{"id":19589,"date":"2019-11-12T10:53:43","date_gmt":"2019-11-12T08:53:43","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=19589"},"modified":"2019-11-22T10:45:00","modified_gmt":"2019-11-22T08:45:00","slug":"beware-of-fleeceware","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/beware-of-fleeceware\/19589\/","title":{"rendered":"Cuidado con el fleeceware"},"content":{"rendered":"

\u00bfRecuerdas que el asesino a sueldo Vincent Vega, de Pulp Fiction,<\/em> quer\u00eda probar un batido solamente porque costaba nada menos que 5 d\u00f3lares? Pues resulta que se trata de una reacci\u00f3n completamente normal, ya que mucha gente suele asociar autom\u00e1ticamente lo caro con una calidad extraordinaria. Por razones como esta, la gente se interesa en obtener muestras gratis de productos caros, aunque no piensen comprarlo. El problema es que algunos desarrolladores de aplicaciones para smartphones<\/em> se aprovechan de esta cualidad humana.<\/p>\n

El precio de la curiosidad<\/h3>\n

En septiembre, algunos investigadores de seguridad de la informaci\u00f3n descubrieron una serie de calculadoras, esc\u00e1neres de c\u00f3digo QR, editores de fotos y dem\u00e1s programas con funciones b\u00e1sicas en Google Play a precios claramente inflados,<\/a> de hasta 200 euros al mes. Las aplicaciones contaban con varios millones de descargas, si no m\u00e1s.<\/p>\n

A los usuarios se les promet\u00eda un per\u00edodo de prueba de tres d\u00edas, pero, al darse cuenta de que el registro era in\u00fatil, muchos decidieron simplemente desinstalarlas. Aun as\u00ed, recibieron el cargo.<\/p>\n

\u00bfC\u00f3mo sucedi\u00f3? En primer lugar, las v\u00edctimas tuvieron que entregar informaci\u00f3n de pago en las aplicaciones la primera vez que intentaron ejecutarlas,\u00a0pues de lo contrario, las aplicaciones ni siquiera arrancaban. Esto permiti\u00f3 que las codiciosas aplicaciones realizaran cargos por concepto de suscripci\u00f3n sin solicitar el consentimiento del usuario.<\/p>\n

En segundo lugar, desinstalar la aplicaci\u00f3n del dispositivo no es lo mismo que anular la suscripci\u00f3n, lo cual tiene sentido, pues evita que pierdas, por ejemplo, tus listas de reproducci\u00f3n en una aplicaci\u00f3n de m\u00fasica si por error la eliminas, restableces la configuraci\u00f3n predeterminada o usas dicha aplicaci\u00f3n en un nuevo tel\u00e9fono. Sin embargo, no muchos conocen esta sutil diferencia. E incluso quienes lo saben, a veces se olvidan de cancelar sus suscripciones, lo cual constituye el negocio de los creadores del fleeceware<\/em>.<\/p>\n\n

\u00bfMalware<\/em>? T\u00e9cnicamente no\u2026<\/h3>\n

En primer lugar, es posible que te preguntes c\u00f3mo han conseguido acceder estas aplicaciones a Google Play. Pues porque t\u00e9cnicamente esas calculadoras y esc\u00e1neres QR a precio de oro no violan las normas de la tienda. Realizan la funci\u00f3n indicada, no solicitan permisos innecesarios y no contienen c\u00f3digo malicioso. En cuanto a los precios de suscripci\u00f3n, actualmente no existen normas que impidan su inclusi\u00f3n en Google Play.<\/p>\n

Para muchos pa\u00edses, existe un l\u00edmite m\u00e1ximo establecido,<\/a> pero el precio es el mismo para una aplicaci\u00f3n de esc\u00e1ner QR o de linterna, que para un editor de v\u00eddeos avanzado, el cual bien podr\u00eda costar todo ese dinero. En estos momentos, el tope m\u00e1ximo en los EE. UU. es de 400 d\u00f3lares, mientras que en la mayor parte de la Uni\u00f3n Europea y el Reino Unido es un poco menos: 350 euros y 300 libras esterlinas, respectivamente. Si el precio de la suscripci\u00f3n se encuentra por debajo de este l\u00edmite, la tienda aprueba la aplicaci\u00f3n, despu\u00e9s son los usuarios los que deciden si hacen ese desembolso para obtener ciertas funciones. Adem\u00e1s, ellos ser\u00e1n los \u00fanicos culpables por no saber c\u00f3mo funcionan las suscripciones.<\/p>\n

Sin embargo, cuando Google se percat\u00f3 del problema retir\u00f3 14 de las 15 aplicaciones infladas de precio en Google Play <\/a>\u00a0y, casi inmediatamente despu\u00e9s, los investigadores encontraron otras nueve. Lo m\u00e1s seguro es que las tiendas de aplicaciones principales est\u00e1n repletas de dichos programas.<\/p>\n

Fleeceware<\/em>: un nuevo nombre para un viejo truco<\/h3>\n

Dichas aplicaciones no se pueden describir como malware<\/em>, as\u00ed que se acu\u00f1\u00f3 un nuevo t\u00e9rmino para ellas: fleeceware<\/em>. Pese a la novedad del t\u00e9rmino, el truco (ofrecer un periodo de prueba gratis con una suscripci\u00f3n de pago oculta en la letra peque\u00f1a) se conoce desde hace tiempo y no lo aprovechan exclusivamente los desarrolladores de aplicaciones m\u00f3viles.<\/p>\n

Por ejemplo, entre el 2011 y el 2012, un grupo de comerciantes sin escr\u00fapulos distribuy\u00f3 entre mujeres brit\u00e1nicas muestras de crema para la piel, supuestamente gratuitas,<\/a> y que deb\u00edan pedirse online<\/em>. Al hacer el pedido, las usuarias estaban aceptando un cargo mensual de unas 60 o 70 libras esterlinas (alrededor de 80-90 d\u00f3lares). Este peque\u00f1o detalle aparec\u00eda en la letra peque\u00f1a que pocas se tomaron la molestia de leer.<\/p>\n

Fleeceware<\/em> en iOS<\/h3>\n

Naturalmente, este problema no es exclusivo de Android; los desarrolladores de aplicaciones fleeceware<\/em> no han omitido iOS. En el 2017, por ejemplo, se retir\u00f3 de la App Store<\/a> una aplicaci\u00f3n llamada Mobile Protection: Clean & Security VPN. 50.000 usuarios descargaron la aplicaci\u00f3n y por lo menos 200 de ellos decidieron probar la funci\u00f3n de VPN por suscripci\u00f3n que estaba en oferta, enga\u00f1ados por la posibilidad de obtener \u201ctres d\u00edas gratis\u201d. Su curiosidad le cost\u00f3 a cada uno 400 d\u00f3lares al mes.<\/p>\n

No era necesario suscribirse a otras funciones de la aplicaci\u00f3n, que de todos modos eran de poca utilidad. Por ejemplo, la aplicaci\u00f3n limpiaba el tel\u00e9fono, pero no los archivos temporales ni las aplicaciones sin usar, sino simplemente los contactos duplicados.<\/p>\n

Otro ejemplo de fleeceware<\/em> para iOS era un esc\u00e1ner de c\u00f3digo QR. Cuando se abr\u00eda la aplicaci\u00f3n, esta solicitaba informaci\u00f3n de pago para suscribirse a un per\u00edodo de prueba gratis y despu\u00e9s de tres d\u00edas comenz\u00f3 a realizar cobros semanales de 3,99 d\u00f3lares<\/a>.<\/p>\n

Despu\u00e9s de varios incidentes como este, Apple comenz\u00f3 aplicar restricciones a las aplicaciones<\/a> que no estipularan adecuadamente sus t\u00e9rminos y condiciones de suscripci\u00f3n. Y en iOS13 aparece una advertencia siempre que intentas desinstalar una aplicaci\u00f3n con una suscripci\u00f3n activa.<\/p>\n

C\u00f3mo protegerte del fleeceware<\/em><\/h3>\n

Fleeceware<\/em> se aprovecha de la curiosidad natural de las personas y de su descuido, as\u00ed como de su afici\u00f3n por las cosas gratis, combinado con su desgana por revisar con esmero los t\u00e9rminos y condiciones de suscripci\u00f3n. As\u00ed que, para no caer en la trampa, sospecha de todo aquello que te resulte inusual.<\/p>\n