El Dieselgate de Honey: detección y engaño a testers

 (vptdigital.com)
1 puntos por GN⁺ 2026-01-01 | 1 comentarios | Compartir por WhatsApp
  • Se revelaron indicios de que el plugin de compras para navegador Honey usó un código de manipulación “tipo Dieselgate” que detecta situaciones de prueba y cambia su comportamiento
  • Honey determina si un usuario es tester según cuatro criterios: fecha de creación de la cuenta, puntos acumulados, lista negra y detección de cookies de redes de afiliados
  • Si se cumple хотя бы una de estas condiciones, realiza el ‘stand-down’ conforme a las reglas, pero si considera que se trata de un usuario normal, ignora las reglas e inserta enlaces de afiliados a la fuerza
  • El analista confirmó repetidamente el incumplimiento selectivo de Honey mediante código fuente, archivos de configuración, capturas de paquetes y registros de telemetría
  • Esta conducta es un intento de encubrimiento similar al Dieselgate de Volkswagen, y podría dañar la confianza de redes de afiliados, merchants y plataformas (Google y Apple)

Estructura del incumplimiento de Honey

  • Honey fue diseñado para eludir las reglas de ‘stand-down’ establecidas por las redes de afiliados y los merchants

    • El stand-down es una regla por la que, si un publisher web ya proporcionó un enlace de afiliado, otro software no debe mostrar enlaces adicionales
    • Honey funciona ignorando esta regla para usuarios normales y cumpliéndola solo cuando sospecha que está ante un tester

  • Esta estructura está diseñada para cumplir las normas solo en entornos de prueba, al igual que el Dieselgate de Volkswagen

    • Aunque Honey conoce las reglas, intentó eludirlas, por lo que se evalúa como una conducta de ocultamiento deliberado

Mecanismo de detección de testers

  • Honey determina si un usuario es tester con los siguientes cuatro criterios

    • Cuenta nueva: si tiene menos de 30 días desde su creación, detiene la conducta infractora
    • Puntos acumulados: si tiene menos de 65,000 puntos (equivalentes a unos 650 dólares), lo considera tester
    • Lista negra del servidor: si existe historial de quejas o se registraron cierta IP o cookie, detiene la infracción
    • Cookies de redes de afiliados: si existen cookies de inicio de sesión de afiliados como CJ, Rakuten Advertising o Awin, lo considera tester

  • Si se cumple una sola de estas condiciones, Honey respeta las reglas, pero si pasa todas, ignora por completo las reglas e inserta enlaces de afiliados

  • Este diseño dificulta la detección por parte de testers e inutiliza pruebas de corto plazo o verificaciones basadas en cuentas nuevas

Evidencia técnica

  • Pruebas prácticas: se manipuló el valor de los puntos para comparar la respuesta de Honey

    • Cuando los puntos eran bajos, respetaba las reglas; cuando se lo engañó con puntos altos, ignoró las reglas y mostró enlaces
    • Al agregar cookies de redes de afiliados, se confirmó que Honey volvía a cumplir las reglas

  • Análisis de archivos de configuración: en ssd.json se confirmó la lógica de stand-down selectivo

    • Existen elementos como uP:65000 (umbral de puntos), gca (revisión de cookies) y bl (lista negra)
    • Algunos merchants específicos, como Booking.com y Kayosports, tienen configurado un umbral de puntos más alto

  • Registros de telemetría: Honey registra en formato JSON por qué motivo ejecutó un stand-down

    • Se especifican fundamentos internos como state:"uP:5001" y state:"gca"

  • Análisis de código fuente: la función JavaScript P() compara cada valor de criterio y decide si corresponde hacer stand-down

    • Si pasa todas las condiciones, entra en estado "ssd" e ignora las reglas
    • También revisa si email contiene “test” y si existe una affiliate cookie, entre otros factores

Excepción particular para eBay

  • En el caso de eBay, Honey aplica un stand-down de 24 horas (86,400 segundos), mucho más estricto que con otros merchants
    • En el código también está hardcodeado para hacer stand-down incondicional en dominios de eBay
    • Parece una medida influida por la gestión estricta de afiliados tras el caso de fraude de afiliados de eBay en 2008

Cambios de configuración y momento

  • En 2022, la mayoría de las redes no tenía un umbral de puntos, y solo Rakuten (LinkShare) aplicaba uno de 501 puntos (unos 5 dólares)
  • En 2025, ese valor subió drásticamente a 65,000 puntos
    • Se estima que Honey endureció el criterio tras la publicación del video de MegaLag en 2024
  • En el caso de LinkShare, ocurrió lo contrario: ahora basta con 5,001 puntos para ignorar las reglas

Contexto del encubrimiento

  • La conducta de Honey es similar a casos pasados de fraude de afiliados, como cookie stuffing, geofencing y filtrado por IP

    • Se bloquean ciertas IP o cookies para impedir que los testers reproduzcan el problema
    • Se detectan cookies de redes de afiliados para ejecutar un comportamiento distinto solo ante personas de la industria

  • Este encubrimiento es un problema más grave que una simple infracción de reglas, porque prueba engaño deliberado

    • El hecho de que Amazon haya advertido en el pasado que Honey representaba “un riesgo de seguridad” queda, en retrospectiva, justificado

Perspectivas a futuro

  • Honey podría estar violando las políticas de la Google Chrome Web Store (transparencia y prohibición de ocultar funciones)
  • La Apple App Store también aplica un proceso de revisión estricto, por lo que existe la posibilidad de sanciones
  • Se espera que la conducta de encubrimiento de Honey se use como evidencia adicional en la demanda colectiva en curso
    • Como ya se aclaró la causa de su comportamiento irregular, podría simplificarse la estructura del litigio

Divulgación del método de prueba

  • El analista manipuló la comunicación con el servidor de Honey usando FiddlerScript para alterar arbitrariamente el valor de los puntos
    • Con esto reprodujo el escenario de una cuenta con muchos puntos y verificó la reacción de Honey
  • Este método también se aplica actualmente al sistema automatizado de monitoreo de plugins de compras de VPT

Lecturas relacionadas

1 comentarios

 
GN⁺ 2026-01-01
Comentarios de Hacker News
  • Antes trabajé en una empresa de tecnología publicitaria, y creo que esto ya cruzó la línea
    En la industria suelen maquillarlo con términos como “revealed preferences” o “enabling personalization”, pero de verdad me pregunto qué pensaban los ingenieros al diseñar una función como “selective stand down
    Estar dentro de una empresa y aun así crear un producto para evadir un contrato es, en sí mismo, una decisión
    • Probablemente pensaban algo como: “no tengo la libertad de mantener mis estándares morales, me siento inseguro porque soy reemplazable, el sustento de mi familia y mi seguro médico dependen de este trabajo, y no creo que el gobierno vaya a protegerme”
    • No veo diferencia entre esto y el proyecto Greyball de Uber en 2017
      Como se ve en este artículo del New York Times, hay empresas donde se normaliza una cultura de evadir la ley y los contratos
    • El libro de Guido Palazzo, The Dark Pattern, es un buen ejemplo
      Muestra que el poder del contexto es más fuerte que la razón o la moral
      Hace pensar en la “banalidad del mal” durante la Segunda Guerra Mundial. Si todos a tu alrededor actúan así, cualquiera termina haciendo cualquier cosa
    • Parece la postura de un ingeniero con los estándares éticos destruidos que espera que otros sean quienes conserven la civilización
    • Me recuerda al dicho: “la ética aparece cuando tienes la panza llena”
  • El video original de MegaLag se puede ver aquí
    Uno imaginaría que, siendo el ingeniero que construye un sistema así, te preguntarías “¿somos los malos?”, pero parece que no
    • Como referencia, Ben Edelman, autor de la entrada del blog, aparece en el minuto 33 del video
      Su sitio personal es benedelman.org/honey-detecting-testers
    • El capitalismo es muy bueno para lavarse las manos ante las malas acciones
      Incluso mi smartphone probablemente incluye algo de trabajo esclavo, y al final todos somos parte de esa estructura
    • Al principio pensé que ‘Honey’ era un producto relacionado con miel, pero en realidad era una extensión de cupones de descuento
  • Hace unos 15 años viví un problema parecido con marketing de afiliados en una telecom
    Como experimento, dejamos de pagar por completo todas las comisiones de afiliados; el tráfico bajó un poco, pero las ventas casi no cambiaron
    Al final, solo con el reconocimiento de marca ya bastaba para captar clientes
  • No entiendo por qué empresas como Amazon siguen pagándole dinero a la cuenta de afiliado de Honey
    Deben saber que no es tráfico de referencia real, y aun así siguen pagando
  • Que esta extensión haya sido aprobada en la Chrome Web Store significa que la confiabilidad del filtrado de malware de la tienda es casi nula
    • Pero esto no es malware
      Solo son empresas de marketing robándose comisiones entre sí, y ni siquiera suben datos del usuario al servidor
      Todas las comprobaciones se hacen del lado del cliente
    • En realidad, Google seguramente sabe perfectamente lo que hace Honey
      Si quisiera, podría eliminarlo de Chrome con una sola acción
  • Originalmente Honey empezó como un clon de camelcamelcamel, pero Amazon lo expulsó por abusar del sistema
    Después giró hacia un sitio de cupones y PayPal lo compró por 4 mil millones de dólares en efectivo
    Como resultado, mis ingresos por afiliados bajaron
  • El enlace de archivo está aquí
    • Pero ese enlace parpadea y el scroll se comporta raro, así que no lo puedo leer
      No sé si es un problema del original o del archivo
    • ¿Usaste archive.org porque el sitio original no abre?
      El original es vptdigital.com/blog/honey-detecting-testers
      Si hay algún problema, recomendaría contactar directamente a Ben Edelman
  • Recuerdo que este caso de fraude de Honey ya había estallado hace como un año
    Me sorprende que en estos últimos días haya vuelto a salir en artículos
    • El youtuber MegaLag publicó la parte 1 hace un año, y recientemente sacó la parte 2 y la parte 3
      La información nueva empeoró todavía más la imagen de Honey
  • Todo el ecosistema del marketing de afiliados parece un cáncer
    Ojalá Amazon apagara por completo ese sistema
    • Aun así, creo que los enlaces de afiliado son la forma más justa de publicidad
      En un blog de carpintería o pintura, ver enlaces a productos que realmente usan me parece mejor que anuncios aleatorios
    • Desde el punto de vista del consumidor, sería mejor recibir el descuento directo
      Si la tienda oficial ofreciera el mismo código de descuento, todos saldrían ganando
  • El artículo original no está accesible en este momento, pero se puede leer en archive.is/7Y9Jq