La revista india Dígito revela en su edición de noviembre de 2007 que Google AdSense contiene fallos de seguridad. Manish Arora, un indio especializado en seguridad informática, encontró un medio de engañar a AdSense y ganar rápidamente miles de dólares. Lo que afirma, en su blog particular, se ha confirmado por el equipo de Dígito que informó de la falta a Google, que no se lo tomó en serio.

Esta situación pone en peligro los intereses de los usuarios de AdWords. ¿Cómo encotró ésto? En primer lugar consultó numerosos artículos sobre el mecanismo de “Pay Per Click”, incluido el informe del Dr. Tuzhilin (profesor en sistemas de información de la escuela de comercio Stern de Nueva York), que valora los esfuerzos de Google en cuanto a lucha contra el click fraudulento.

Después de eso, analizó el código Javascript utilizado por Google para indexar su publicidad, y encontró una manera de simular el comportamiento humano relativo a la generación de clicks y las impresiones de páginas, con un radio aceptable de sitios geográficos (direcciones IP) y siendo capaz de ganar varios miles de dólares en su cuenta de Adsense. Sin ningún click realizado por un ser humano.

Al observar el funcionamiento del sistema de Adsense fue capaz de mostrar cómo la publicidad se generaba desde sus servidores y cómo podía simular este proceso desde su propio servidor con un script que escribió.

Manish Arora escribió a Google “Estaría contento de proporcionarles el mecanismo completo, llevará una hora, producir miles de dólares al mes con Adsense.” Quisiera explicar este modelo a uno de sus representantes . Un responsable de seguridad de Google le respondió: “Estamos investigando su petición . Hasta ahora, la única información que podemos comprobar es que su cuenta fue suspendida automáticamente por nuestro sistema en respuesta a los clicks fraudulentos. Este comportamiento es el exactamente previsto por el sistema. Al proporcionarnos el código y todos los detalles técnicos del método que menciona haremos más investigaciones sobre el asunto.”

¿Por qué hizo eso? Dice que hizo todo eso para informar del fallo a Google y no retiró dinero de su cuenta ya que sus intenciones no eran malas. En cuanto contactó con Google, se canceló la cuenta. ¿Automáticamente? Eso queda por probar.

Manish Arora reveló cómo lo ha hecho en su blog, podéis leerlo aquí.