Cuidado con el fleeceware

8 Nov 2019

¿Recuerdas cómo el asesino a sueldo Vincent Vega, de Pulp Fiction, quería probar una malteada solamente porque costaba nada menos que 5 dólares? Y esa es una reacción completamente normal, pues mucha gente suele asociar automáticamente el precio elevado con una calidad sobresaliente. Así pues, la gente está interesada en obtener una muestra gratis de un producto costoso, incluso si no piensan comprarlo. Algunos desarrolladores de aplicaciones para smartphones se aprovechan de esta tendencia humana.

Las aplicaciones con sobreprecio atraen a los usuarios de Google Play y App Store mediante un periodo de prueba gratis y luego realizan cobros por suscripciones de pago incluso cuando ya se han desinstalado.

El precio de la curiosidad

En septiembre, algunos investigadores en seguridad de la información descubrieron un serie de calculadoras, escáneres de código QR, editores de fotos y demás programas con funciones básicas en Google Play a precios claramente inflados, de hasta 200 euros por mes. Las aplicaciones habían sido descargadas por varios millones de personas, si no es que más.

A los usuarios se les prometió un período de prueba de tres días. Y al darse cuenta de que no tendría caso registrarse en dichas aplicaciones, muchos usuarios decidieron desinstalarlas. Pero aun así recibieron un cargo.

¿Cómo sucedió esto? En primer lugar, las víctimas tuvieron que proporcionar sus datos de pago a las aplicaciones la primera vez que intentaron ejecutarlas, pues sin esto, las aplicaciones ni siquiera arrancaban. Esto les permitió a las codiciosas aplicaciones realizar cargos por concepto de suscripción sin solicitar el consentimiento del usuario.

En segundo lugar, desinstalar la aplicación del dispositivo no es lo mismo que anular la suscripción, lo cual tiene sentido, pues evita que pierdas, por ejemplo, tus listas de reproducción en una aplicación de música si por error la eliminas, la restableces a la configuración predeterminada o usas dicha aplicación en un nuevo teléfono. Sin embargo, no muchos están enterados de esta sutil diferencia. E incluso quienes lo saben, a veces se olvidan de cancelar sus suscripciones, lo cual constituye el negocio de los creadores del fleeceware.

¿Malware? Técnicamente no…

Puede que te preguntes cómo es que, por principio de cuentas, se hayan permitido dichas aplicaciones en Google Play. Pues porque técnicamente esas calculadoras y escáneres QR a precio de oro no violan las normas de la tienda. Realizan la función indicada, no solicitan permisos innecesarios y no contienen código malicioso. En cuanto a los precios de suscripción, actualmente no existen normas que impidan su inclusión en Google Play.

Para muchos países, existe un límite máximo establecido, pero el costo es el mismo para una aplicación de escáner QR o de linterna, que para un editor de video avanzado, el cual bien podría costar todo ese dinero. Al momento de redactar estas líneas, el tope máximo en los EE. UU. es de  400 dólares, mientras que en la mayoría de la Unión Europea y el Reino Unido es un poco menos: 350 euros y 300 libras esterlinas, respectivamente (en México, es de 7,000 pesos). Si el precio de suscripción se encuentra debajo de este límite, la tienda permite la inclusión de la aplicación, después de lo cual los usuarios deciden si hacen ese desembolso para obtener ciertas funciones. Y ellos serán los únicos culpables por no saber cómo funcionan las suscripciones.

Sin embargo, cuando Google cobró conciencia del problema, Google Play retiró 14 de las 15 aplicaciones con sobreprecio, y casi inmediatamente después, los investigadores encontraron otras nueve. Y, en realidad, las tiendas de aplicaciones principales probablemente están repletas de dichos programas.

Fleeceware: un nuevo nombre para un viejo truco

Dichas aplicaciones no se pueden describir como malware, así que se acuñó un nuevo término para ellas: fleeceware. Pese a la novedad del término, la trampa misma (ofrecer un periodo de prueba gratis con una suscripción de pago oculta en la letra chiquita) se conoce desde hace tiempo y no solamente los desarrolladores de aplicaciones móviles la aprovechan.

Por ejemplo, entre 2011 y 2012, un grupo de comerciantes sin escrúpulos distribuyó entre mujeres británicas muestras de crema para la piel, supuestamente gratuitas, y que debían pedirse en línea. Al hacer el pedido, los usuarios obtenían automáticamente un cargo mensual de 60-70 libras esterlinas (alrededor de 80-90 dólares). Este pequeño detalle aparecía en la letra chiquita que pocos se tomaron la molestia de leer.

Fleeceware para iOS

Naturalmente, este problema no es exclusivo de Android; los desarrolladores de aplicaciones fleeceware no han omitido iOS. En 2017, por ejemplo, se retiró de la App Store una aplicación llamada Mobile Protection: Clean & Security VPN. La aplicación fue descargada por 50,000 usuarios, y por lo menos 200 de ellos decidieron probar la función VPN por suscripción que estaba en oferta, engañados por la posibilidad de obtener “tres días gratis”. Su curiosidad le costó a cada uno 400 dólares por mes.

No era necesario suscribirse a otras funciones de la aplicación, que de todos modos eran de poca utilidad. Por ejemplo, la aplicación limpiaba el teléfono, pero no de archivos temporales ni de aplicaciones sin usar, sino simplemente los contactos duplicados.

Otro ejemplo de fleeceware para iOS era un escáner de código QR. Cuando se abría la aplicación, la aplicación solicitaba los datos de pago para suscribirse a un período de prueba gratis y después de tres días comenzó a realizar cobros semanales de 3.99 dólares  .

Después de varios incidentes como éste, Apple comenzó aplicar restricciones a las aplicaciones que no estipularan adecuadamente sus términos y condiciones de suscripción. Y en  13, una advertencia emerge siempre que intentas desinstalar una aplicación con una suscripción activa.

Cómo protegerte del fleeceware

Fleeceware se aprovecha de la curiosidad natural de las personas y su falta de cuidado, así como su gusto por las cosas gratis, combinado con su desgana por revisar con cuidado los términos y condiciones de suscripción. Así que, para no morder el anzuelo, condúcete con suspicacia ante todo lo que sea inusual.

  • No descargues aplicaciones que ofrezcan funciones básicas a precios exagerados o por suscripción. Es altamente probablemente que no haya nada exclusivo en ellas, excepto por el precio.
  • Antes de instalar una aplicación, lee las reseñas que tiene y la del desarrollador. Es probable que exista información en línea sobre fraudes relacionados.
  • Si te suscribes por un periodo de prueba gratis y no planeas pagar por la aplicación en el futuro, asegúrate entonces de anular tu suscripción. Puedes hacer esto en la sección de gestión de suscripciones de tu cuenta en Google Play, si tienes Android; o en iTunes, si tienes un iPhone o iPad.