Imagina que tienes el control de una página web con 15,000 visitas diarias y un promedio de tres millones de páginas vistas al mes. ¿Cuánto dinero podrías ganar?, ¿Cómo lo harías?
Probablemente la respuesta más idónea para esta interrogante haya sido: colocar publicidad. Y, en efecto, esa es la forma más habitual para capitalizar una página web.
La página en cuestión es la del Sistema de Transporte Colectivo “Metro” de la Ciudad de México. En este punto la idea ya no suena tan factible, ¿cómo podrías colocar publicidad en una página de gobierno? Quizá se pueda insertar un banner patrocinando alguna instancia del mismo gobierno, pero, ¿publicidad en pop ups? Obviamente eso no es algo que se antoje viable….
Pues a “alguien” “con acceso” a la página del Metro esta idea no le sonó tan descabellada y decidió, desde hace 4 años, colocar Ads publicitarios y ganarse “unos cuantos” pesos. ¿Quién es ese “alguien”, cómo consiguió el “acceso”, quién es su “proveedor” y qué ingresos está generando? En este post develaremos estas y otras incógnitas sobre este caso: El #Metrogate.
Las prisas
En Diciembre de 2012 consulté -como diariamente lo hacen miles de personas- la página del metro para ver el mapa de la red; mientras navegaba por la web (y por andar a las carreras) di click en el lugar equivocado y se abrió una ventana emergente (pop up) con publicidad. Me quedé con la duda y más tarde al regresar a casa busqué repetir, sin éxito, los pasos que seguí para que apareciera esa pop up. Días más tarde, desde la computadora del trabajo consulté nuevamente el mapa de estaciones y ¡apareció la pop up! Nuevamente, al querer repetir el procedimiento la ventana no se activaba. Probé desde la computadora del compañero de junto (con su autorización eh!) y también aparecía la publicidad, pero sólo funcionó una vez. Si se analiza el código fuente y los rastros del navegador, se puede llegar a la conclusión de que ese sitio usa cookies y que, si los eliminas, la dichosa publicidad vuelve a aparecer. En otras palabras, la persona que colocó esos ads en la web del Metro configuró las pop ups para que se mostraran sólo una vez por sesión.
Ventana emergente (pop up) en la página oficial de metro de la Ciudad de México
Lo que se presenta a continuación es una auditoría (que pretende ser ilustrativa, mas que exhaustiva) de la página en cuestión.
URL http://www.metro.df.gob.mx/
Dominio http://www. df.gob.mx/
Fecha de análisis: 22/05/2013
Scripts
Con ayuda de las herramientas de desarrollo que proveen los navegadores más usuales, se analizó el código fuente de la web del metro y se obtuvieron los scripts que usan las páginas; entre ellos destacan rápidamente los que hacen alusión a eas.apm.emediate.eu
Scripts de una de las páginas del metro
- El ga.js de Google Analytics indica que el administrador de la página realiza un tracking de las visitas al sitio, para ello utiliza el ID “UA-39057066-1”.
- gotoPage.js es un script alojado internamente y su función es auxiliar en la navegación del sitio.
- c.js es un script de tracking para Motigo, un servicio similar a Google Analytics. Los IDs de rastreo varían dependiendo de la página analizada.
- Los 3 restantes serán los scripts de interés. Tras su análisis, nos damos cuenta de que realizan peticiones a los servidores de Emediate, una empresa danesa con sede en Copenhague que se autoproclama como “líder de tecnología en anuncios publicitarios de la región nórdica”.
Las pop ups de publicidad de Emediate están configuradas para que se activen cada vez que alguien da click dentro de la página, entonces una ventana emergente aparece y redirecciona al usuario a una URL del tipo:
http://eas.apm.emediate.eu/eas?cu=4036;camp=83126;no=102477;ty=ti;EASLink=http://ilead.itrack.it/clients/ext.aspx?cid=16978&sid=114402&wid=5644&swid=emediate_102477_4036_484-28394-4495_0_0_0&targetpage=popup&openpopup=0
De donde obtenemos los siguientes datos:
- Campaign id: 83126
- Content unit id: 4036
- Website id=5644
- Script id=114402
Scripts de fuentes externas al sitio web del metro.
Panel de control para usuaios de Emediate
Cookies
Las pop ups aparecen en casi todas las páginas del sitio, excepto en la página principal y una que otra despistada y lo hacen una sola vez por sesión. Si se borran las cookies del navegador, la ventana pop up aparecerá nuevamente (puedes probar con varios navegadores y el resultado será el mismo).
Cookies de la Web de metro de la Ciudad de México
Aún con esta restricción, notamos que si, por ejemplo, entramos a la página de la “red del metro” y después a la página de la “línea 1”, luego a la de “Atención al Usuario”, etc. la pop up aparecerá una vez en cada una de las páginas visitadas.
Otra de las pop ups con publicidad
El ingreso
La cantidad de visitas para el dominio del GDF es tremenda y el subdominio metro.df.gob.mx no se queda atrás:
- 15,000 visitas diarias.
- 450,000 visitas mensuales.
- 100,000 páginas vistas diariamente.
- 3,000,000 de páginas vistas al mes.
Estadísticas de uso de www.metro.df.gob.mx
*Datos obtenidos de las estadísticas de uso de www.metro.df.gob.mx
Estadísticas de uso de www.metro.df.gob.mx (completas).
Los precios por impresión de pop ups que se consultaron para este post varían entre $250 y $300 dólares por cada cien mil impresiones, por lo que tomaremos el precio promedio de $0.00275 por cada pop up disparada.
Ahora bien, por cada visita, la probabilidad de que un visitante dé click y la pop up aparezca es de 70% (basado en un sondeo vía twitter), también debemos considerar que la probabilidad de que cada visita sea una nueva sesión es de 50% (la pop up se muestra una sola vez al mismo visitante por el efecto de las cookies).
Luego, definimos nuestras variables:
- Click (Probabilidad de que el visitante de click) = 0.7
- PopUp (Probabilidad de que la Pop Up aparezca) = 0.5
- Visitas (Promedio de páginas vistas diariamente) = 100,000
- Ganancia (Por cada pop up disparada) = $0.00275 dólares
Entonces calculamos:
Ganancia diaria = Click × PopUp × Visitas × Ganancia = $96.25 dólares diarios
Como aclaración: al principio se hicieron los cálculos tomando en cuenta las visitas diarias, no las páginas visitadas, esto arrojaba una ganancia de $ 14.43 dólares diarios. Pero al percatamos de que aun en la misma sesión el visitante podía entrar a otra página y generar un nuevo pop up, se decidió tomar las páginas visitadas diariamente para los cálculos. También es importante mencionar que estos cálculos sólo son un estimado, para obtener los valores de ganancia exactos tendíamos que conocer los valores puntuales de cada variable.
¿Quién gana?
Finalmente, responderemos a la pregunta del millón, ¿quién está detrás de esto? Debo confesar que mi primer pensamiento apuntaba al administrador de la página del Metro, alguien que quiso aprovechar la tremenda oportunidad de echarse a la bolsa unos cuantos pesos extra, pero dado que es una página de Gobierno, eso resultaría muy arriesgado para cualquier webmaster.
La otra hipótesis era que la página, el sistema o algún modo de acceso estuvieran comprometidos y que un “hacker” hubiera explotado alguna vulnerabilidad. Ninguna de estas suposiciones fue correcta.
Todas las páginas en las que aparecían los pop ups tenían un elemento en común, un pequeño link para estadísticas en la parte inferior derecha de la página.
Link para las estadísticas de Motigo
Al analizar los scripts que se cargaban en el sitio no le dimos mayor importancia a estos enlaces que a primera vista solo eran un tracking similar a Google Analytics que direccionaba a motigo.com. Al darle un repaso a las Condiciones de servicio, de motigo nos topamos con esto:
Términos generales del servicio para la plataforma motigo
Ni el webmaster del Metro, ni un hacker se estaban beneficiando de esto, era Motigo. De una forma discreta se había favorecido por este pequeño detalle que alguien, por descuido, pasó por alto. Esos $96.25 dólares diarios se estaban yendo a la capital de los Países Bajos: Ámsterdam. ¿Móchense con algo no?
El detalle de estadísticas de Motigo indica que el analizador estuvo colocado desde el 5 de Junio de 2009, aunque no podemos afirmar que desde esa fecha aparecieran las pop ups.
Notas finales
La página del metro es una web de perfil internacional, aunque la mayor parte del tráfico proviene de México, internautas de Alemania, España o Francia visitan el sitio y es inadecuado presentar este tipo de publicidad en sus páginas.
Origen del tráfico para la página del metro
El Sistema de Transporte Colectivo fue alertado desde Diciembre de 2012 sobre este hecho, se insistió en febrero de 2013 y en mayo del mismo año. En las tres ocasiones la cuenta oficial del metro indicó que se estaba trabajando para solucionar el problema. En el último intento, incluso, pusieron un plazo de 24 horas para corregir la inestabilidad.
Hola @stcmetrodf tienen conocimiento de que en en su página web del mapa de estaciones alguien colocó publicidad popup? bit.ly/dhQrWO
— NickOps (@nickops) December 4, 2012
@nickops muchas gracias por la información, se esta revisando, para eliminarlos, estamos pendientes de tu reporte, gracias por la confianza.
— STC Metro D.F.(@STCMetroDF) February 3, 2013
@nickops Tenemos inestabilidad en una aplicación. Los pop ups no aparecen en todos los equipos. En 24h corregimos y monitoreamos. Gracias!
— STC Metro D.F.(@STCMetroDF) May 29, 2013
El plazo se cumplió y el error fue corregido parcialmente, pues aún al 30 de Mayo aparecían pop ups en algunas página como la de “preguntas frecuentes” o “comunicados de prensa” entre otras pero esperamos que sea cuestión de horas para que el sitio quede completamente limpio de estos anuncios. Vaya pues nuestro reconocimiento al área de Sistemas y de Redes Sociales del STC Metro por haber canalizado el reporte y actuado para eliminar la publicidad no autorizada (o que había pasado desapercibida).
¡Felices clicks!
Puzzle Bobble
Karate Blazers
Puzzle De Bloques
Magical Cat Adventure