Control de misión para Major Trial
(virtualize.sh)- Vates reveló el caso de una empresa espacial de carácter semigubernamental, con ingresos anuales de alrededor de 130 millones de dólares, que repitió durante casi 10 años el uso de la prueba gratuita de Xen Orchestra Appliance
- La organización opera cientos de hosts físicos y unas 4,000 VM, y ejecuta buena parte de su stack de TI sobre la plataforma de Vates, pero no era cliente de pago ni usuaria gratuita con instalación desde código fuente
- Las pruebas repetidas comenzaron en abril de 2015 con correos corporativos y continuaron con direcciones personales de Outlook y Gmail, además de cuentas incrementales como
johndoe01,johndoe02, siempre ingresando el mismo nombre de empresa - Xen Orchestra permite usar todas las funciones gratis si se instala desde el código fuente, pero XOA es un producto de pago que ofrece una VM preconfigurada y probada, actualizaciones con un clic, soporte y estabilidad
- Vates considera que este trial farming pone en riesgo la sostenibilidad del open source, y podría evaluar límites de prueba más inteligentes sin bloquear a los usuarios honestos
Uso repetido durante 10 años de la prueba de Xen Orchestra Appliance
- Vates presentó este caso en el contexto de la carga que implica mantener proyectos open source y del aumento de contribuciones falsas y reportes de seguridad generados con IA
- La organización en cuestión es una empresa de carácter semigubernamental, con ingresos anuales de unos 130 millones de dólares, que fabrica y opera equipos costosos relacionados con el sector espacial
- Esta organización posee cientos de hosts físicos y casi 4,000 VM, y ejecuta una parte importante de su stack de TI sobre la plataforma de Vates
- Sin embargo, no era cliente de pago ni usaba la versión completamente open source compilada directamente desde el código fuente
Diferencia entre XOA y la instalación gratuita desde código fuente
- El producto cuya prueba se repitió era Xen Orchestra Appliance (XOA)
- Una máquina virtual turnkey con Xen Orchestra preinstalado
- Se prueba regularmente
- Facilita el despliegue y las actualizaciones
- Funciona completamente on-premise
- Ofrece una experiencia con soporte y estabilizada para equipos que no quieren hacer
git pullsobre la ramamasteren producción
- Los usuarios gratuitos pueden seguir la documentación para compilar desde el código fuente y usar todas las funciones sin costo
- No hay garantía de estabilidad ni soporte profesional
- Pero todas las funciones están disponibles
- Lo que Vates vende no es el acceso a funciones, sino una VM preempaquetada y probada, actualizaciones con un clic, ahorro de tiempo, reducción de riesgos y una experiencia con soporte
Patrón de cuentas: de correos corporativos a correos personales
- Las pruebas repetidas comenzaron en abril de 2015
- Al principio se solicitaban pruebas gratuitas con correos corporativos
- Aparecían una o dos solicitudes y al inicio no parecía sospechoso
- Con el tiempo se acumularon varias cuentas de desarrolladores, administradores de sistemas y gerentes
- Luego, cuando se agotaron los correos corporativos, empezaron a usar direcciones personales de Outlook o Gmail
- Iniciaban nuevas pruebas de 30 días con correos personales reales
- Aumentaban el identificador con formatos como
johndoe01@outlook.com,johndoe02@outlook.com - Actualmente ya están muy por encima de
johndoe60
- En el formulario de registro, el nombre de la empresa no es un campo obligatorio, pero cada vez ingresaban el mismo nombre de empresa
Siguieron esquivando el sistema incluso después de recibir soporte
- Vates brindó soporte a esa organización como lo hace con cualquier usuario en evaluación
- Respondió preguntas
- Orientó sobre cómo usar el producto
- En la etapa inicial, cuando decían que estaban probando y que podrían considerar una compra, dedicó casi un día completo a apoyarlos
- Con el tiempo se repitieron preguntas y configuraciones similares, y al revisar el historial se confirmaron al menos 60 cuentas distintas vinculadas a la misma organización
- Cuando Vates se puso en contacto, la organización se disculpó de forma ambigua y respondió que migraría a la versión desde código fuente
- No mostró interés en soporte profesional ni en posibles descuentos por volumen, y después no hizo realmente el cambio a la versión desde código fuente
- En cambio, siguió solicitando pruebas gratuitas usando direcciones personales de Outlook y correos incrementales
Sostenibilidad del open source y posibles límites futuros
- Esta situación es distinta a esquivar un SaaS tradicional que no puede self-hostearse
- Xen Orchestra puede self-hostearse completamente gratis
- No hay limitaciones funcionales; solo que la experiencia de actualización es menos cómoda que en XOA
- El hecho de que hayan preferido crear repetidamente cuentas de prueba en lugar de leer una documentación breve y ejecutar algunos comandos también demuestra el valor de conveniencia de XOA
- La misma organización ha seguido solicitando pruebas gratuitas durante los últimos 10 años con cuentas personales de Outlook y Gmail, mientras seguía ingresando el nombre real de su empresa
- Este comportamiento debilita la base que hace sostenible al open source
- En el futuro podrían introducirse límites más inteligentes para frenar el trial farming
- No sería una medida para bloquear a usuarios honestos
- Sería una forma de dedicar la energía al desarrollo de software, al soporte de usuarios reales y al mantenimiento del open source
1 comentarios
Opiniones en Hacker News
Creo que ya es hora de aplicar presión al estilo Larry Ellison. Como mínimo, hay que sacudirles los bolsillos para sacarles las monedas
Esa empresa está robando. Ya han sido lo bastante principistas y generosos al intentar ayudar a las empresas ofreciendo opciones OSS. Esto es abuso y no tienen por qué tolerarlo
Considerando el historial, convendría resumir 10 años de robo y medidas de elusión en una breve carta de cese y desistimiento (C&D), y notificarles que, si no paran o compran una licencia en 15 días, se les cobrará el costo de 10 años de licencias, intereses y multas. En especial, si el día 16 tienen que apagar el software, seguro alguien se va a comunicar
Parece que también hay bastante dinero de por medio, pero es además una cuestión de ética y responsabilidad. Como CEO, habría que evaluar si se tiene una responsabilidad mayor con empleados y accionistas, o con esta empresa espacial. Aunque la empresa sea enormemente rica, creo que, como CEO, tiene una obligación fuerte de intentar recuperar activos robados
Si es una empresa estadounidense, esta conducta probablemente podría caer bajo las cláusulas antielusión de la DMCA. En ese caso también podría haber responsabilidad penal para individuos. Creo que la DMCA es una ley terrible que permite a las empresas crear responsabilidad penal mediante contratos de licencia, pero en EE. UU. hoy es ley, y si un abogado explica este punto, es muy probable que los abogados de la otra parte pronto se sienten a negociar
No creo que llegue a juicio. La conducta en sí es indefendible, y la única cuestión será cuánto deben pagarle a la empresa de OP
Puede tomar tiempo, pero al final se puede cobrar
Eso de “no voy a perder días persiguiéndolos. Pero en cierto punto deja de ser ahorrarse unos centavos y se convierte en performance art”, por favor, hay que perseguirlos
Es muy probable que esto viole los términos de la prueba gratuita, así que deberían llevarlos a tribunales. Si no, al menos deberían revelar el nombre de la empresa para avergonzarla. Podrían despedir al gerente idiota que armó este robo ridículo y poner a alguien más maduro
No voy a apurarme a tomar acciones legales por ahora. En este momento no vale mucho la pena gastar energía en eso, pero sentí que era necesario señalar públicamente este tipo de conducta. También sirve como señal para otras personas del ecosistema sobre las tonterías con las que a veces tienen que lidiar los mantenedores de OSS
Todavía estoy posponiendo revelar directamente el nombre de la empresa, pero no lo descarto por completo
Algo como: “Nuestro producto es tan bueno que las empresas aeroespaciales literalmente lo roban. Pero, ¿ya vieron nuestra nueva prueba de 30 días? Volviendo al tema de esa empresa aeroespacial, vean nuestra oferta actual y lo barato que pueden usar nuestro software…”
La gente siempre va a encontrar formas de usarlo hasta el límite o abusar. Hay que pensar dónde poner restricciones entre experiencia de usuario y prevención de abuso
En mi trabajo anterior, una empresa de 1.000 millones de dólares, alguien había creado algo parecido a un proxy para que unas 100 personas usaran una sola cuenta gratuita de usuario
Necesitábamos más funcionalidades, así que también evaluamos productos competidores, y participé en una reunión para decidir si seguíamos con el método existente o pasábamos a una solución mejor. Los dos productos se compararon de manera justa, salvo por el precio
El plan era seguir usándolo ilegalmente sin pagar lo que correspondía, o usar otro servicio que habría sido más barato si se hubiera usado legalmente. Planteé que, para comparar, al menos había que hacerlo con los costos reales, pero nadie estuvo de acuerdo, y al final decidieron no migrar y seguir usándolo ilegalmente. El dinero ni siquiera era el problema
La persona que construyó eso ya se había ido de la empresa, pero nadie quería hacerse cargo del asunto y parece que decidieron que era más fácil simplemente ignorarlo
Si “Rocket Company” usaba en promedio 30 equipos al mes y el máximo mensual era de 1.600 dólares, hablamos de unos 600.000 dólares al año antes de descuentos. En 10 años podrían haber retenido unos 3 millones de dólares
Para que Vates cobre, parece que tendría que quitarles el control a las organizaciones operativas que hacen el trabajo real y abstraerlo hacia una organización central de TI
Me gusta la frase “Pero en cierto punto deja de ser ahorrarse unos centavos y se convierte en performance art”. Buen humor y buen caso
Es muy probable que la empresa esté gastando más dinero en horas de empleados que en el costo del producto
Me cuesta imaginar que estén ejecutando algo mission critical con una versión de prueba gratuita. Recuerdo haber escuchado que Adobe perdió una demanda en el pasado porque alguien creó una imagen en la versión de prueba gratuita y luego no pudo abrirla cuando terminó el período de prueba
Si yo fuera cliente de esa empresa, estaría bastante preocupado
Basta con decir: “Su prueba gratuita terminó y su empresa ya no puede recibir claves de prueba gratuitas”. No hace falta abogado ni amenazas
Se puede decir con cortesía: “Nos alegra que les guste nuestro producto. Lamentablemente, ya no podemos darles soporte mediante pruebas gratuitas”
Si siguen ocultando su afiliación para obtener pruebas gratuitas, cada vez que se detecte se bloquea la solicitud falsa y, como último recurso real, se envía una advertencia legal. No podrán atraparlos a todos, pero para la otra parte será muy molesto
El objetivo es incorporarlos como clientes pagos. Cualquier otro resultado es, en la práctica, una pérdida. Hay que ser cortés, pero firme
Lo más deprimente es que esto no sorprende en absoluto
Esta es justamente la razón por la que las pruebas gratis piden primero una tarjeta de crédito. No es para cobrarte a escondidas, sino porque es más difícil de falsificar. Es por gente como esta
Siento que esta práctica puede frenar a quienes quieren abusar de una prueba de forma casual, pero solo termina molestando a los clientes reales de pago y casi no detiene a los actores maliciosos
Como CTO, me opongo con bastante firmeza a este tipo de conducta, y creo que la responsabilidad recae en el CTO de la empresa aeroespacial
Ahorrar al principio y aguantar con lo mínimo es parte del trabajo, pero cuando empiezan a llegar ingresos, en el momento de escalar hay que pasar del plan gratuito a un plan inicial de pago
Es lamentable que haya gente en nuestra industria que actúe así
Personalmente, veo los planes gratuitos de cloud/SaaS como algo que compensa el costo de uso inicial. Por eso, salvo que sea una escala realmente pequeña, un plan gratuito no corresponde
Me pasó algo parecido en una startup orientada a consumidores por culpa de un programa de referidos
Cada mes, como reloj, una persona creaba referidos falsos para obtener un mes gratis, pasando por un proceso bastante engorroso: reinstalar la app, crear contenido en cuentas falsas y volver a la cuenta principal. Todo para ahorrarse 5 dólares, cuando además existía un plan gratuito de calidad casi equivalente
Creo que la emoción de vencer al sistema y no ser descubierto también era un factor importante. Lo entiendo
Cuando trabajaba antes en el departamento de IT de una gran empresa, comprar software requería tanto trabajo que cualquier “solución creativa” parecía mucho mejor
Lo peor es que el software barato es el que más sufre. Una actualización de Cisco de millones de dólares no es problema. Ya cuesta millones. Pero para comprar una licencia shareware de email de 10 dólares, varias personas tendrían que dedicar muchas horas de trabajo, así que ¿quién lo haría?
Pero, de forma incómoda, la persona a cargo le dijo al CEO que tenían una regla. La empresa solo podía usar OSS. Curiosamente, el propio producto de esa empresa no era OSS
Suponiendo que esta historia sea bastante precisa, me pregunto qué pensaban ambas partes
Del lado de quienes lo usaban gratis, ¿creían que estaban dentro de las reglas? ¿Hasta qué nivel de la jerarquía llegó la aprobación para seguir usando este método? ¿Alguien intentó pagar y se lo impidieron? ¿Alguien le dijo a su jefe que todo se había hecho internamente y ahora no quiere admitir que lo externalizaron y que la empresa quedó expuesta? ¿Llegó hasta la cúpula y un abogado aconsejó que, si cada vez ponían el nombre de la empresa y nombres reales, podrían quedar protegidos por actuar de buena fe?
Del lado del proveedor, al ver a un usuario corporativo enganchado durante 10 años, ¿por qué ningún vendedor se les fue encima? ¿Cómo dejaron pasar 10 años sin cambiar un poco la política para frenar a este aprovechado y a otros que podrían copiarlo? Durante todo ese tiempo, cuando este tema surgía, ¿qué decían los responsables de negocio? ¿El negocio iba tan bien que les parecía una pérdida de tiempo convertirlos en clientes de pago?
https://250bpm.substack.com/p/accountability-sinks