Cuidado con el fleeceware

Las aplicaciones con precios inflados atraen a los usuarios de Google Play y App Store con un periodo de prueba gratis y luego realizan cobros por suscripciones de pago incluso cuando ya se han desinstalado.

¿Recuerdas que el asesino a sueldo Vincent Vega, de Pulp Fiction, quería probar un batido solamente porque costaba nada menos que 5 dólares? Pues resulta que se trata de una reacción completamente normal, ya que mucha gente suele asociar automáticamente lo caro con una calidad extraordinaria. Por razones como esta, la gente se interesa en obtener muestras gratis de productos caros, aunque no piensen comprarlo. El problema es que algunos desarrolladores de aplicaciones para smartphones se aprovechan de esta cualidad humana.

El precio de la curiosidad

En septiembre, algunos investigadores de seguridad de la información descubrieron una serie de calculadoras, escáneres de código QR, editores de fotos y demás programas con funciones básicas en Google Play a precios claramente inflados, de hasta 200 euros al mes. Las aplicaciones contaban con varios millones de descargas, si no más.

A los usuarios se les prometía un período de prueba de tres días, pero, al darse cuenta de que el registro era inútil, muchos decidieron simplemente desinstalarlas. Aun así, recibieron el cargo.

¿Cómo sucedió? En primer lugar, las víctimas tuvieron que entregar información de pago en las aplicaciones la primera vez que intentaron ejecutarlas, pues de lo contrario, las aplicaciones ni siquiera arrancaban. Esto permitió que las codiciosas aplicaciones realizaran cargos por concepto de suscripción sin solicitar el consentimiento del usuario.

En segundo lugar, desinstalar la aplicación del dispositivo no es lo mismo que anular la suscripción, lo cual tiene sentido, pues evita que pierdas, por ejemplo, tus listas de reproducción en una aplicación de música si por error la eliminas, restableces la configuración predeterminada o usas dicha aplicación en un nuevo teléfono. Sin embargo, no muchos conocen esta sutil diferencia. E incluso quienes lo saben, a veces se olvidan de cancelar sus suscripciones, lo cual constituye el negocio de los creadores del fleeceware.

¿Malware? Técnicamente no…

En primer lugar, es posible que te preguntes cómo han conseguido acceder estas aplicaciones a Google Play. Pues porque técnicamente esas calculadoras y escáneres QR a precio de oro no violan las normas de la tienda. Realizan la función indicada, no solicitan permisos innecesarios y no contienen código malicioso. En cuanto a los precios de suscripción, actualmente no existen normas que impidan su inclusión en Google Play.

Para muchos países, existe un límite máximo establecido, pero el precio es el mismo para una aplicación de escáner QR o de linterna, que para un editor de vídeos avanzado, el cual bien podría costar todo ese dinero. En estos momentos, el tope máximo en los EE. UU. es de 400 dólares, mientras que en la mayor parte de la Unión Europea y el Reino Unido es un poco menos: 350 euros y 300 libras esterlinas, respectivamente. Si el precio de la suscripción se encuentra por debajo de este límite, la tienda aprueba la aplicación, después son los usuarios los que deciden si hacen ese desembolso para obtener ciertas funciones. Además, ellos serán los únicos culpables por no saber cómo funcionan las suscripciones.

Sin embargo, cuando Google se percató del problema retiró 14 de las 15 aplicaciones infladas de precio en Google Play  y, casi inmediatamente después, los investigadores encontraron otras nueve. Lo más seguro es que las tiendas de aplicaciones principales están repletas de dichos programas.

Fleeceware: un nuevo nombre para un viejo truco

Dichas aplicaciones no se pueden describir como malware, así que se acuñó un nuevo término para ellas: fleeceware. Pese a la novedad del término, el truco (ofrecer un periodo de prueba gratis con una suscripción de pago oculta en la letra pequeña) se conoce desde hace tiempo y no lo aprovechan exclusivamente los desarrolladores de aplicaciones móviles.

Por ejemplo, entre el 2011 y el 2012, un grupo de comerciantes sin escrúpulos distribuyó entre mujeres británicas muestras de crema para la piel, supuestamente gratuitas, y que debían pedirse online. Al hacer el pedido, las usuarias estaban aceptando un cargo mensual de unas 60 o 70 libras esterlinas (alrededor de 80-90 dólares). Este pequeño detalle aparecía en la letra pequeña que pocas se tomaron la molestia de leer.

Fleeceware en iOS

Naturalmente, este problema no es exclusivo de Android; los desarrolladores de aplicaciones fleeceware no han omitido iOS. En el 2017, por ejemplo, se retiró de la App Store una aplicación llamada Mobile Protection: Clean & Security VPN. 50.000 usuarios descargaron la aplicación y por lo menos 200 de ellos decidieron probar la función de VPN por suscripción que estaba en oferta, engañados por la posibilidad de obtener “tres días gratis”. Su curiosidad le costó a cada uno 400 dólares al mes.

No era necesario suscribirse a otras funciones de la aplicación, que de todos modos eran de poca utilidad. Por ejemplo, la aplicación limpiaba el teléfono, pero no los archivos temporales ni las aplicaciones sin usar, sino simplemente los contactos duplicados.

Otro ejemplo de fleeceware para iOS era un escáner de código QR. Cuando se abría la aplicación, esta solicitaba información de pago para suscribirse a un período de prueba gratis y después de tres días comenzó a realizar cobros semanales de 3,99 dólares.

Después de varios incidentes como este, Apple comenzó aplicar restricciones a las aplicaciones que no estipularan adecuadamente sus términos y condiciones de suscripción. Y en iOS13 aparece una advertencia siempre que intentas desinstalar una aplicación con una suscripción activa.

Cómo protegerte del fleeceware

Fleeceware se aprovecha de la curiosidad natural de las personas y de su descuido, así como de su afición por las cosas gratis, combinado con su desgana por revisar con esmero los términos y condiciones de suscripción. Así que, para no caer en la trampa, sospecha de todo aquello que te resulte inusual.

  • No descargues aplicaciones que ofrezcan funciones básicas a precios exagerados o por suscripción. Es muy probable que no haya nada exclusivo en ellas, excepto por el precio.
  • Antes de instalar una aplicación, lee sus valoraciones y las del desarrollador. Es probable que exista información online sobre fraudes relacionados.
  • Si te suscribes por un periodo de prueba gratis y no tienes pensado pagar por la aplicación en el futuro, asegúrate de anular tu suscripción. Puedes hacerlo en la sección de gestión de suscripciones de tu cuenta en Google Play, si tienes Android, o en iTunes, si tienes un iPhone o iPad.
Consejos