que se dirija a usuarios similares.

audiencia

El anunciante puede dejar que Facebook encuentre las audiencias adecuadas, subir una "audiencia personalizada" o introducir manualmente criterios de segmentación. Verá al instante una estimación del número de personas alcanzadas.

Dicho así puede parecer casi inocente, pero la segmentación de Facebook contribuyó a la victoria de Trump en 2016. El algoritmo de Facebook no se limita a optimizar las campañas publicitarias, también favorece la difusión de propaganda a gran escala y, por tanto, representa una grave amenaza para las democracias.

Facebook te vigila, en todas partes

Sobre sus aplicaciones

El gran público conoce la aplicación de Facebook. Pero también es propietario de las aplicaciones Instagram y WhatsApp, que se encuentran entre las más utilizadas del mundo. Facebook también tiene un pie en el futuro con Oculus, su plataforma de realidad virtual, en la que también le gustaría difundir publicidad. Cada una de tus interacciones se explota para volverte dependiente y monetizar tu atención.

Llegados a este punto, puedes eliminar tus cuentas de Facebook e Instagram, migrar tus contactos de WhatsApp a Signal y no comprar unas gafas Oculus. Una trampa con Facebook e Instagram: no basta con desactivar tus cuentas, hay que eliminarlas de verdad.

En cualquier otro lugar

Lo que el público en general no sabe es que Facebook también te vigila en otros lugares. La lista de herramientas puestas a disposición de terceros es interminable, y estas vienen con una contrapartida: permitir que Facebook recopile cada vez más información sobre ti, para su propio uso.

A continuación se muestran algunos ejemplos, no exhaustivos:

La mayoría de los sitios y aplicaciones utilizan al menos una de las herramientas de Facebook. Y como rara vez te piden tu opinión, Facebook a menudo es consciente de lo que estás haciendo, esto incluso si no tienes una cuenta de Facebook o Instagram. El anuncio de vídeo de Apple para App Tracking Transparency es un buen ejemplo del lado invasivo de Facebook.

Desde principios de 2020, y en respuesta a múltiples escándalos, Facebook permite a sus usuarios tomar conciencia de su actividad "fuera de Facebook" y desvincularla de sus cuentas:

fuera del sitio

No se deje engañar por la propaganda de Facebook, "a veces" significa "normalmente".

Disociar la actividad no significa eliminarla de los servidores de Facebook... La empresa conserva todas tus interacciones, pero deja de asociarlas a tu cuenta. Ten en cuenta que Facebook no te lo pondrá fácil: para disociar tus actividades, tendrás que:

Sería demasiado bonito si fuera un poco más visible y en un solo paso... como en tu cuenta de Google, por ejemplo:

historia

Google, el otro gran vigilante, te hace la vida un poco más fácil.

Evidentemente, ni Facebook (ni Google) eliminan tu actividad: es demasiado valiosa. Simplemente se trata de dejar de asociarla a tu cuenta.

¿Y si no tienes cuenta de Facebook ni de Instagram? Facebook te vigila igualmente: tiene tus datos de contacto a través de las libretas de direcciones que ha podido aspirar de tus amigos, y conserva celosamente tus actividades en la web, en las apps y fuera de línea. ¿Qué interés tiene esto para su modelo publicitario?

  • Facebook mide el impacto de sus anuncios comparando las tasas de conversión entre las personas expuestas al anuncio y las no expuestas.
  • Podrías estar expuesto a anuncios de la Facebook Audience Network en aplicaciones de terceros.
  • De forma más general, tu comportamiento permite al algoritmo de Facebook mejorar sus modelos predictivos.

La vigilancia, amenazada

Como los usuarios de Internet son cada vez más conscientes de la protección de la privacidad, la vigilancia fuera de las aplicaciones de Facebook se vuelve más difícil. Vamos a estudiar cómo Facebook se adapta y se comunica con los anunciantes, a través del libro blanco "Why you should leverage Facebook's resilient signals", coescrito con la agencia francesa Fifty-Five.

¿Por qué comunicarse con los anunciantes? Facebook necesita cómplices para vigilarte fuera de su app: los anunciantes deben utilizar correctamente las herramientas que Facebook pone a su disposición para que tus datos personales lleguen de forma correcta y duradera (las famosas "señales resilientes") hasta el ogro de Menlo Park.

En primer lugar, ¿por qué estaría en peligro la vigilancia de Facebook fuera de sus aplicaciones? Por tres razones, según Facebook y Fifty-Five:

desmoronarse

¿Qué impacto tendrá en las campañas publicitarias de los anunciantes?

impacto

Los rastreadores actuales de Facebook, pixels y otros SDK, unas señales poco resilientes. También vemos la oportunidad para que Facebook extienda su vigilancia a lo que haces fuera de línea.

Como podemos ver:

  • Facebook puede seguir midiendo lo que haces en sus apps (Facebook, Instagram).
  • Facebook tiene dificultades para medir lo que haces en los sitios y apps de los anunciantes: debido a las protecciones de los navegadores y a los bloqueadores de publicidad, los antiguos rastreadores de Facebook son cada vez menos eficaces.
  • Facebook solo tiene una visión muy parcial de lo que haces fuera de línea.

¿Por qué esta visión parcial resulta problemática para los anunciantes? Aquí Facebook y Fifty-Five deben explicar por qué sería necesaria una vigilancia generalizada:

preciso

Aquí, Facebook intenta tranquilizarte con criterios de segmentación muy genéricos. En realidad, tu perfil publicitario es increíblemente más detallado.

Medir el rendimiento publicitario es esencial. Si Facebook tiene acceso a menos conversiones (compras, registros, instalaciones, etc.), su algoritmo dispondrá de menos información sobre los criterios que funcionan (perfiles de usuario, mensaje publicitario, contexto publicitario), lo que reducirá la eficacia de su publicidad. El anunciante podría tener que pagar más por un resultado menor.

¿Cómo asustar a los anunciantes? Si no permiten que Facebook te vigile lo suficientemente bien, sus campañas publicitarias dejarán de funcionar correctamente:

logro

¿“Agujeros” en la medición entre los anunciantes? Un desastre según Facebook...

Si el anunciante no llena estos “huecos” de medición, estas son las consecuencias:

  • Menos conversiones atribuidas a Facebook: algunas conversiones no se medirán, los informes mostrarán campañas publicitarias menos eficaces de lo que realmente son, con un coste de adquisición de clientes mayor.
  • Una campaña publicitaria realmente menos eficaz: Facebook tendrá menos información para optimizar la campaña.
  • Una información imperfecta: como consecuencia, el anunciante desconfiará de los informes de eventuales futuras campañas publicitarias.

“Señales resilientes”, o cómo Facebook elude tus protecciones

¿Cómo permite Facebook que los anunciantes llenen estos “huecos”? A través de lo que él llama “señales resilientes”:

resiliente

Con tu bloqueador de anuncios, ¿pensaste que estabas protegido de la vigilancia invasiva de Facebook? Error...

Con la complicidad de los anunciantes, así es como Facebook elude sus protecciones:

Cuando Apple fuerza a Facebook a publicar anuncios más respetuosos con tu privacidad

La herramienta de medición agregada de eventos (también llamada AEM): permite a Facebook medir la eficacia de las campañas publicitarias de forma agregada (256 campañas publicitarias como máximo, sin seguimiento individual) cuando el usuario ha rechazado el seguimiento de Facebook o Instagram en iOS (vía ATT). Es una herramienta inspirada en la solución de Apple, Private Click Measurement de WebKit o PCM, y es la única solución respetuosa con la privacidad ofrecida por Facebook.

Conociendo a Facebook, esto podría sorprenderte: ¿por qué no vigilar en la web a los usuarios de iOS que han rechazado el rastreo en las apps de Facebook o Instagram? Porque en sus directrices para desarrolladores de aplicaciones, Apple es muy claro:

El seguimiento se refiere al acto de vincular los datos de usuario o de dispositivo recopilados desde tu aplicación con los datos de usuario o de dispositivo recopilados desde aplicaciones, sitios web o propiedades fuera de línea de otras empresas, con fines de publicidad segmentada o de medición publicitaria

Si Facebook infringiera esta regla, correría el riesgo de ser expulsado de la App Store. Puedes profundizar en el tema con el artículo "Understanding Facebook's updated iOS14 advertising guidance".

¿Y por qué no utilizar PCM directamente? Misterio, Facebook solo declara:

Nuestra solución es similar a la herramienta de medición privada de clics de Apple. No obstante, responde a algunos casos de uso clave de los anunciantes que Apple no contempla.

Ten en cuenta que si rechazas el seguimiento de Facebook o Instagram a través de la ventana iOS ATT, Facebook declara reflejar esta elección en el tratamiento de los eventos enviados a través de la Conversions API:

Los eventos enviados a Facebook a través de Conversions API también se procesarán de acuerdo con los límites definidos por la herramienta de medición agregada de eventos.

¿Cómo trata Facebook los eventos de las otras "señales resilientes" (la correspondencia avanzada y las conversiones fuera de línea)? Misterio...

Cabe señalar que Facebook también puede ser fuente de propuestas cuando se trata de plantear estándares publicitarios que respeten mejor la privacidad. Algunas discusiones entre ingenieros de Apple y de Facebook (en concreto, John Wilander y Ben Savage) permiten en ocasiones superar el conflicto Apple vs. Facebook, con propuestas que responden a los casos de uso publicitarios preservando al mismo tiempo la privacidad de los internautas:

Las evoluciones de los navegadores para proteger mejor la privacidad se debaten en el "Privacy Community Group" del W3C, el organismo encargado de coconstruir los estándares de la web. Facebook desempeña aquí, pues, su papel: intentar influir en la evolución de los navegadores para limitar el impacto en su negocio publicitario. Y para ello, Facebook debe resultar creíble ante los ingenieros de Apple, de Firefox o de Brave. Estos tienen como primer principio el respeto a la privacidad de los internautas (los ingenieros de Chrome suelen tener el sesgo publicitario de Google).

Sobre el tema del W3C y esta guerra de influencia, lee el excelente artículo "Concern trolls and power grabs: Inside Big Tech's angry, geeky, often petty war for your privacy".

Las elusiones ilustradas, ejemplos de campañas publicitarias

Para ilustrar el impacto de las "señales resilientes", Facebook y Fifty-Five dan 2 ejemplos.

El usuario ve un anuncio pero no hace clic

Primer caso: el usuario ve un anuncio en Facebook, no hace clic en él, pero luego va al sitio del anunciante para rellenar un formulario. Un centro de llamadas le devolverá la llamada y, finalmente, se registrará.

ejemplo1

Dado que el navegador de este usuario (Safari o Firefox, por ejemplo) bloquea las cookies de terceros de Facebook, el rastreador de Facebook (pixel) no puede leer el identificador de usuario de Facebook en el sitio web del anunciante. Por lo tanto, Facebook no es capaz de establecer el vínculo entre la exposición publicitaria del usuario y su navegación en el sitio del anunciante.

Pero cuando el usuario rellena el formulario, el anunciante puede llamar a la Conversions API o usar la correspondencia avanzada para la web. Así puede enviar a Facebook los datos personales de identificación del formulario (nombre, dirección de correo electrónico, número de teléfono, etc.) y este puede establecer así el vínculo con la cuenta del usuario. Del mismo modo, tras el registro del usuario por teléfono, el anunciante utilizará la Conversions API para transmitir el registro a Facebook.

El usuario hace clic en un anuncio

Segundo caso: el usuario está en Safari, hace clic en un anuncio de Facebook y luego consulta la página de un producto del anunciante 8 días después, para finalmente comprar fuera de línea.

ejemplo2

Cuando el usuario hace clic en el anuncio de Facebook, este consigue depositar una cookie first-party en el sitio del anunciante. El Facebook pixel instalado en el sitio del anunciante recupera, en efecto, el identificador de clic fbclid contenido en el parámetro de URL, y lo almacena en la cookie first-party _fbc. Ten en cuenta que Safari bien podría eliminar estos parámetros de seguimiento, como ya viene haciendo Brave desde el año pasado.

Desde 2019 y la actualización ITP 2.1, Safari elimina las cookies creadas del lado del cliente al cabo de 7 días (aquí, la cookie _fbc creada por el Facebook pixel). Cuando el usuario visita la página de producto del anunciante después de 8 días, Facebook ya no puede establecer el vínculo con el clic inicial, no reconoce al usuario.

Facebook y Fifty-Five indican la solución: el requisito previo es recurrir al etiquetado del lado del servidor, como el de Google Tag Manager, que permite crear una cookie HTTP a través de la cabecera HTTP Set-Cookie y, así, eludir la vida útil de 7 días de las cookies del cliente.

El siguiente paso es configurar la Conversions API para que funcione con Google Tag Manager, una acción ya muy bien documentada por Facebook y por Simo Ahava.

Así, cuando el usuario consulta la página de producto, se llama a Google Tag Manager con una cookie first-party permanente, la correspondencia con el identificador de clic fbclid queda bien registrada y el contenedor de servidor de Google Tag Manager puede llamar correctamente a la Conversions API de Facebook para transmitir la información. “Beneficio” adicional: ¡eludir los bloqueadores de anuncios! Después, cuando el usuario compra en tienda, el anunciante utiliza la herramienta de conversiones fuera de línea para transmitir a Facebook las compras del usuario.

Las chuletas de la vigilancia

Para empujar a los anunciantes a adoptar sus "señales resilientes", Facebook ha aprovechado el notable trabajo de Fifty-Five. Así, el libro blanco contiene fichas resumen de cada “señal”.

ecosistema

Un resumen de las diferentes “señales resilientes”.

La Conversions API

Aquí tienes la chuleta para el equipo de marketing:

capi

Facebook y Fifty-Five recomiendan instalar la Conversions API en paralelo con el Facebook pixel y, por lo tanto, recopilar los eventos tanto del lado del cliente como del servidor.

La Conversions API permite así eludir las protecciones de navegadores como Safari (límite de 7 días para las cookies creadas en javascript). También permite eludir los bloqueadores de anuncios cuando se usa junto con el etiquetado del lado del servidor. Por último, esta API permite transmitir información fuera de línea, como la puntuación del usuario.

Aquí tienes la chuleta para el equipo técnico:

capi2

Cabe destacar en particular el siguiente consejo: "CAPI is a way to secure data for sensitive sector (Bank, Insurance, ...)". Y sí, tus datos bancarios o de seguros se filtran a Facebook, pero no te preocupes, ¡la conexión es segura! Una vez más, se hace todo lo posible para facilitar la filtración de todas tus interacciones, en particular a través de integraciones nativas:

  • Tag Managers para tus interacciones con el sitio del anunciante
  • Plataformas de eCommerce, CRM y Customer Data Platforms para tus compras e interacciones fuera de línea.

Se destaca una integración nativa con el Tag Manager de Google:

servidor

La integración de la Conversions API con el Server-Side Tagging de Google Tag Manager es destacada por Facebook, como indica Simo Ahava.

La correspondencia avanzada

Aquí tienes la chuleta para el equipo de marketing:

correspondencia1

Esta opción permite eludir el bloqueo de las cookies de terceros por parte de los navegadores y filtrar tus datos personales incluso si nunca has hecho clic en un anuncio de Facebook. En efecto, el anunciante envía a Facebook tus datos personales de identificación, lo que le permite vincularlos con tu cuenta de Facebook.

Entre las limitaciones, observamos:

  • "Although cookie-less, it is key you collect consent from users": ¿consideran Facebook y Fifty-Five que tu consentimiento no es necesario con las otras "señales resilientes"?
  • "If you work in sensitive sectors such as Banking, a heavier setup is required": hay que recurrir entonces a la correspondencia avanzada manual y no automática, es decir, configurar tú mismo el pixel (IMG) para enviar los datos personales de identificación, en lugar de dejar que el Facebook pixel (javascript) recupere automáticamente los campos correctos del formulario.

Aquí tienes la chuleta para el equipo técnico:

correspondencia2

Nada nuevo, salvo el recordatorio de que hay que utilizar la correspondencia avanzada manual para los sectores "sensibles".

Las conversiones fuera de línea

Aquí tienes la chuleta para el equipo de marketing:

fuera de línea1

Nada nuevo todavía, solo la constatación de que la vigilancia continúa fuera de línea, apoyándose en tus datos personales de identificación (nombre, correo electrónico, número de teléfono, etc.).

Aquí tienes la chuleta para el equipo técnico:

fuera de línea2

Una vez más podemos señalar que el anunciante puede importar él mismo las conversiones fuera de línea, o recurrir a uno de los numerosos socios de Facebook. El capitalismo de vigilancia de Facebook funciona gracias a un vasto ecosistema.

La herramienta de medición agregada de eventos (AEM)

Aquí tienes la chuleta para el equipo de marketing:

aem

Esta configuración permite al anunciante y a Facebook "limitar los daños" con los usuarios de iOS que rechazan el seguimiento. Facebook recibe información de rendimiento agregada, lo que le permite optimizar las campañas publicitarias.

Cabe señalar que Facebook puede perfectamente aprender de las campañas que se ejecutan en Android y de los usuarios de iOS que aceptan el seguimiento, para comprender mejor qué funciona y qué no (perfiles de usuario y mensajes publicitarios), y así optimizar las campañas dirigidas a los usuarios de iOS que rechazan el seguimiento.

Facebook y Google, los pioneros de la adtech

Como hemos podido ver, Facebook ha implementado una serie de herramientas para eludir tus protecciones y vigilarte mejor: las “señales resilientes”. Estas herramientas se ofrecen a los anunciantes, llave en mano, con una documentación completa:

El complejo de vigilancia de Facebook es impresionante, pero Google no se queda atrás. La Conversions API de Facebook puede apoyarse en la infraestructura del Server-Side Tagging de Google Tag Manager para eludir bloqueadores de anuncios y protecciones de los navegadores. Y Google hace evolucionar su propia vigilancia siguiendo el modelo de la Conversions API con su "seguimiento avanzado de conversiones".

Lamentablemente, estas nuevas prácticas serán una fuente de inspiración para otros actores de la publicidad, lo que hará la vigilancia publicitaria aún más omnipresente y difícil de evitar.

¿Qué podemos hacer? Esta carrera armamentista (marketing de vigilancia versus navegadores y bloqueadores de publicidad) no es suficiente, nunca protegerá a los menos informados. Por lo tanto, necesitamos prohibir la publicidad segmentada directamente en la ley: