{"id":15651,"date":"2019-11-08T12:11:08","date_gmt":"2019-11-08T18:11:08","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=15651"},"modified":"2020-04-02T05:38:00","modified_gmt":"2020-04-02T11:38:00","slug":"beware-of-fleeceware","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/beware-of-fleeceware\/15651\/","title":{"rendered":"Cuidado con el fleeceware"},"content":{"rendered":"

\u00bfRecuerdas c\u00f3mo el asesino a sueldo Vincent Vega, de Pulp Fiction,<\/em> quer\u00eda probar una malteada solamente porque costaba nada menos que 5 d\u00f3lares? Y esa es una reacci\u00f3n completamente normal, pues mucha gente suele asociar autom\u00e1ticamente el precio elevado con una calidad sobresaliente. As\u00ed pues, la gente est\u00e1 interesada en obtener una muestra gratis de un producto costoso, incluso si no piensan comprarlo. Algunos desarrolladores de aplicaciones para smartphones<\/em> se aprovechan de esta tendencia humana.<\/p>\n

El precio de la curiosidad<\/h2>\n

En septiembre, algunos investigadores en seguridad de la informaci\u00f3n descubrieron un serie de calculadoras, esc\u00e1neres de c\u00f3digo QR, editores de fotos y dem\u00e1s programas con funciones b\u00e1sicas en Google Play a precios claramente inflados,<\/a> de hasta 200 euros por mes. Las aplicaciones hab\u00edan sido descargadas por varios millones de personas, si no es que m\u00e1s.<\/p>\n

A los usuarios se les prometi\u00f3 un per\u00edodo de prueba de tres d\u00edas. Y al darse cuenta de que no tendr\u00eda caso registrarse en dichas aplicaciones, muchos usuarios decidieron desinstalarlas. Pero aun as\u00ed recibieron un cargo.<\/p>\n

\u00bfC\u00f3mo sucedi\u00f3 esto? En primer lugar, las v\u00edctimas tuvieron que proporcionar sus datos de pago a las aplicaciones la primera vez que intentaron ejecutarlas,\u00a0pues sin esto, las aplicaciones ni siquiera arrancaban. Esto les permiti\u00f3 a las codiciosas aplicaciones realizar cargos por concepto de suscripci\u00f3n sin solicitar el consentimiento del usuario.<\/p>\n

En segundo lugar, desinstalar la aplicaci\u00f3n del dispositivo no es lo mismo que anular la suscripci\u00f3n, lo cual tiene sentido, pues evita que pierdas, por ejemplo, tus listas de reproducci\u00f3n en una aplicaci\u00f3n de m\u00fasica si por error la eliminas, la restableces a la configuraci\u00f3n predeterminada o usas dicha aplicaci\u00f3n en un nuevo tel\u00e9fono. Sin embargo, no muchos est\u00e1n enterados de esta sutil diferencia. E incluso quienes lo saben, a veces se olvidan de cancelar sus suscripciones, lo cual constituye el negocio de los creadores del fleeceware<\/em>.<\/p>\n\n

\u00bfMalware<\/em>? T\u00e9cnicamente no\u2026<\/h3>\n

Puede que te preguntes c\u00f3mo es que, por principio de cuentas, se hayan permitido dichas aplicaciones en Google Play. Pues porque t\u00e9cnicamente esas calculadoras y esc\u00e1neres QR a precio de oro no violan las normas de la tienda. Realizan la funci\u00f3n indicada, no solicitan permisos innecesarios y no contienen c\u00f3digo malicioso. En cuanto a los precios de suscripci\u00f3n, actualmente no existen normas que impidan su inclusi\u00f3n en Google Play.<\/p>\n

Para muchos pa\u00edses, existe un l\u00edmite m\u00e1ximo establecido,<\/a> pero el costo es el mismo para una aplicaci\u00f3n de esc\u00e1ner QR o de linterna, que para un editor de video avanzado, el cual bien podr\u00eda costar todo ese dinero. Al momento de redactar estas l\u00edneas, el tope m\u00e1ximo en los EE. UU. es de\u00a0 400 d\u00f3lares, mientras que en la mayor\u00eda de la Uni\u00f3n Europea y el Reino Unido es un poco menos: 350 euros y 300 libras esterlinas, respectivamente (en M\u00e9xico, es de 7,000 pesos). Si el precio de suscripci\u00f3n se encuentra debajo de este l\u00edmite, la tienda permite la inclusi\u00f3n de la aplicaci\u00f3n, despu\u00e9s de lo cual los usuarios deciden si hacen ese desembolso para obtener ciertas funciones. Y ellos ser\u00e1n los \u00fanicos culpables por no saber c\u00f3mo funcionan las suscripciones.<\/p>\n

Sin embargo, cuando Google cobr\u00f3 conciencia del problema, Google Play retir\u00f3 14 de las 15 aplicaciones con sobreprecio,<\/a>\u00a0y casi inmediatamente despu\u00e9s, los investigadores encontraron otras nueve. Y, en realidad, las tiendas de aplicaciones principales probablemente est\u00e1n repletas de dichos programas.<\/p>\n

Fleeceware<\/em>: un nuevo nombre para un viejo truco<\/h3>\n

Dichas aplicaciones no se pueden describir como malware<\/em>, as\u00ed que se acu\u00f1\u00f3 un nuevo t\u00e9rmino para ellas: fleeceware<\/em>. Pese a la novedad del t\u00e9rmino, la trampa misma (ofrecer un periodo de prueba gratis con una suscripci\u00f3n de pago oculta en la letra chiquita) se conoce desde hace tiempo y no solamente los desarrolladores de aplicaciones m\u00f3viles la aprovechan.<\/p>\n

Por ejemplo, entre 2011 y 2012, un grupo de comerciantes sin escr\u00fapulos distribuy\u00f3 entre mujeres brit\u00e1nicas muestras de crema para la piel, supuestamente gratuitas,<\/a> y que deb\u00edan pedirse en l\u00ednea. Al hacer el pedido, los usuarios obten\u00edan autom\u00e1ticamente un cargo mensual de 60-70 libras esterlinas (alrededor de 80-90 d\u00f3lares). Este peque\u00f1o detalle aparec\u00eda en la letra chiquita que pocos se tomaron la molestia de leer.<\/p>\n

Fleeceware<\/em> para iOS<\/h3>\n

Naturalmente, este problema no es exclusivo de Android; los desarrolladores de aplicaciones fleeceware<\/em> no han omitido iOS. En 2017, por ejemplo, se retir\u00f3 de la App Store una aplicaci\u00f3n llamada Mobile Protection: Clean & Security VPN. La aplicaci\u00f3n fue descargada por 50,000 usuarios, y por lo menos 200 de ellos decidieron probar la funci\u00f3n VPN por suscripci\u00f3n que estaba en oferta, enga\u00f1ados por la posibilidad de obtener \u201ctres d\u00edas gratis\u201d. Su curiosidad le cost\u00f3 a cada uno 400 d\u00f3lares por mes.<\/p>\n

No era necesario suscribirse a otras funciones de la aplicaci\u00f3n, que de todos modos eran de poca utilidad. Por ejemplo, la aplicaci\u00f3n limpiaba el tel\u00e9fono, pero no de archivos temporales ni de aplicaciones sin usar, sino simplemente los contactos duplicados.<\/p>\n

Otro ejemplo de fleeceware<\/em> para iOS era un esc\u00e1ner de c\u00f3digo QR. Cuando se abr\u00eda la aplicaci\u00f3n, la aplicaci\u00f3n solicitaba los datos de pago para suscribirse a un per\u00edodo de prueba gratis y despu\u00e9s de tres d\u00edas comenz\u00f3 a realizar cobros semanales de 3.99 d\u00f3lares <\/a>\u00a0.<\/p>\n

Despu\u00e9s de varios incidentes como \u00e9ste, Apple comenz\u00f3 aplicar restricciones a las aplicaciones<\/a> que no estipularan adecuadamente sus t\u00e9rminos y condiciones de suscripci\u00f3n. Y en \u00a013, una advertencia emerge siempre que intentas desinstalar una aplicaci\u00f3n con una suscripci\u00f3n activa.<\/p>\n

C\u00f3mo protegerte del fleeceware<\/em><\/h2>\n

Fleeceware<\/em> se aprovecha de la curiosidad natural de las personas y su falta de cuidado, as\u00ed como su gusto por las cosas gratis, combinado con su desgana por revisar con cuidado los t\u00e9rminos y condiciones de suscripci\u00f3n. As\u00ed que, para no morder el anzuelo, cond\u00facete con suspicacia ante todo lo que sea inusual.<\/p>\n