La tentación para los desarrolladores de extensiones de Chrome open source
(github.com/extesy)- El mantenedor de Hover Zoom+ publicó las ofertas de monetización y adquisición que recibió entre 2015 y 2026, y afirmó que las ha rechazado para no vender a sus usuarios
- Las ofertas repiten formas de convertir en dinero los permisos del navegador y la base de usuarios: venta de datos anónimos de usuarios, monetización del tráfico de búsqueda, inserción de enlaces de afiliados, anuncios y cupones, instalación de SDK o adquisición de la extensión
- Aunque las propuestas enfatizan “anonimato”, “sin datos personales”, “sin impacto en la UX” y “cumplimiento de las políticas de Google”, también piden datos de comportamiento como errores DNS, GEO, DAU/MAU, URL, referrer, browsing behavior, clickstream y consultas de búsqueda
- El mantenedor explica que, como Hover Zoom+ tiene unos 400 mil usuarios en varios navegadores y funciona en todas las páginas, crea una gran superficie de ataque y potencial de ingresos para actores maliciosos
- En los comentarios se plantean métodos prácticos para reducir el riesgo de las extensiones: revisar el código fuente, revisar la lista de permisos, mirar la pestaña de privacy practices en Chrome Web Store, leer reseñas recientes, verificar solicitudes de red y limitar Site Access a “On Click”
La preocupación planteada por el mantenedor
- El mantenedor de Hover Zoom+ dijo que durante años recibió muchas propuestas para monetizar la extensión y que las publica “por diversión, no por beneficio”
- Explica que la principal razón por la que sigue manteniéndola es que sería difícil confiar en que otra persona no caiga en este tipo de ofertas si se la entregara
- Dice que tiene un trabajo suficientemente bien pagado como para conservar su “brújula moral” e ignorar las propuestas
- Como no todos los desarrolladores tienen la misma estabilidad financiera, espera que este hilo muestre la presión económica que reciben los desarrolladores de extensiones
Tipos recurrentes de propuestas de monetización
- Muchas ofertas se acercan diciendo que la base de usuarios de Hover Zoom+ en Chrome Web Store puede generar “ingresos importantes”
- Las modalidades que aparecen repetidamente son las siguientes:
- Recopilar datos anónimos de usuarios para venderlos como segmentación publicitaria, investigación de mercado, business intelligence o datos de clickstream
- Agregar búsquedas de Bing, Yahoo, Google o un search lander/feed para repartir ingresos por consultas de búsqueda y clics en anuncios
- Insertar store logos, affiliate links o enlaces “Sponsored” en resultados de organic search para cobrar comisión cuando haya compras
- Insertar formatos publicitarios como coupon, cashback, PopUnder, in-text, new tab, search injection o in-image monetization
- Agregar un SDK o unas pocas líneas de JS para integrar funciones de recopilación de datos o exhibición de anuncios en la extensión
- Comprar la extensión completa o transferir la Chrome extension ownership sin transferir la cuenta de Google
- Algunas propuestas enfatizan una monetización poco visible para el usuario, con expresiones como “soft to hard methods”, “invisible monetization methods” o “does not interfere with UX”
Datos y montos mencionados en las propuestas
- Una propuesta de 2015 decía que, si no monetizaban anonymous user data, podían estar “dejando pasar mucho dinero”, y mencionaba redes publicitarias aprobadas por NAI e IAB
- Una propuesta de investigación de errores DNS de 2016 pedía los siguientes datos:
- NXD, es decir, dominios que el usuario ingresó pero que no existen
- Hora del evento
- GEO
- Un ID de usuario aleatorio único que, según afirmaban, podía hashearse y no permitía rastrear al usuario
- En propuestas posteriores a 2020 se repiten elementos como GEO, usuarios activos diarios y mensuales, clasificación de intereses, URL, referrer, country, timestamp, browsing behavior, clickstream y browser history
- Los montos ofrecidos varían mucho:
- Oferta de compra de la extensión en 2016: US$14,500
- Oferta de integración de una analytics platform en 2020: US$2,000/mes
- Oferta de monetización de búsqueda en 2020: afirmaba que, con 300,000 usuarios, era posible llegar a US$9,000 diarios
- Oferta de integración de un SDK de data marketplace en 2021: US$30,000/año
- Oferta de datos en 2023: hasta US$20K/mes
- Oferta de clickstream data partnership en 2024: US$30,000~US$40,000/mes
- Oferta de compra en 2024: US$30,000
- Oferta de compra en 2025: US$0.05~US$0.15 por usuario
- Una propuesta de monetización por suscripción de fines de 2024, partiendo de una base de más de 400,000 usuarios y una conversión del 5%, daba como ejemplos unos US$19,800/mes con US$0.99/mes, unos US$99,800/mes con US$4.99/mes y unos US$199,800/mes con US$9.99/mes
Respuestas del mantenedor y criterios de evaluación
- Sobre por qué no publica los nombres de las empresas, respondió que algunas pueden ser ricas y operar legalmente, y que no quiere asumir el riesgo de demandas
- Explica que los anuncios emergentes son fáciles de notar para el usuario y de resolver desactivando la extensión responsable, pero que los métodos sigilosos pueden durar mucho más tiempo
- Sobre la telemetría, el mantenedor dice que desde la perspectiva del usuario ve un equilibrio entre utilidad e intrusión del seguimiento, pero desde la perspectiva del desarrollador, no incluir ningún tracking permite llegar al público más amplio y evita discusiones sobre el grado de anonimización
- Ante la observación de que el nombre Hover Zoom+ se confunde con Hover Zoom, que tuvo polémicas pasadas por malware, respondió que su objetivo no es captar a todos los usuarios; más de 300 mil personas ya le encontraron valor, y al ser una extensión gratuita y sin ingresos no va a dedicar tiempo a cambiarle el nombre ni a aportar pruebas adicionales
- En un comentario de 2023, el mantenedor resumió en dos puntos por qué Hover Zoom+ es valiosa:
- Unos 400 mil usuarios sumando todos los navegadores
- Está activa en todas las páginas, no solo en sitios específicos
- Explica que la combinación de estos dos factores crea una gran superficie de ataque potencial sobre los usuarios finales y significa un gran potencial de ingresos para actores maliciosos
Señales de riesgo para usuarios y desarrolladores
- Un comentario señala que, después de que una extensión es adquirida, la siguiente versión puede incluir adware o un botnet script, y que puede operar sin pedir permisos adicionales gracias a los permisos ya existentes
- Otro comentario explica que algunas ofertas de datos podrían estar vinculadas a la venta de datos de usuarios con fines de AdTech/RTB, y enlaza material de Privacy International sobre adtech
- Sobre la propuesta que pedía datos de errores DNS, un comentario interpreta que la intención podría ser registrar dominios con errores tipográficos comunes o dominios vencidos para interceptar la navegación de los usuarios
- Un comentario que menciona el caso de The Great Suspender señala que algunas transacciones no buscan instalar un SDK, sino transferir el repositorio o la propiedad de la extensión
- Una de las propuestas de 2026 mencionaba permisos de you.com, lectura del contenido de páginas, captura de keystrokes, envío a servidores externos, acceso a session cookies y patrones de recopilación de browsing history, pero la nota del mantenedor agrega que Hover Zoom+ no hace eso y que muestra qué datos quiere comprar esa empresa
Cómo comprobar si una extensión fue monetizada
- El mantenedor dice que el método más confiable es leer el código fuente
- Además, propone las siguientes señales para revisar:
- Verificar en la pestaña de privacy practices de Chrome Web Store si el desarrollador declara que no recopila ni usa datos
- Comprobar si hay public source
- Revisar si la lista de permisos de la extensión pide permisos sospechosos que no coinciden con su funcionalidad
- Revisar si en las reseñas recientes de usuarios hay patrones repetidos de quejas sobre el comportamiento
- Consultar estimaciones de riesgo en sitios como chrome-stats
- El mantenedor agrega que todas estas señales pueden manipularse, así que sirven más para detectar problemas que para “probar inocencia”
- Otro comentario sugiere que, como leer el código fuente puede ser difícil por Webpack y herramientas similares, puede ser más fácil revisar las solicitudes de red que hace la extensión
- El mismo comentario explica que también hay que revisar las solicitudes del background o service worker, y que como muchas extensiones se ejecutan en todas las páginas más de lo necesario, una opción es limitar el Site Access de Chrome a “On Click”
Reacción de la comunidad y debate posterior
- Varios comentarios apoyan que el mantenedor no haya vendido a sus usuarios y que haya hecho públicas las propuestas
- Un usuario dice que hace falta más conciencia entre usuarios y desarrolladores de extensiones sobre estas prácticas
- El mantenedor responde que la situación alrededor de las extensiones maliciosas ya es bastante mala y que más gente debería saberlo
- Ante un comentario de que el tema apareció en Hacker News, el mantenedor dijo que espera inspirar a otros desarrolladores a tomar una “stand”
- Un desarrollador de extensiones comentó que, con 170 mil usuarios, también recibió muchas propuestas similares, y que aunque eran tentadoras siendo un estudiante universitario con poco dinero, monetizó de otras formas no invasivas
1 comentarios
Opiniones de Hacker News
ChatGPT for Google estuvo en el puesto n.º 1 de HN a principios de este año, pero si miran ahora el repositorio de GitHub, esa extensión ya fue vendida.
Yo también tenía una extensión gratuita como proyecto paralelo con unas 25,000 instalaciones, y recibí bastantes mensajes de gente que quería “ayudarme a monetizarla”.
Así que sentí que valía la pena ordenar todas esas vías de monetización sospechosas: https://mattfrisbie.substack.com/p/the-ugly-business-of-mone...
La industria de la tecnología publicitaria es, en general, un sector realmente repulsivo.
Con ese dinero, el problema del enganche de una casa se vuelve mucho más pequeño.
Siempre es bueno tener claro dónde está tu línea ética.
Está claro que muchas de estas propuestas basura están automatizadas.
Son del estilo: “Soy fan de [extension name] y me encanta lo práctica y útil que es.
¿Has considerado ofrecer espacio promocional a personas que quieran promocionar sus productos en la extensión? Me gustaría promocionar mi extensión en [extension name] y quisiera hablar sobre esta posibilidad.
Avísame si te interesa.”
Como referencia, la extensión JSON Formatter [0], que probablemente algunos de ustedes usan, es mía.
La creé hace 12 años, la publiqué como open source, la he mantenido hasta ahora y [1] actualmente tiene 2 millones de usuarios.
Juro solemnemente que nunca agregaré código que envíe datos a ningún lado, ni se la entregaré a alguien que vaya a hacer algo así.
He recibido varias ofertas tentadoras en efectivo de personas sospechosas que parecían querer robar los datos de todos, o hacer algo peor.
A veces pienso que ojalá no le hubiera puesto mi nombre. Si no lo hubiera hecho, quizá podría haber aceptado el dinero sin dañar mi reputación.
Pero como le puse mi nombre, no me queda más que conservar el honor. Aun así, la ventaja es que siempre puedo decir que nunca la vendí.
[0] https://chrome.google.com/webstore/detail/json-formatter/bcj...
[1] Para ser sincero, tampoco le he dedicado mucho esfuerzo.
Era de una sola línea, así que no había nada que cambiar.
Pero Chrome Web Store la retiró después de más de 5 años, probablemente porque nunca publicaron una actualización y algunos campos que ahora eran obligatorios quedaron vacíos.
Es admirable que no la hayas vendido.
Me pregunto si has considerado empezar a hacer públicas estas ofertas de compra, como hago yo.
Claramente estás aportando valor al mundo y, según mi marco moral, deberías tener derecho a recuperar parte de ese valor sin hacer nada sospechoso.
Soy fundador de Streak, y nosotros monetizamos directamente nuestra extensión, igual que otros como Grammarly.
Me pregunto si alguna vez les has pedido directamente a los usuarios que paguen por el esfuerzo invertido.
En esta industria parece que cada día es más difícil mantener un sentido ético fuerte.
O no sé si simplemente lo meten a escondidas.
Al menos me gustaría ver una notificación emergente que sirva como señal de alerta.
Soy el mantenedor.
Mi extensión es, en la práctica, casi imposible de monetizar, así que cualquier oferta que reciba requiere cierto grado de sacrificio moral.
La propuesta menos invasiva que he visto hasta ahora fue poner dentro de mi extensión enlaces recíprocos hacia otras extensiones, parecido a lo que hace DarkReader en su sitio web.
Aunque eso no viole los datos de los usuarios, la razón por la que no lo hago es que equivaldría a respaldar indirectamente esa otra extensión, y no tengo control sobre cómo ellos manejan los datos de los usuarios.
Si esto crece, ayuda a romper esa percepción común, aunque no siempre se diga en voz alta, de que “todos terminan vendiéndose”.
Ahora no uso Chrome, pero antes me encantaba Hover Zoom+, y mi esposa todavía lo usa mucho.
Es una extensión excelente, y después de leer este comentario y el issue de GitHub enlazado, me siento más tranquilo.
En ese momento me pasé a imagus y me adapté.
En cualquier caso, gracias por rechazar los intentos de monetización.
No conozco la solución a este problema, pero sí conozco algunas empresas legítimas y confiables que, mientras ya monetizan a los usuarios con dinero real, venden los datos de los usuarios por unas 20 libras al año
Yo nunca haría eso porque la invasión de la privacidad va en contra del núcleo de mis convicciones, pero hay un conflicto que no se resuelve
Por un lado, sé que la gran mayoría de los usuarios prefiere vender su privacidad antes que pagar un solo centavo
En cualquier momento estarían dispuestos a hacer clic en el botón “vender mis datos” antes que en el botón “pagar”
Puedo decir que lo sé porque he tratado con suficientes usuarios
Muchos usuarios arman un escándalo si algo no es gratis, pero no pierden el sueño por entregar su información personal
Claro, hablo en general de la mayoría
Por otro lado, quiero que internet sea un lugar donde los actores inescrupulosos no prosperen
En el mundo real, la mayoría no espera obtener cosas gratis; ¿por qué internet tendría que ser distinto?
¿Por qué todos, incluyéndome, siempre buscamos lo gratis en internet?
Lo peor es que, al final, los únicos dispuestos a gastar dinero en línea son los ladrones de datos y los anunciantes
Los demás están entregando su alma
Se espera que los desarrolladores trabajen gratis para que toda esta estructura se mantenga
Además, la expresión “datos” suele ser opaca para el usuario común
Regulaciones como las de la UE y California deberían obligar precisamente a eso
Si se presentara la opción como: “Estos son los datos que tenemos sobre usted: incluyen a,b,c,d... producto de un rastreo espeluznante. Si nos permite invadir su privacidad de varias maneras, le damos gratis este pequeño adorno. O pague x pesos”, ¿cuánta gente elegiría la invasión de privacidad?
Una parte considerable de internet es, de una forma u otra, comunicación
En el mundo real también obtenemos mucha comunicación gratis
Más bien me pregunto por qué todos asumen que internet es una plataforma para hacerse rico vendiéndoles baratijas a indígenas ignorantes
Algunas cosas quizá funcionen mejor sin fines de lucro
Parece que Firefox ya tiene algo así (https://mzl.la/3Acn4DU)
No conozco auditores para extensiones de Chrome
Bastaría con que una organización o grupo confiable, como Google o Mozilla, auditara extensiones y las “certificara” como libres de malware
Además, las extensiones deberían ser 100% de código abierto, y aunque la organización de confianza se viera comprometida o no hiciera bien su trabajo, al final se descubriría y la gente dejaría de usarlas
Por supuesto, no es perfecto
El adware podría quedar oculto incluso para el auditor, o el auditor podría haber sido comprometido sin que nadie lo supiera
Como las extensiones con mucho código complejo cuestan más dinero y tiempo, incluso extensiones populares sin ningún problema podrían no lograr certificarse
Los cambios también tendrían que auditarse siempre, lo que retrasaría y desincentivaría las actualizaciones
Un último problema que es fácil pasar por alto es que el auditor podría tener un sesgo para aprobar ciertas extensiones, por ejemplo las que pagan
Si el código es demasiado difícil de leer o está al fondo de la cola de revisión, quizá no se apruebe; y el criterio de “demasiado difícil de leer” y la posición en la cola pueden verse fácilmente influidos por dinero
Aun así, las extensiones web son software más apto para auditoría que otras apps
En general son mucho más pequeñas y simples, requieren menos usuarios y operan en un ámbito de altísima confianza: toda la navegación web, incluidos bancos y sitios confidenciales
Comparadas con apps de teléfono en sandbox o programas en modo usuario en una computadora, el daño sigue existiendo, pero es mucho menor
Si pagas por algo, de todos modos entregas información de identidad
El intercambio de valor está claramente inclinado hacia un lado, pero si para obtener X tienes que compartir tu identidad y además pagar, entonces perdiste dinero y también compartiste tu identidad
Si compartes tu identidad y obtienes X gratis, al menos no pierdes dinero
En la realidad, normalmente estás entre pagar y aun así vender datos, o usar gratis y vender muchísimos datos
La mayoría de los servicios pagos también especifica en sus políticas de privacidad, términos y acuerdos de usuario cómo venden tus datos
En el mejor de los casos, solo puedes esperar que, al estar menos desesperados por flujo de caja, sean un poco más selectivos con a quién se los venden
Pero el impacto para el usuario es mayor
Ahora tienen tu tarjeta de crédito, dirección, nombre real y número de teléfono, y todo eso es vulnerable a hackeos y filtraciones
Como además es más difícil falsificar esa información que con una cuenta gratuita, los datos recopilados valen más, y por lo tanto la tentación también es mayor
Además, los servicios pagos tienen sistemas de suscripción hostiles al consumidor, llenos de dark patterns
Si no te gustan y quieres cancelar, te lo hacen innecesariamente engorroso, e incluso las pruebas gratis exigen tarjeta de crédito
También hay muy poca transparencia sobre a dónde va realmente el dinero
Muchos servicios operan con pérdidas, y las cuotas de los clientes son solo fachada; el dinero real viene de inversionistas
Para algunas empresas, el modelo pago es casi un disfraz, y la verdadera salida podría ser que las adquiera un agregador de datos después de reunir datos durante años
Del otro lado también hay gente que pesca incautos con precios ridículamente inflados
Por estas razones, la opción de pagar está contaminada por la desconfianza, y no es solo porque los consumidores sean tacaños y se crean con derecho a todo
La desconfianza puede estancar rápidamente cualquier mercado
Aun así, no culpo demasiado a la industria
Como en California en 1848, es difícil culpar a quien recoge el oro que está tirado por ahí
El verdadero problema es que no hay herramientas, infraestructura ni marcos regulatorios que permitan a los usuarios ver y controlar cómo se usan sus datos
Si la gente realmente quiere vender sus datos en vez de pagar, que se lo permitan
Pero actualmente la mayoría de los usuarios no sabe exactamente qué datos se recopilan ni cuánto valen
No están en condiciones de decidir racionalmente que es mejor comprar una app de 5 dólares que sufrir minería de datos por valor de 20 dólares
Lo molesto es cuando las apps ocultan la monetización de datos, la vuelven obligatoria o no ofrecen una forma de usar el servicio sin dar consentimiento
En especial, son peores los servicios donde ni siquiera puedes elegir no participar
Por ejemplo, mi trabajo acaba de adoptar el servicio “The Work Number” de Equifax, así que, cree o no una cuenta, mis datos ya están ahí.
Lo peor es que, si no creo una cuenta, queda la posibilidad de que alguien intente crearla para recopilar más información, independientemente de mi voluntad.
Sea lo que sea que la gente elija hacer con sus propios datos, no siento ninguna obligación moral de imponerles mi punto de vista.
Si alguien realmente está de acuerdo y quiere ahorrarse 20 dólares, o el dinero que esos datos valgan dentro de la app, quitarle esa opción solo porque yo no estoy de acuerdo con cómo manejan la información de privacidad no es muy distinto de imponerle algo por la misma razón.
Para mí, la diferencia importante es si yo obtengo un beneficio de eso, pero si en cada caso existe la opción de elegir, en realidad no cambia mucho la forma en que el usuario sopesa la situación.
Si operas un sitio web, te siguen llegando correos como estos:
“Hola,
Quería preguntar si aceptan contribuciones de guest posts o inserciones de enlaces en artículos existentes. Si es posible, me gustaría conocer mejor sus lineamientos y los temas de interés.
Gracias por su tiempo. Quedo atento a su respuesta.
Saludos.”
Esto claramente es spam masivo. Mi sitio ni siquiera tiene blog.
En mi sitio también hay algunas descargas de software para Windows, y de vez en cuando recibo correos sospechosos proponiendo bundles de instaladores.
La mayoría son servicios de proxy residencial que quieren vender acceso a la conexión de Internet del usuario.
Le meten tanto contexto que parece una persona real, al final te hacen perder mucho tiempo y, sinceramente, duele bastante.
Dedicamos mucho tiempo a compartir material, y estas conexiones falsas generan mucho rechazo.
Últimamente nos llegó una oleada de correos tipo “lista de nominados a premios” escritos por IA, con mucho contexto profundo.
Básicamente dicen que, con un pago fácil, te considerarán como candidato a un premio.
Solo que siempre se olvidan de ajustar el tema: no operamos un servicio de seguridad de software, sino que tratamos sobre web scraping.
Creo que la IA va a matar la comunicación por correo entre desconocidos.
Cada vez cansa más.
El cargo que ponen al final me da risa.
“Asunto: Encontré una vulnerabilidad de seguridad en su sitio web.
Hola equipo,
Soy Harris, investigador de seguridad, y encontré una vulnerabilidad de seguridad en su sitio web fuera de un programa de bug bounty.
Puedo revelar todas las vulnerabilidades que encontré, así como las formas adecuadas de corregirlas, para que puedan hacer que el sitio web sea más seguro.
Las empresas a las que he ayudado siempre han sido generosas y me han recompensado con la cantidad que consideraron adecuada para los problemas que encontré. Si valoran mi ayuda, con gusto recibiré un bono por PayPal, Bitcoin, Payoneer o transferencia bancaria.
Quedo atento a una respuesta positiva.
Gracias,
Harris A
Certified Ethical Hacker”
Los operadores de TOR conocen los riesgos de compartir conexiones, en particular el riesgo de que pedófilos usen ese servicio para compartir CSAM.
Pero la gente común no lo sabe.
No tiene idea hasta que un día la arrestan.
Yo también recibo estos correos, pero como administro un sitio de WordPress, estaba convencido de que estos tipos hacían fingerprinting de sitios web y solo enviaban correos a sitios de WordPress.
Así que tenía en mi lista de pendientes revisar si podía ocultar la huella de WordPress.
Pero al ver que dices esto, está claro que no serviría de mucho.
En retrospectiva, era evidente que estos spammers simplemente iban a mandarlo masivamente a todo el mundo.
El problema de fondo aquí es que no hay una forma legítima de monetizar extensiones de navegador.
Como las extensiones están hechas para ser simples, es difícil vender funciones premium y, por lo general, tampoco tienen un espacio propio donde poner anuncios.
https://developer.chrome.com/docs/webstore/money/
“En los 11 años desde que lanzamos Chrome Web Store, la web evolucionó muchísimo. En ese momento, queríamos ofrecer a los desarrolladores una forma de monetizar sus elementos de Web Store. Pero desde entonces el ecosistema creció, y ahora los desarrolladores tienen muchas opciones de procesamiento de pagos disponibles.”
Los actores maliciosos que envían estos correos están dispuestos a pagar por el valor que les aportan los datos de los usuarios.
Esos dos números no tienen ninguna relación entre sí, y en muchos casos el valor de los datos de los usuarios es mucho mayor que el valor de la funcionalidad de la extensión.
No hay forma de resolver este problema con monetización,
porque los dos posibles clientes no están comprando el mismo producto.
La mayoría de las extensiones son simples y, de hecho, no necesitan actualizaciones.
Pero el mecanismo de actualización es silencioso, totalmente automático y sin rollback.
Ni siquiera Steam se me ocurre con actualizaciones tan agresivas.
Yo opero una API de licencias de software, y tenemos varios clientes de extensiones de navegador con bases de usuarios bastante decentes.
Como en cualquier otro canal de distribución, existen oportunidades de monetización.
Esta propuesta es interesante porque parece inofensiva, e incluso podría parecer útil.
Dicen que es monitoreo de errores DNS; ¿qué se me está escapando?
“Probablemente recibas propuestas de negocios con frecuencia, así que iré directo al grano. Espero que lo que propongo sea un poco distinto y que de hecho pueda resultarte interesante. Creo que Hover Zoom+ es una excelente alternativa a su hermano mayor, Hover Zoom, que ha perdido atractivo en los últimos meses.
Estamos realizando una investigación sobre errores DNS y nos interesa una pequeña cantidad de datos anónimos que quizá podrías proporcionar a través de tu extensión de Chrome. Nuestra investigación lleva años en marcha y Google nunca ha planteado ningún problema.
Los datos que nos interesan son básicamente solo errores DNS:
Eso es todo. Puedes usar nuestro script o recopilar los datos tú mismo y enviarlos a un servidor FTP, API, etc. Hay muchas formas. Pagamos mensualmente, y el monto depende del GEO de los usuarios, pero sería del orden de varios miles de dólares al año.
¿Valdría la pena conversarlo, aunque sea brevemente? Quedo atento a tu respuesta.
Hace poco te contactamos en relación con la investigación de errores DNS que realiza nuestra empresa. Hover Zoom+ sería un medio ideal para nuestro estudio. A cambio, podría convertirse en una nueva fuente sólida de ingresos para ti.
Nuestro método lleva años funcionando y nunca hemos tenido problemas con Google. Pagamos de forma recurrente, mensualmente. Para ti sería del orden de decenas de miles de dólares al año, y el monto depende de tu base de usuarios y de la calidad de los datos.
Si te preocupa incluir un script de terceros, todavía hay muchas maneras de lograrlo.
Por favor, avísame si valdría la pena conversarlo, aunque sea brevemente.”
Por ejemplo, dominios que la gente escribe mal con frecuencia.
No es ilegal, pero aun así suena un poco sospechoso.
Miran dominios que los usuarios escriben mal con frecuencia y que reciben respuestas NX, para registrarlos y poner anuncios, hacer phishing, etc.
Por lo tanto, en el mejor de los casos hay algún interés comercial, y en el peor podría ser algo dañino para los usuarios.
No es difícil escribir un script que por fuera parezca hacer una cosa, mientras transporta en secreto otra información.
¿Por ejemplo, escribir una mala función hash? Pan comido.
Siempre hay que seguir el gradiente de ATP.
Si incluso una extensión con unos 300 mil usuarios recibe tantas propuestas agresivas como esta, me pregunto qué tan intensas serán las propuestas para extensiones que llegan a millones de personas.
Los incentivos del ecosistema de extensiones parecen estar completamente desalineados.
El buzón oficial de Ruffle también está lleno de propuestas como estas.
Las sumas ofrecidas por una extensión gratuita y de software libre son tan grandes que solo puedo pensar que los compradores quieren meterle un montón de malware que no haga que Google o Mozilla[0] la bloqueen de inmediato.
Personalmente, creo que no debería permitirse la transferencia de propiedad de extensiones sin aprobación y verificación previa de la nueva estructura de propietarios.
Las publicaciones nuevas no tienen reseñas ni confianza, así que transferir una extensión existente debería ser deliberadamente más difícil que crear una extensión nueva.
Lo digo como alguien que a veces sufre en carne propia el dolor práctico de estas políticas[1], y que sabe lo molesto que es pasar por trámites burocráticos.
El mercado clandestino de compra y venta de extensiones es increíblemente sospechoso y trata la confianza de los usuarios con demasiada ligereza.
[0] Lamentablemente, nuestra publicación en AMO ya está marcada como código generado por máquina, porque usamos Rust/WASM. Por eso, el envío de la extensión solo se aprueba cuando Mozilla puede reproducir nuestra compilación byte por byte.
[1] https://ruffle.rs/blog/2023/04/23/mozilla-extension-postmort...
Me recuerda a un plan sucio que se me ocurrió en la secundaria.
Llegué hasta el paso 2 y decidí detenerme ahí.
Es realmente difícil distinguir qué comportamiento es intencional y cuál no.
Recuerdo que hace años, cuando entré a un servidor, intenté encontrar un plugin de motd que solo mostrara un mensaje.
Encontré uno lo bastante simple, pero estaba enviando un ping a casa para buscar actualizaciones.
Puede que el desarrollador quisiera incluir una función útil, pero mi lado cínico cree que quería obtener la dirección IP de los servidores que ejecutaban ese plugin.
También tenía comandos de depuración no autenticados y podía imprimir el contenido de cualquier archivo motd dentro de la carpeta.
Pero no escapaba correctamente las cadenas, así que con
../...se podía salir del directorio e imprimir cualquier archivo.No sé si el autor llegó a explotarlo de verdad o si era un chico ingenuo de 14 años escribiendo su primer plugin.
Si pretendía explotarlo, tampoco sé qué archivo quería imprimir, pero definitivamente era muy sospechoso.
Varias personas pudieron acceder a WorldEdit, modo creativo, comandos de administrador, etc.
Más allá de los viejos servidores anárquicos, la comunidad actual de mods de Minecraft está sufriendo varios ataques a la cadena de suministro, vulnerabilidades de deserialización y más.