Búsqueda de Ciberamenazas

Cuidado con las aplicaciones ChatGPT falsas

Estas aplicaciones, denominadas "fleeceware", se aprovechan de las lagunas en las políticas de las tiendas de aplicaciones y emplean tácticas coercitivas para cobrar de más a los usuarios de asistentes basados en IA

Nuestros investigadores han descubierto varias aplicaciones que se hacen pasar por chatbots legítimos basados en ChatGPT para recaudar miles de euros cada mes cobrando altas comisiones a los usuarios.

Como explica el último informe de Sophos X-Ops titulado “FleeceGPT” Mobile Apps Target AI-Curious to Rake in Cash, estas aplicaciones han aparecido tanto en Google Play como en la App Store de Apple. En concreto, se trata de versiones gratuitas que carecen prácticamente de funciones y muestran constantemente anuncios que incitan a los usuarios a activar suscripciones que pueden costar cientos de euros al año.

“Los estafadores siempre han explotado y explotarán las últimas tendencias tecnológicas para llenarse los bolsillos. ChatGPT no es una excepción. Dado el altísimo nivel de interés que suscitan hoy en día la IA y los chatbots, los usuarios acuden a la App Store de Apple y a Google Play para descargar cualquier cosa que pueda parecerse a ChatGPT. Estas aplicaciones falsas, que Sophos ha bautizado como “fleeceware”, suelen bombardear a los usuarios con anuncios hasta que contratan una suscripción, confiando en que la gente no presta atención al coste o acaba olvidando su suscripción actual. Las aplicaciones están diseñadas de tal forma que su uso es extremadamente limitado para que, al final del periodo de prueba gratuito, los usuarios las cancelen sin darse cuenta de que siguen teniendo que pagar una cuota mensual o semanal”, afirma Sean Gallagher, Investigador Principal de Amenazas de Sophos.

Sophos X-Ops analizó un total de cinco de estos programas fraudulentos, cada uno de los cuales afirmaba estar basado en el algoritmo de ChatGPT. En algunos casos, como con la aplicación “Chat GBT”, los autores jugaron con el nombre ChatGPT para mejorar el posicionamiento de la aplicación en las distintas tiendas de aplicaciones. Mientras OpenAI ofrece la funcionalidad básica de ChatGPT online de forma gratuita, estas aplicaciones cobran desde 10 USD al mes hasta 70 USD al año. La versión para iOS de Chat GBT, llamada Ask AI Assistant, cobra 6 USD semanales (312 USD anuales) tras un periodo de prueba gratuito de tres días, con lo que sus desarrolladores ganaron 10.000 USD solo en marzo. Otra aplicación de este tipo, Genie, pide a los usuarios que activen una suscripción de 7 USD semanales o 70 USD anuales, obtuvo unos ingresos de hasta 1 millón de dólares el mes pasado.

Las principales características del “fleeceware”, detectado por primera vez por Sophos en 2019, son cobrar tarifas exorbitantes por funciones que se pueden encontrar gratis en otros sitios, y utilizar tácticas engañosas y de ingeniería social para convencer a la gente de que active suscripciones de pago. Normalmente, estas aplicaciones ofrecen un periodo de prueba gratuito, pero con tantos anuncios y restricciones que son casi inutilizables a menos que se pague una suscripción. Son aplicaciones mal escritas e implementadas, lo que significa que su funcionalidad es menos que satisfactoria incluso en la versión de pago. Los autores inflan sus valoraciones en las tiendas de aplicaciones mediante reseñas falsas y peticiones insistentes a los usuarios para que valoren la aplicación incluso antes de utilizarla o de que termine el periodo de prueba gratuito.

El “fleeceware” son aplicaciones diseñadas para mantenerse dentro de los límites de lo permitido por las condiciones de servicio de Google y Apple sin violar las normas de seguridad o privacidad, razón por la cual casi nunca son rechazadas por las tiendas de aplicaciones durante la verificación. Aunque Google y Apple han implementado nuevas directrices para contrarrestar el “fleeceware” desde que empezamos a informar sobre su presencia en 2019, los desarrolladores siempre encuentran nuevas formas de eludir las políticas, por ejemplo restringiendo severamente el uso y la funcionalidad a menos que pagues una suscripción. Aunque ya se ha eliminado parte del fleeceware inspirado en ChatGPT analizado en este informe, siguen apareciendo muchos otros y es probable que sea una tendencia creciente. La mejor protección en este caso es la concienciación. Los usuarios deben ser conscientes de la existencia de estas aplicaciones y tener siempre cuidado de leer las condiciones antes de pulsar el botón “suscribirse”. Los usuarios también pueden denunciar las aplicaciones a Apple y Google si creen que los autores utilizan métodos poco éticos para ganar dinero”, concluye Gallagher.

Todas las aplicaciones mencionadas en el informe han sido denunciadas a Apple y Google. Los usuarios que ya las hayan descargado pueden seguir las directrices proporcionadas por sus respectivas tiendas de aplicaciones para cancelar sus suscripciones. La simple eliminación de una aplicación no anula ninguna suscripción en curso.

Puedes encontrar más información sobre este tipo de estafa y cómo evitarla en el informe FleeceGPT Mobile Apps Target AI-Curious to Rake in Cash en Sophos.com