4 puntos por GN⁺ 2023-08-10 | 1 comentarios | Compartir por WhatsApp
  • El mantenedor de Hover Zoom+ publicó las ofertas de monetización y adquisición que recibió entre 2015 y 2026, y afirmó que las ha rechazado para no vender a sus usuarios
  • Las ofertas repiten formas de convertir en dinero los permisos del navegador y la base de usuarios: venta de datos anónimos de usuarios, monetización del tráfico de búsqueda, inserción de enlaces de afiliados, anuncios y cupones, instalación de SDK o adquisición de la extensión
  • Aunque las propuestas enfatizan “anonimato”, “sin datos personales”, “sin impacto en la UX” y “cumplimiento de las políticas de Google”, también piden datos de comportamiento como errores DNS, GEO, DAU/MAU, URL, referrer, browsing behavior, clickstream y consultas de búsqueda
  • El mantenedor explica que, como Hover Zoom+ tiene unos 400 mil usuarios en varios navegadores y funciona en todas las páginas, crea una gran superficie de ataque y potencial de ingresos para actores maliciosos
  • En los comentarios se plantean métodos prácticos para reducir el riesgo de las extensiones: revisar el código fuente, revisar la lista de permisos, mirar la pestaña de privacy practices en Chrome Web Store, leer reseñas recientes, verificar solicitudes de red y limitar Site Access a “On Click”

La preocupación planteada por el mantenedor

  • El mantenedor de Hover Zoom+ dijo que durante años recibió muchas propuestas para monetizar la extensión y que las publica “por diversión, no por beneficio”
  • Explica que la principal razón por la que sigue manteniéndola es que sería difícil confiar en que otra persona no caiga en este tipo de ofertas si se la entregara
  • Dice que tiene un trabajo suficientemente bien pagado como para conservar su “brújula moral” e ignorar las propuestas
  • Como no todos los desarrolladores tienen la misma estabilidad financiera, espera que este hilo muestre la presión económica que reciben los desarrolladores de extensiones

Tipos recurrentes de propuestas de monetización

  • Muchas ofertas se acercan diciendo que la base de usuarios de Hover Zoom+ en Chrome Web Store puede generar “ingresos importantes”
  • Las modalidades que aparecen repetidamente son las siguientes:
    • Recopilar datos anónimos de usuarios para venderlos como segmentación publicitaria, investigación de mercado, business intelligence o datos de clickstream
    • Agregar búsquedas de Bing, Yahoo, Google o un search lander/feed para repartir ingresos por consultas de búsqueda y clics en anuncios
    • Insertar store logos, affiliate links o enlaces “Sponsored” en resultados de organic search para cobrar comisión cuando haya compras
    • Insertar formatos publicitarios como coupon, cashback, PopUnder, in-text, new tab, search injection o in-image monetization
    • Agregar un SDK o unas pocas líneas de JS para integrar funciones de recopilación de datos o exhibición de anuncios en la extensión
    • Comprar la extensión completa o transferir la Chrome extension ownership sin transferir la cuenta de Google
  • Algunas propuestas enfatizan una monetización poco visible para el usuario, con expresiones como “soft to hard methods”, “invisible monetization methods” o “does not interfere with UX”

Datos y montos mencionados en las propuestas

  • Una propuesta de 2015 decía que, si no monetizaban anonymous user data, podían estar “dejando pasar mucho dinero”, y mencionaba redes publicitarias aprobadas por NAI e IAB
  • Una propuesta de investigación de errores DNS de 2016 pedía los siguientes datos:
    • NXD, es decir, dominios que el usuario ingresó pero que no existen
    • Hora del evento
    • GEO
    • Un ID de usuario aleatorio único que, según afirmaban, podía hashearse y no permitía rastrear al usuario
  • En propuestas posteriores a 2020 se repiten elementos como GEO, usuarios activos diarios y mensuales, clasificación de intereses, URL, referrer, country, timestamp, browsing behavior, clickstream y browser history
  • Los montos ofrecidos varían mucho:
    • Oferta de compra de la extensión en 2016: US$14,500
    • Oferta de integración de una analytics platform en 2020: US$2,000/mes
    • Oferta de monetización de búsqueda en 2020: afirmaba que, con 300,000 usuarios, era posible llegar a US$9,000 diarios
    • Oferta de integración de un SDK de data marketplace en 2021: US$30,000/año
    • Oferta de datos en 2023: hasta US$20K/mes
    • Oferta de clickstream data partnership en 2024: US$30,000~US$40,000/mes
    • Oferta de compra en 2024: US$30,000
    • Oferta de compra en 2025: US$0.05~US$0.15 por usuario
  • Una propuesta de monetización por suscripción de fines de 2024, partiendo de una base de más de 400,000 usuarios y una conversión del 5%, daba como ejemplos unos US$19,800/mes con US$0.99/mes, unos US$99,800/mes con US$4.99/mes y unos US$199,800/mes con US$9.99/mes

Respuestas del mantenedor y criterios de evaluación

  • Sobre por qué no publica los nombres de las empresas, respondió que algunas pueden ser ricas y operar legalmente, y que no quiere asumir el riesgo de demandas
  • Explica que los anuncios emergentes son fáciles de notar para el usuario y de resolver desactivando la extensión responsable, pero que los métodos sigilosos pueden durar mucho más tiempo
  • Sobre la telemetría, el mantenedor dice que desde la perspectiva del usuario ve un equilibrio entre utilidad e intrusión del seguimiento, pero desde la perspectiva del desarrollador, no incluir ningún tracking permite llegar al público más amplio y evita discusiones sobre el grado de anonimización
  • Ante la observación de que el nombre Hover Zoom+ se confunde con Hover Zoom, que tuvo polémicas pasadas por malware, respondió que su objetivo no es captar a todos los usuarios; más de 300 mil personas ya le encontraron valor, y al ser una extensión gratuita y sin ingresos no va a dedicar tiempo a cambiarle el nombre ni a aportar pruebas adicionales
  • En un comentario de 2023, el mantenedor resumió en dos puntos por qué Hover Zoom+ es valiosa:
    • Unos 400 mil usuarios sumando todos los navegadores
    • Está activa en todas las páginas, no solo en sitios específicos
  • Explica que la combinación de estos dos factores crea una gran superficie de ataque potencial sobre los usuarios finales y significa un gran potencial de ingresos para actores maliciosos

Señales de riesgo para usuarios y desarrolladores

  • Un comentario señala que, después de que una extensión es adquirida, la siguiente versión puede incluir adware o un botnet script, y que puede operar sin pedir permisos adicionales gracias a los permisos ya existentes
  • Otro comentario explica que algunas ofertas de datos podrían estar vinculadas a la venta de datos de usuarios con fines de AdTech/RTB, y enlaza material de Privacy International sobre adtech
  • Sobre la propuesta que pedía datos de errores DNS, un comentario interpreta que la intención podría ser registrar dominios con errores tipográficos comunes o dominios vencidos para interceptar la navegación de los usuarios
  • Un comentario que menciona el caso de The Great Suspender señala que algunas transacciones no buscan instalar un SDK, sino transferir el repositorio o la propiedad de la extensión
  • Una de las propuestas de 2026 mencionaba permisos de you.com, lectura del contenido de páginas, captura de keystrokes, envío a servidores externos, acceso a session cookies y patrones de recopilación de browsing history, pero la nota del mantenedor agrega que Hover Zoom+ no hace eso y que muestra qué datos quiere comprar esa empresa

Cómo comprobar si una extensión fue monetizada

  • El mantenedor dice que el método más confiable es leer el código fuente
  • Además, propone las siguientes señales para revisar:
    • Verificar en la pestaña de privacy practices de Chrome Web Store si el desarrollador declara que no recopila ni usa datos
    • Comprobar si hay public source
    • Revisar si la lista de permisos de la extensión pide permisos sospechosos que no coinciden con su funcionalidad
    • Revisar si en las reseñas recientes de usuarios hay patrones repetidos de quejas sobre el comportamiento
    • Consultar estimaciones de riesgo en sitios como chrome-stats
  • El mantenedor agrega que todas estas señales pueden manipularse, así que sirven más para detectar problemas que para “probar inocencia”
  • Otro comentario sugiere que, como leer el código fuente puede ser difícil por Webpack y herramientas similares, puede ser más fácil revisar las solicitudes de red que hace la extensión
  • El mismo comentario explica que también hay que revisar las solicitudes del background o service worker, y que como muchas extensiones se ejecutan en todas las páginas más de lo necesario, una opción es limitar el Site Access de Chrome a “On Click”

Reacción de la comunidad y debate posterior

  • Varios comentarios apoyan que el mantenedor no haya vendido a sus usuarios y que haya hecho públicas las propuestas
  • Un usuario dice que hace falta más conciencia entre usuarios y desarrolladores de extensiones sobre estas prácticas
  • El mantenedor responde que la situación alrededor de las extensiones maliciosas ya es bastante mala y que más gente debería saberlo
  • Ante un comentario de que el tema apareció en Hacker News, el mantenedor dijo que espera inspirar a otros desarrolladores a tomar una “stand”
  • Un desarrollador de extensiones comentó que, con 170 mil usuarios, también recibió muchas propuestas similares, y que aunque eran tentadoras siendo un estudiante universitario con poco dinero, monetizó de otras formas no invasivas

1 comentarios

 
GN⁺ 2023-08-10
Opiniones de Hacker News
  • ChatGPT for Google estuvo en el puesto n.º 1 de HN a principios de este año, pero si miran ahora el repositorio de GitHub, esa extensión ya fue vendida.
    Yo también tenía una extensión gratuita como proyecto paralelo con unas 25,000 instalaciones, y recibí bastantes mensajes de gente que quería “ayudarme a monetizarla”.
    Así que sentí que valía la pena ordenar todas esas vías de monetización sospechosas: https://mattfrisbie.substack.com/p/the-ugly-business-of-mone...

    • La propuesta más increíble que vi en el mundo de las apps móviles fue encender el micrófono del usuario para escuchar los anuncios de TV cercanos y rastrear a qué anuncios estuvo expuesto offline.
      La industria de la tecnología publicitaria es, en general, un sector realmente repulsivo.
    • Si te ofrecen 11,000 dólares por una extensión, creo que sería bastante difícil rechazarlo.
      Con ese dinero, el problema del enganche de una casa se vuelve mucho más pequeño.
      Siempre es bueno tener claro dónde está tu línea ética.
    • No me sorprende en absoluto que uno de los correos que recibí coincida exactamente con el texto del artículo enlazado, salvo por el nombre de la extensión.
      Está claro que muchas de estas propuestas basura están automatizadas.
      Son del estilo: “Soy fan de [extension name] y me encanta lo práctica y útil que es.
      ¿Has considerado ofrecer espacio promocional a personas que quieran promocionar sus productos en la extensión? Me gustaría promocionar mi extensión en [extension name] y quisiera hablar sobre esta posibilidad.
      Avísame si te interesa.”
  • Como referencia, la extensión JSON Formatter [0], que probablemente algunos de ustedes usan, es mía.
    La creé hace 12 años, la publiqué como open source, la he mantenido hasta ahora y [1] actualmente tiene 2 millones de usuarios.
    Juro solemnemente que nunca agregaré código que envíe datos a ningún lado, ni se la entregaré a alguien que vaya a hacer algo así.
    He recibido varias ofertas tentadoras en efectivo de personas sospechosas que parecían querer robar los datos de todos, o hacer algo peor.
    A veces pienso que ojalá no le hubiera puesto mi nombre. Si no lo hubiera hecho, quizá podría haber aceptado el dinero sin dañar mi reputación.
    Pero como le puse mi nombre, no me queda más que conservar el honor. Aun así, la ventaja es que siempre puedo decir que nunca la vendí.
    [0] https://chrome.google.com/webstore/detail/json-formatter/bcj...
    [1] Para ser sincero, tampoco le he dedicado mucho esfuerzo.

    • Antes había una extensión cuyos creadores prometieron que jamás la venderían y que tampoco la actualizarían después del lanzamiento inicial.
      Era de una sola línea, así que no había nada que cambiar.
      Pero Chrome Web Store la retiró después de más de 5 años, probablemente porque nunca publicaron una actualización y algunos campos que ahora eran obligatorios quedaron vacíos.
    • Si las ofertas en efectivo escalan linealmente con el número de usuarios, esa extensión debe haber sido realmente tentadora.
      Es admirable que no la hayas vendido.
      Me pregunto si has considerado empezar a hacer públicas estas ofertas de compra, como hago yo.
    • Esto se siente realmente extraño.
      Claramente estás aportando valor al mundo y, según mi marco moral, deberías tener derecho a recuperar parte de ese valor sin hacer nada sospechoso.
      Soy fundador de Streak, y nosotros monetizamos directamente nuestra extensión, igual que otros como Grammarly.
      Me pregunto si alguna vez les has pedido directamente a los usuarios que paguen por el esfuerzo invertido.
    • Como alguien que usa esa extensión todos los días, agradezco mucho tu firmeza.
      En esta industria parece que cada día es más difícil mantener un sentido ético fuerte.
    • Me pregunto si, cuando una extensión que uso se vende, Chrome pregunta cuando cambian los permisos.
      O no sé si simplemente lo meten a escondidas.
      Al menos me gustaría ver una notificación emergente que sirva como señal de alerta.
  • Soy el mantenedor.
    Mi extensión es, en la práctica, casi imposible de monetizar, así que cualquier oferta que reciba requiere cierto grado de sacrificio moral.
    La propuesta menos invasiva que he visto hasta ahora fue poner dentro de mi extensión enlaces recíprocos hacia otras extensiones, parecido a lo que hace DarkReader en su sitio web.
    Aunque eso no viole los datos de los usuarios, la razón por la que no lo hago es que equivaldría a respaldar indirectamente esa otra extensión, y no tengo control sobre cómo ellos manejan los datos de los usuarios.

    • Lo que haces es realmente admirable.
      Si esto crece, ayuda a romper esa percepción común, aunque no siempre se diga en voz alta, de que “todos terminan vendiéndose”.
    • Gracias por hablar con transparencia.
      Ahora no uso Chrome, pero antes me encantaba Hover Zoom+, y mi esposa todavía lo usa mucho.
      Es una extensión excelente, y después de leer este comentario y el issue de GitHub enlazado, me siento más tranquilo.
    • Antes me gustaba mucho Hover Zoom, pero no sé si realmente tuvo una controversia por malware durante un tiempo o si lo estoy confundiendo con un plugin de nombre parecido.
      En ese momento me pasé a imagus y me adapté.
      En cualquier caso, gracias por rechazar los intentos de monetización.
  • No conozco la solución a este problema, pero sí conozco algunas empresas legítimas y confiables que, mientras ya monetizan a los usuarios con dinero real, venden los datos de los usuarios por unas 20 libras al año
    Yo nunca haría eso porque la invasión de la privacidad va en contra del núcleo de mis convicciones, pero hay un conflicto que no se resuelve
    Por un lado, sé que la gran mayoría de los usuarios prefiere vender su privacidad antes que pagar un solo centavo
    En cualquier momento estarían dispuestos a hacer clic en el botón “vender mis datos” antes que en el botón “pagar”
    Puedo decir que lo sé porque he tratado con suficientes usuarios
    Muchos usuarios arman un escándalo si algo no es gratis, pero no pierden el sueño por entregar su información personal
    Claro, hablo en general de la mayoría
    Por otro lado, quiero que internet sea un lugar donde los actores inescrupulosos no prosperen
    En el mundo real, la mayoría no espera obtener cosas gratis; ¿por qué internet tendría que ser distinto?
    ¿Por qué todos, incluyéndome, siempre buscamos lo gratis en internet?
    Lo peor es que, al final, los únicos dispuestos a gastar dinero en línea son los ladrones de datos y los anunciantes
    Los demás están entregando su alma
    Se espera que los desarrolladores trabajen gratis para que toda esta estructura se mantenga

    • Dijiste que “la gente siempre hará clic en ‘vender mis datos’ antes que en ‘pagar’”, pero no podemos saberlo porque esa clase de opción clara en realidad nunca se les ha presentado
      Además, la expresión “datos” suele ser opaca para el usuario común
      Regulaciones como las de la UE y California deberían obligar precisamente a eso
      Si se presentara la opción como: “Estos son los datos que tenemos sobre usted: incluyen a,b,c,d... producto de un rastreo espeluznante. Si nos permite invadir su privacidad de varias maneras, le damos gratis este pequeño adorno. O pague x pesos”, ¿cuánta gente elegiría la invasión de privacidad?
      Una parte considerable de internet es, de una forma u otra, comunicación
      En el mundo real también obtenemos mucha comunicación gratis
      Más bien me pregunto por qué todos asumen que internet es una plataforma para hacerse rico vendiéndoles baratijas a indígenas ignorantes
      Algunas cosas quizá funcionen mejor sin fines de lucro
    • La solución podría ser extensiones de código abierto y auditadas
      Parece que Firefox ya tiene algo así (https://mzl.la/3Acn4DU)
      No conozco auditores para extensiones de Chrome
      Bastaría con que una organización o grupo confiable, como Google o Mozilla, auditara extensiones y las “certificara” como libres de malware
      Además, las extensiones deberían ser 100% de código abierto, y aunque la organización de confianza se viera comprometida o no hiciera bien su trabajo, al final se descubriría y la gente dejaría de usarlas
      Por supuesto, no es perfecto
      El adware podría quedar oculto incluso para el auditor, o el auditor podría haber sido comprometido sin que nadie lo supiera
      Como las extensiones con mucho código complejo cuestan más dinero y tiempo, incluso extensiones populares sin ningún problema podrían no lograr certificarse
      Los cambios también tendrían que auditarse siempre, lo que retrasaría y desincentivaría las actualizaciones
      Un último problema que es fácil pasar por alto es que el auditor podría tener un sesgo para aprobar ciertas extensiones, por ejemplo las que pagan
      Si el código es demasiado difícil de leer o está al fondo de la cola de revisión, quizá no se apruebe; y el criterio de “demasiado difícil de leer” y la posición en la cola pueden verse fácilmente influidos por dinero
      Aun así, las extensiones web son software más apto para auditoría que otras apps
      En general son mucho más pequeñas y simples, requieren menos usuarios y operan en un ámbito de altísima confianza: toda la navegación web, incluidos bancos y sitios confidenciales
      Comparadas con apps de teléfono en sandbox o programas en modo usuario en una computadora, el daño sigue existiendo, pero es mucho menor
    • En internet no existe un equivalente al efectivo completamente anónimo que sea fácil de usar
      Si pagas por algo, de todos modos entregas información de identidad
      El intercambio de valor está claramente inclinado hacia un lado, pero si para obtener X tienes que compartir tu identidad y además pagar, entonces perdiste dinero y también compartiste tu identidad
      Si compartes tu identidad y obtienes X gratis, al menos no pierdes dinero
    • La opción entre “vender mis datos” y “pagar” casi nunca ocurre en la práctica
      En la realidad, normalmente estás entre pagar y aun así vender datos, o usar gratis y vender muchísimos datos
      La mayoría de los servicios pagos también especifica en sus políticas de privacidad, términos y acuerdos de usuario cómo venden tus datos
      En el mejor de los casos, solo puedes esperar que, al estar menos desesperados por flujo de caja, sean un poco más selectivos con a quién se los venden
      Pero el impacto para el usuario es mayor
      Ahora tienen tu tarjeta de crédito, dirección, nombre real y número de teléfono, y todo eso es vulnerable a hackeos y filtraciones
      Como además es más difícil falsificar esa información que con una cuenta gratuita, los datos recopilados valen más, y por lo tanto la tentación también es mayor
      Además, los servicios pagos tienen sistemas de suscripción hostiles al consumidor, llenos de dark patterns
      Si no te gustan y quieres cancelar, te lo hacen innecesariamente engorroso, e incluso las pruebas gratis exigen tarjeta de crédito
      También hay muy poca transparencia sobre a dónde va realmente el dinero
      Muchos servicios operan con pérdidas, y las cuotas de los clientes son solo fachada; el dinero real viene de inversionistas
      Para algunas empresas, el modelo pago es casi un disfraz, y la verdadera salida podría ser que las adquiera un agregador de datos después de reunir datos durante años
      Del otro lado también hay gente que pesca incautos con precios ridículamente inflados
      Por estas razones, la opción de pagar está contaminada por la desconfianza, y no es solo porque los consumidores sean tacaños y se crean con derecho a todo
      La desconfianza puede estancar rápidamente cualquier mercado
      Aun así, no culpo demasiado a la industria
      Como en California en 1848, es difícil culpar a quien recoge el oro que está tirado por ahí
      El verdadero problema es que no hay herramientas, infraestructura ni marcos regulatorios que permitan a los usuarios ver y controlar cómo se usan sus datos
      Si la gente realmente quiere vender sus datos en vez de pagar, que se lo permitan
      Pero actualmente la mayoría de los usuarios no sabe exactamente qué datos se recopilan ni cuánto valen
      No están en condiciones de decidir racionalmente que es mejor comprar una app de 5 dólares que sufrir minería de datos por valor de 20 dólares
    • No había un gran problema con tomar una decisión plenamente informada en sí
      Lo molesto es cuando las apps ocultan la monetización de datos, la vuelven obligatoria o no ofrecen una forma de usar el servicio sin dar consentimiento
      En especial, son peores los servicios donde ni siquiera puedes elegir no participar

Por ejemplo, mi trabajo acaba de adoptar el servicio “The Work Number” de Equifax, así que, cree o no una cuenta, mis datos ya están ahí.
Lo peor es que, si no creo una cuenta, queda la posibilidad de que alguien intente crearla para recopilar más información, independientemente de mi voluntad.
Sea lo que sea que la gente elija hacer con sus propios datos, no siento ninguna obligación moral de imponerles mi punto de vista.
Si alguien realmente está de acuerdo y quiere ahorrarse 20 dólares, o el dinero que esos datos valgan dentro de la app, quitarle esa opción solo porque yo no estoy de acuerdo con cómo manejan la información de privacidad no es muy distinto de imponerle algo por la misma razón.
Para mí, la diferencia importante es si yo obtengo un beneficio de eso, pero si en cada caso existe la opción de elegir, en realidad no cambia mucho la forma en que el usuario sopesa la situación.

  • Si operas un sitio web, te siguen llegando correos como estos:
    “Hola,
    Quería preguntar si aceptan contribuciones de guest posts o inserciones de enlaces en artículos existentes. Si es posible, me gustaría conocer mejor sus lineamientos y los temas de interés.
    Gracias por su tiempo. Quedo atento a su respuesta.
    Saludos.”
    Esto claramente es spam masivo. Mi sitio ni siquiera tiene blog.
    En mi sitio también hay algunas descargas de software para Windows, y de vez en cuando recibo correos sospechosos proponiendo bundles de instaladores.
    La mayoría son servicios de proxy residencial que quieren vender acceso a la conexión de Internet del usuario.

    • Nosotros administramos un blog educativo para un producto SaaS y, aunque hay correos reales de lectores, también hay mucho spam, y parte de él está tan bien hecho que da miedo.
      Le meten tanto contexto que parece una persona real, al final te hacen perder mucho tiempo y, sinceramente, duele bastante.
      Dedicamos mucho tiempo a compartir material, y estas conexiones falsas generan mucho rechazo.
      Últimamente nos llegó una oleada de correos tipo “lista de nominados a premios” escritos por IA, con mucho contexto profundo.
      Básicamente dicen que, con un pago fácil, te considerarán como candidato a un premio.
      Solo que siempre se olvidan de ajustar el tema: no operamos un servicio de seguridad de software, sino que tratamos sobre web scraping.
      Creo que la IA va a matar la comunicación por correo entre desconocidos.
      Cada vez cansa más.
    • Es mi tipo favorito de correo de los que recibo más o menos una vez al mes en varias formas.
      El cargo que ponen al final me da risa.
      “Asunto: Encontré una vulnerabilidad de seguridad en su sitio web.
      Hola equipo,
      Soy Harris, investigador de seguridad, y encontré una vulnerabilidad de seguridad en su sitio web fuera de un programa de bug bounty.
      Puedo revelar todas las vulnerabilidades que encontré, así como las formas adecuadas de corregirlas, para que puedan hacer que el sitio web sea más seguro.
      Las empresas a las que he ayudado siempre han sido generosas y me han recompensado con la cantidad que consideraron adecuada para los problemas que encontré. Si valoran mi ayuda, con gusto recibiré un bono por PayPal, Bitcoin, Payoneer o transferencia bancaria.
      Quedo atento a una respuesta positiva.
      Gracias,
      Harris A
      Certified Ethical Hacker”
    • Me pregunto qué piensa esta gente.
      Los operadores de TOR conocen los riesgos de compartir conexiones, en particular el riesgo de que pedófilos usen ese servicio para compartir CSAM.
      Pero la gente común no lo sabe.
      No tiene idea hasta que un día la arrestan.
    • Me gustaría dejar una etiqueta de contacto funcional en el sitio web, pero parece que entonces llega una avalancha de este tipo de spam, o de propuestas de grupos aleatorios de desarrolladores web que quieren “mejorar” mi sitio simple y sobrio.
    • Gracias a esto me quité una tarea de encima.
      Yo también recibo estos correos, pero como administro un sitio de WordPress, estaba convencido de que estos tipos hacían fingerprinting de sitios web y solo enviaban correos a sitios de WordPress.
      Así que tenía en mi lista de pendientes revisar si podía ocultar la huella de WordPress.
      Pero al ver que dices esto, está claro que no serviría de mucho.
      En retrospectiva, era evidente que estos spammers simplemente iban a mandarlo masivamente a todo el mundo.
  • El problema de fondo aquí es que no hay una forma legítima de monetizar extensiones de navegador.
    Como las extensiones están hechas para ser simples, es difícil vender funciones premium y, por lo general, tampoco tienen un espacio propio donde poner anuncios.

    • Antes había una forma.
      https://developer.chrome.com/docs/webstore/money/
      “En los 11 años desde que lanzamos Chrome Web Store, la web evolucionó muchísimo. En ese momento, queríamos ofrecer a los desarrolladores una forma de monetizar sus elementos de Web Store. Pero desde entonces el ecosistema creció, y ahora los desarrolladores tienen muchas opciones de procesamiento de pagos disponibles.”
    • En teoría, los usuarios de extensiones podrían estar dispuestos a pagar por el valor que les aporta una extensión.
      Los actores maliciosos que envían estos correos están dispuestos a pagar por el valor que les aportan los datos de los usuarios.
      Esos dos números no tienen ninguna relación entre sí, y en muchos casos el valor de los datos de los usuarios es mucho mayor que el valor de la funcionalidad de la extensión.
      No hay forma de resolver este problema con monetización,
      porque los dos posibles clientes no están comprando el mismo producto.
    • Me pregunto si de verdad creen que, si hubiera una forma de monetizar extensiones, los desarrolladores no serían contactados por ladrones de datos.
    • Si los usuarios pudieran desactivar las actualizaciones de extensiones, o tuvieran que aprobar explícitamente una actualización, al menos se podría dificultar más este tipo de ataque.
      La mayoría de las extensiones son simples y, de hecho, no necesitan actualizaciones.
      Pero el mecanismo de actualización es silencioso, totalmente automático y sin rollback.
      Ni siquiera Steam se me ocurre con actualizaciones tan agresivas.
    • No necesariamente pienso eso.
      Yo opero una API de licencias de software, y tenemos varios clientes de extensiones de navegador con bases de usuarios bastante decentes.
      Como en cualquier otro canal de distribución, existen oportunidades de monetización.
  • Esta propuesta es interesante porque parece inofensiva, e incluso podría parecer útil.
    Dicen que es monitoreo de errores DNS; ¿qué se me está escapando?
    “Probablemente recibas propuestas de negocios con frecuencia, así que iré directo al grano. Espero que lo que propongo sea un poco distinto y que de hecho pueda resultarte interesante. Creo que Hover Zoom+ es una excelente alternativa a su hermano mayor, Hover Zoom, que ha perdido atractivo en los últimos meses.
    Estamos realizando una investigación sobre errores DNS y nos interesa una pequeña cantidad de datos anónimos que quizá podrías proporcionar a través de tu extensión de Chrome. Nuestra investigación lleva años en marcha y Google nunca ha planteado ningún problema.

    • Compatible con las estrictas políticas de Google
    • Sin datos personales de usuarios
    • Sin anuncios, sin malware
      Los datos que nos interesan son básicamente solo errores DNS:
    • NXD – dominio inexistente: dominios que los usuarios escribieron y que generaron un error DNS
    • Timestamp – momento en que ocurrió
    • GEO – ubicación donde ocurrió (USA, UK, RU, etc.)
    • ID único de usuario generado aleatoriamente (puede ser hash, no rastreable hasta el usuario). Por favor, no lo confundas con la dirección IP del usuario.
      Eso es todo. Puedes usar nuestro script o recopilar los datos tú mismo y enviarlos a un servidor FTP, API, etc. Hay muchas formas. Pagamos mensualmente, y el monto depende del GEO de los usuarios, pero sería del orden de varios miles de dólares al año.
      ¿Valdría la pena conversarlo, aunque sea brevemente? Quedo atento a tu respuesta.
      Hace poco te contactamos en relación con la investigación de errores DNS que realiza nuestra empresa. Hover Zoom+ sería un medio ideal para nuestro estudio. A cambio, podría convertirse en una nueva fuente sólida de ingresos para ti.
      Nuestro método lleva años funcionando y nunca hemos tenido problemas con Google. Pagamos de forma recurrente, mensualmente. Para ti sería del orden de decenas de miles de dólares al año, y el monto depende de tu base de usuarios y de la calidad de los datos.
      Si te preocupa incluir un script de terceros, todavía hay muchas maneras de lograrlo.
      Por favor, avísame si valdría la pena conversarlo, aunque sea brevemente.”
    • Si tuviera que especular, quizá quieren comprar nombres de dominio que reciben consultas pero que todavía están disponibles para registrarse.
      Por ejemplo, dominios que la gente escribe mal con frecuencia.
      No es ilegal, pero aun así suena un poco sospechoso.
    • Es investigación de typosquatting.
      Miran dominios que los usuarios escriben mal con frecuencia y que reciben respuestas NX, para registrarlos y poner anuncios, hacer phishing, etc.
    • Es muy probable que quieran encontrar dominios que la gente suele escribir mal, comprarlos y ponerles publicidad.
    • Apostaría a que quieren averiguar qué dominios escribe mal la gente o cuáles le interesan, para estafar de forma más eficiente.
    • Aunque hay dinero de por medio, no explican claramente ninguna intención benigna.
      Por lo tanto, en el mejor de los casos hay algún interés comercial, y en el peor podría ser algo dañino para los usuarios.
      No es difícil escribir un script que por fuera parezca hacer una cosa, mientras transporta en secreto otra información.
      ¿Por ejemplo, escribir una mala función hash? Pan comido.
      Siempre hay que seguir el gradiente de ATP.
  • Si incluso una extensión con unos 300 mil usuarios recibe tantas propuestas agresivas como esta, me pregunto qué tan intensas serán las propuestas para extensiones que llegan a millones de personas.
    Los incentivos del ecosistema de extensiones parecen estar completamente desalineados.

  • El buzón oficial de Ruffle también está lleno de propuestas como estas.
    Las sumas ofrecidas por una extensión gratuita y de software libre son tan grandes que solo puedo pensar que los compradores quieren meterle un montón de malware que no haga que Google o Mozilla[0] la bloqueen de inmediato.
    Personalmente, creo que no debería permitirse la transferencia de propiedad de extensiones sin aprobación y verificación previa de la nueva estructura de propietarios.
    Las publicaciones nuevas no tienen reseñas ni confianza, así que transferir una extensión existente debería ser deliberadamente más difícil que crear una extensión nueva.
    Lo digo como alguien que a veces sufre en carne propia el dolor práctico de estas políticas[1], y que sabe lo molesto que es pasar por trámites burocráticos.
    El mercado clandestino de compra y venta de extensiones es increíblemente sospechoso y trata la confianza de los usuarios con demasiada ligereza.
    [0] Lamentablemente, nuestra publicación en AMO ya está marcada como código generado por máquina, porque usamos Rust/WASM. Por eso, el envío de la extensión solo se aprueba cuando Mozilla puede reproducir nuestra compilación byte por byte.
    [1] https://ruffle.rs/blog/2023/04/23/mozilla-extension-postmort...

  • Me recuerda a un plan sucio que se me ocurrió en la secundaria.

    1. Crear un plugin de Minecraft Bukkit que de verdad fuera útil.
    2. Esperar a que tuviera muchas instalaciones.
    3. Agregar una puerta trasera bien escondida que me convirtiera en “op”, es decir, administrador, en el servidor que yo quisiera.
    4. Sorprender a los administradores abusivos de servidores públicos baneándolos de repente.
      Llegué hasta el paso 2 y decidí detenerme ahí.
    • Los plugins de Minecraft Bukkit son básicamente una tierra sin ley.
      Es realmente difícil distinguir qué comportamiento es intencional y cuál no.
      Recuerdo que hace años, cuando entré a un servidor, intenté encontrar un plugin de motd que solo mostrara un mensaje.
      Encontré uno lo bastante simple, pero estaba enviando un ping a casa para buscar actualizaciones.
      Puede que el desarrollador quisiera incluir una función útil, pero mi lado cínico cree que quería obtener la dirección IP de los servidores que ejecutaban ese plugin.
      También tenía comandos de depuración no autenticados y podía imprimir el contenido de cualquier archivo motd dentro de la carpeta.
      Pero no escapaba correctamente las cadenas, así que con ../... se podía salir del directorio e imprimir cualquier archivo.
      No sé si el autor llegó a explotarlo de verdad o si era un chico ingenuo de 14 años escribiendo su primer plugin.
      Si pretendía explotarlo, tampoco sé qué archivo quería imprimir, pero definitivamente era muy sospechoso.
    • A 2b2t le metieron puertas traseras varias veces de esta forma.
      Varias personas pudieron acceder a WorldEdit, modo creativo, comandos de administrador, etc.
      Más allá de los viejos servidores anárquicos, la comunidad actual de mods de Minecraft está sufriendo varios ataques a la cadena de suministro, vulnerabilidades de deserialización y más.
    • Las puertas traseras dirigidas a servidores de Minecraft ocurren de vez en cuando en la práctica.