1 puntos por GN⁺ 2025-05-17 | 1 comentarios | Compartir por WhatsApp
  • Vates reveló el caso de una empresa espacial de carácter semigubernamental, con ingresos anuales de alrededor de 130 millones de dólares, que repitió durante casi 10 años el uso de la prueba gratuita de Xen Orchestra Appliance
  • La organización opera cientos de hosts físicos y unas 4,000 VM, y ejecuta buena parte de su stack de TI sobre la plataforma de Vates, pero no era cliente de pago ni usuaria gratuita con instalación desde código fuente
  • Las pruebas repetidas comenzaron en abril de 2015 con correos corporativos y continuaron con direcciones personales de Outlook y Gmail, además de cuentas incrementales como johndoe01, johndoe02, siempre ingresando el mismo nombre de empresa
  • Xen Orchestra permite usar todas las funciones gratis si se instala desde el código fuente, pero XOA es un producto de pago que ofrece una VM preconfigurada y probada, actualizaciones con un clic, soporte y estabilidad
  • Vates considera que este trial farming pone en riesgo la sostenibilidad del open source, y podría evaluar límites de prueba más inteligentes sin bloquear a los usuarios honestos

Uso repetido durante 10 años de la prueba de Xen Orchestra Appliance

  • Vates presentó este caso en el contexto de la carga que implica mantener proyectos open source y del aumento de contribuciones falsas y reportes de seguridad generados con IA
  • La organización en cuestión es una empresa de carácter semigubernamental, con ingresos anuales de unos 130 millones de dólares, que fabrica y opera equipos costosos relacionados con el sector espacial
  • Esta organización posee cientos de hosts físicos y casi 4,000 VM, y ejecuta una parte importante de su stack de TI sobre la plataforma de Vates
  • Sin embargo, no era cliente de pago ni usaba la versión completamente open source compilada directamente desde el código fuente

Diferencia entre XOA y la instalación gratuita desde código fuente

  • El producto cuya prueba se repitió era Xen Orchestra Appliance (XOA)
    • Una máquina virtual turnkey con Xen Orchestra preinstalado
    • Se prueba regularmente
    • Facilita el despliegue y las actualizaciones
    • Funciona completamente on-premise
    • Ofrece una experiencia con soporte y estabilizada para equipos que no quieren hacer git pull sobre la rama master en producción
  • Los usuarios gratuitos pueden seguir la documentación para compilar desde el código fuente y usar todas las funciones sin costo
    • No hay garantía de estabilidad ni soporte profesional
    • Pero todas las funciones están disponibles
  • Lo que Vates vende no es el acceso a funciones, sino una VM preempaquetada y probada, actualizaciones con un clic, ahorro de tiempo, reducción de riesgos y una experiencia con soporte

Patrón de cuentas: de correos corporativos a correos personales

  • Las pruebas repetidas comenzaron en abril de 2015
  • Al principio se solicitaban pruebas gratuitas con correos corporativos
    • Aparecían una o dos solicitudes y al inicio no parecía sospechoso
    • Con el tiempo se acumularon varias cuentas de desarrolladores, administradores de sistemas y gerentes
  • Luego, cuando se agotaron los correos corporativos, empezaron a usar direcciones personales de Outlook o Gmail
    • Iniciaban nuevas pruebas de 30 días con correos personales reales
    • Aumentaban el identificador con formatos como johndoe01@outlook.com, johndoe02@outlook.com
    • Actualmente ya están muy por encima de johndoe60
  • En el formulario de registro, el nombre de la empresa no es un campo obligatorio, pero cada vez ingresaban el mismo nombre de empresa

Siguieron esquivando el sistema incluso después de recibir soporte

  • Vates brindó soporte a esa organización como lo hace con cualquier usuario en evaluación
    • Respondió preguntas
    • Orientó sobre cómo usar el producto
    • En la etapa inicial, cuando decían que estaban probando y que podrían considerar una compra, dedicó casi un día completo a apoyarlos
  • Con el tiempo se repitieron preguntas y configuraciones similares, y al revisar el historial se confirmaron al menos 60 cuentas distintas vinculadas a la misma organización
  • Cuando Vates se puso en contacto, la organización se disculpó de forma ambigua y respondió que migraría a la versión desde código fuente
  • No mostró interés en soporte profesional ni en posibles descuentos por volumen, y después no hizo realmente el cambio a la versión desde código fuente
  • En cambio, siguió solicitando pruebas gratuitas usando direcciones personales de Outlook y correos incrementales

Sostenibilidad del open source y posibles límites futuros

  • Esta situación es distinta a esquivar un SaaS tradicional que no puede self-hostearse
    • Xen Orchestra puede self-hostearse completamente gratis
    • No hay limitaciones funcionales; solo que la experiencia de actualización es menos cómoda que en XOA
  • El hecho de que hayan preferido crear repetidamente cuentas de prueba en lugar de leer una documentación breve y ejecutar algunos comandos también demuestra el valor de conveniencia de XOA
  • La misma organización ha seguido solicitando pruebas gratuitas durante los últimos 10 años con cuentas personales de Outlook y Gmail, mientras seguía ingresando el nombre real de su empresa
  • Este comportamiento debilita la base que hace sostenible al open source
  • En el futuro podrían introducirse límites más inteligentes para frenar el trial farming
    • No sería una medida para bloquear a usuarios honestos
    • Sería una forma de dedicar la energía al desarrollo de software, al soporte de usuarios reales y al mantenimiento del open source

1 comentarios

 
GN⁺ 2025-05-17
Opiniones en Hacker News
  • Creo que ya es hora de aplicar presión al estilo Larry Ellison. Como mínimo, hay que sacudirles los bolsillos para sacarles las monedas
    Esa empresa está robando. Ya han sido lo bastante principistas y generosos al intentar ayudar a las empresas ofreciendo opciones OSS. Esto es abuso y no tienen por qué tolerarlo
    Considerando el historial, convendría resumir 10 años de robo y medidas de elusión en una breve carta de cese y desistimiento (C&D), y notificarles que, si no paran o compran una licencia en 15 días, se les cobrará el costo de 10 años de licencias, intereses y multas. En especial, si el día 16 tienen que apagar el software, seguro alguien se va a comunicar
    Parece que también hay bastante dinero de por medio, pero es además una cuestión de ética y responsabilidad. Como CEO, habría que evaluar si se tiene una responsabilidad mayor con empleados y accionistas, o con esta empresa espacial. Aunque la empresa sea enormemente rica, creo que, como CEO, tiene una obligación fuerte de intentar recuperar activos robados
    Si es una empresa estadounidense, esta conducta probablemente podría caer bajo las cláusulas antielusión de la DMCA. En ese caso también podría haber responsabilidad penal para individuos. Creo que la DMCA es una ley terrible que permite a las empresas crear responsabilidad penal mediante contratos de licencia, pero en EE. UU. hoy es ley, y si un abogado explica este punto, es muy probable que los abogados de la otra parte pronto se sienten a negociar

    • De acuerdo. Esto es robo evidente, así que la empresa casi seguro llegaría a un acuerdo de inmediato. Solo los costos de recuperación podrían ser literalmente de millones de dólares, y con multas sería aún más
      No creo que llegue a juicio. La conducta en sí es indefendible, y la única cuestión será cuánto deben pagarle a la empresa de OP
    • Basta con enviar primero una factura. Hay que redactarla con asesoría legal. Cada mes se envía una nueva factura reflejando los nuevos cargos, y después de unas cuantas se presiona diciendo que se pasará a cobranza
      Puede tomar tiempo, pero al final se puede cobrar
  • Eso de “no voy a perder días persiguiéndolos. Pero en cierto punto deja de ser ahorrarse unos centavos y se convierte en performance art”, por favor, hay que perseguirlos
    Es muy probable que esto viole los términos de la prueba gratuita, así que deberían llevarlos a tribunales. Si no, al menos deberían revelar el nombre de la empresa para avergonzarla. Podrían despedir al gerente idiota que armó este robo ridículo y poner a alguien más maduro

    • De hecho estoy pensando en contactar directamente al CEO y explicarle todo lo ocurrido. Pero, sinceramente, también es muy posible que el CEO ya lo sepa todo y no lo vea como un problema. Eso es lo que resulta especialmente decepcionante
      No voy a apurarme a tomar acciones legales por ahora. En este momento no vale mucho la pena gastar energía en eso, pero sentí que era necesario señalar públicamente este tipo de conducta. También sirve como señal para otras personas del ecosistema sobre las tonterías con las que a veces tienen que lidiar los mantenedores de OSS
      Todavía estoy posponiendo revelar directamente el nombre de la empresa, pero no lo descarto por completo
    • Esta parte me pareció rara. Seguramente es una violación de los términos de licencia que aceptaron al acceder a la prueba gratuita; me hizo preguntarme si no le gusta cobrar por su propio trabajo
    • Viéndolo de forma conspirativa, todo esto podría ser simplemente publicidad
      Algo como: “Nuestro producto es tan bueno que las empresas aeroespaciales literalmente lo roban. Pero, ¿ya vieron nuestra nueva prueba de 30 días? Volviendo al tema de esa empresa aeroespacial, vean nuestra oferta actual y lo barato que pueden usar nuestro software…”
    • Haciendo de abogado del diablo, si la estructura permite abrir una prueba gratuita de 30 días con solo ingresar una dirección de email, es difícil quejarse de que la gente ingrese direcciones de email. Sobre todo si, para que la experiencia sea fluida, no hay nada más que un campo de email y un botón de “start free trial”
      La gente siempre va a encontrar formas de usarlo hasta el límite o abusar. Hay que pensar dónde poner restricciones entre experiencia de usuario y prevención de abuso
    • No hay muchas empresas aeroespaciales con ingresos anuales de alrededor de 130 millones de dólares y satélites en el espacio. Creo que podría ser Planet Labs
  • En mi trabajo anterior, una empresa de 1.000 millones de dólares, alguien había creado algo parecido a un proxy para que unas 100 personas usaran una sola cuenta gratuita de usuario
    Necesitábamos más funcionalidades, así que también evaluamos productos competidores, y participé en una reunión para decidir si seguíamos con el método existente o pasábamos a una solución mejor. Los dos productos se compararon de manera justa, salvo por el precio
    El plan era seguir usándolo ilegalmente sin pagar lo que correspondía, o usar otro servicio que habría sido más barato si se hubiera usado legalmente. Planteé que, para comparar, al menos había que hacerlo con los costos reales, pero nadie estuvo de acuerdo, y al final decidieron no migrar y seguir usándolo ilegalmente. El dinero ni siquiera era el problema
    La persona que construyó eso ya se había ido de la empresa, pero nadie quería hacerse cargo del asunto y parece que decidieron que era más fácil simplemente ignorarlo

    • ¿Cuánto habrán ahorrado durante 5 a 10 años con esa conducta ilegal o poco ética?
      Si “Rocket Company” usaba en promedio 30 equipos al mes y el máximo mensual era de 1.600 dólares, hablamos de unos 600.000 dólares al año antes de descuentos. En 10 años podrían haber retenido unos 3 millones de dólares
      Para que Vates cobre, parece que tendría que quitarles el control a las organizaciones operativas que hacen el trabajo real y abstraerlo hacia una organización central de TI
  • Me gusta la frase “Pero en cierto punto deja de ser ahorrarse unos centavos y se convierte en performance art”. Buen humor y buen caso
    Es muy probable que la empresa esté gastando más dinero en horas de empleados que en el costo del producto
    Me cuesta imaginar que estén ejecutando algo mission critical con una versión de prueba gratuita. Recuerdo haber escuchado que Adobe perdió una demanda en el pasado porque alguien creó una imagen en la versión de prueba gratuita y luego no pudo abrirla cuando terminó el período de prueba
    Si yo fuera cliente de esa empresa, estaría bastante preocupado

  • Basta con decir: “Su prueba gratuita terminó y su empresa ya no puede recibir claves de prueba gratuitas”. No hace falta abogado ni amenazas
    Se puede decir con cortesía: “Nos alegra que les guste nuestro producto. Lamentablemente, ya no podemos darles soporte mediante pruebas gratuitas”
    Si siguen ocultando su afiliación para obtener pruebas gratuitas, cada vez que se detecte se bloquea la solicitud falsa y, como último recurso real, se envía una advertencia legal. No podrán atraparlos a todos, pero para la otra parte será muy molesto
    El objetivo es incorporarlos como clientes pagos. Cualquier otro resultado es, en la práctica, una pérdida. Hay que ser cortés, pero firme

    • Yo al menos habría agregado una pequeña rutina en la lógica del backend de registro a la prueba gratuita para revisar el nombre de la empresa y alias conocidos, y devolver un mensaje como: “No calificas para la prueba gratuita, ¡pero nuestro equipo de ventas con gusto te atenderá! ¡Que tengas buen día!”
  • Lo más deprimente es que esto no sorprende en absoluto
    Esta es justamente la razón por la que las pruebas gratis piden primero una tarjeta de crédito. No es para cobrarte a escondidas, sino porque es más difícil de falsificar. Es por gente como esta

    • Si alguien de verdad se lo propone, saltarse también este método es casi trivial. En EE. UU., CapitalOne permite crear tarjetas virtuales verificables si tienes una tarjeta de crédito, y puedes eliminarlas o bloquearlas gratis en cualquier momento
      Siento que esta práctica puede frenar a quienes quieren abusar de una prueba de forma casual, pero solo termina molestando a los clientes reales de pago y casi no detiene a los actores maliciosos
  • Como CTO, me opongo con bastante firmeza a este tipo de conducta, y creo que la responsabilidad recae en el CTO de la empresa aeroespacial
    Ahorrar al principio y aguantar con lo mínimo es parte del trabajo, pero cuando empiezan a llegar ingresos, en el momento de escalar hay que pasar del plan gratuito a un plan inicial de pago
    Es lamentable que haya gente en nuestra industria que actúe así

    • Estoy 120% de acuerdo. Aunque también me pregunto qué tan bien están aprovechando el plan gratuito
      Personalmente, veo los planes gratuitos de cloud/SaaS como algo que compensa el costo de uso inicial. Por eso, salvo que sea una escala realmente pequeña, un plan gratuito no corresponde
  • Me pasó algo parecido en una startup orientada a consumidores por culpa de un programa de referidos
    Cada mes, como reloj, una persona creaba referidos falsos para obtener un mes gratis, pasando por un proceso bastante engorroso: reinstalar la app, crear contenido en cuentas falsas y volver a la cuenta principal. Todo para ahorrarse 5 dólares, cuando además existía un plan gratuito de calidad casi equivalente
    Creo que la emoción de vencer al sistema y no ser descubierto también era un factor importante. Lo entiendo

  • Cuando trabajaba antes en el departamento de IT de una gran empresa, comprar software requería tanto trabajo que cualquier “solución creativa” parecía mucho mejor
    Lo peor es que el software barato es el que más sufre. Una actualización de Cisco de millones de dólares no es problema. Ya cuesta millones. Pero para comprar una licencia shareware de email de 10 dólares, varias personas tendrían que dedicar muchas horas de trabajo, así que ¿quién lo haría?

    • Una vez tuve una reunión con un cliente. Estaban evaluando nuestro producto, y nuestro producto no era OSS. El ambiente era bueno, les gustaba el producto y parecía que iban a comprarlo
      Pero, de forma incómoda, la persona a cargo le dijo al CEO que tenían una regla. La empresa solo podía usar OSS. Curiosamente, el propio producto de esa empresa no era OSS
    • Estoy pasando por algo parecido intentando instalar software de apoyo a la neurodiversidad en mi laptop. Hay muchas personas dispuestas a ayudar y el gobierno incluso reembolsa el costo, pero registrar un nuevo proveedor es difícil y también requiere aprobación de seguridad
    • Desde el punto de vista contable, probablemente sea una medida para prevenir fraude en cuentas por pagar
  • Suponiendo que esta historia sea bastante precisa, me pregunto qué pensaban ambas partes
    Del lado de quienes lo usaban gratis, ¿creían que estaban dentro de las reglas? ¿Hasta qué nivel de la jerarquía llegó la aprobación para seguir usando este método? ¿Alguien intentó pagar y se lo impidieron? ¿Alguien le dijo a su jefe que todo se había hecho internamente y ahora no quiere admitir que lo externalizaron y que la empresa quedó expuesta? ¿Llegó hasta la cúpula y un abogado aconsejó que, si cada vez ponían el nombre de la empresa y nombres reales, podrían quedar protegidos por actuar de buena fe?
    Del lado del proveedor, al ver a un usuario corporativo enganchado durante 10 años, ¿por qué ningún vendedor se les fue encima? ¿Cómo dejaron pasar 10 años sin cambiar un poco la política para frenar a este aprovechado y a otros que podrían copiarlo? Durante todo ese tiempo, cuando este tema surgía, ¿qué decían los responsables de negocio? ¿El negocio iba tan bien que les parecía una pérdida de tiempo convertirlos en clientes de pago?