Los modelos de negocio grises del mundo de las aplicaciones

luminati proxy

¿Cómo se gana la vida un desarrollador de aplicaciones móviles?

A priori habría tres posibles respuestas:

  • O bien hace desarrollos para terceros.
  • O bien monetiza sus propios desarrollos.
  • O bien ambas.

La monetización de apps, por su parte, es un mercado prácticamente dominado entre aquellos que insertan publicidad en su servicio, y aquellos que ofrecen una opción para suscribirse a él.

Fíjese que ya ni hablo de aquellos que ofrecen un modelo freemium (versión gratuita y versión completa de pago). Si algo hemos ido aprendiendo estos últimos años es que actualmente, y presuponiendo que quien está detrás de un popular servicio es una empresa que tiene que pagar a sus trabajadores y no un solo desarrollador que, por la razón que sea, ha tenido suerte con uno de sus proyectos, pretender vivir de una aplicación de pago es pecar de ingenuo.

La curva de maduración en las descargas móviles (cada vez probamos menos aplicaciones y somos más fieles a las que ya tenemos instaladas), unido a factores puramente sociales (el número de usuarios mensuales que pagan por descargar la versión de pago tarde o temprano irá estancándose) y económicos (¿cuánto se paga de media por una aplicación? ¿0,99 euros? ¿2,99 euros?), así lo atestiguan.

Por supuesto, algunos lo hacen apoyados también en rondas de inversión, y bajo el ostracismo que permite a una compañía privada no dar a conocer los beneficios reales (burbuja de emprendimiento digital, lo llaman…). El entorno del desarrollo móvil está cada vez más llenito de servicios aparentemente exitosos que consiguen salir adelante al ser comprados por un gigante, que pasan a ofrecer su servicio como suscripción, o que se quedan en un letargo indeterminado hasta que, de pronto, alguien cierra el grifo.

Así pues, y por resumir, la diatriba está en si ofrecemos de forma gratuita la aplicación a cambio de incluir publicidad, y a sabiendas de los márgenes que se manejan (necesitas tener muchísimos usuarios que utilicen activamente la aplicación), o si nos decantamos por transformar el producto en un servicio de suscripción periódica, mucho más escalable y que bien llevado a cabo tiende a asegurar la rentabilidad del proyecto a largo plazo.

Hay, no obstante, otras alternativas.

El negocio de los SDKs de terceros

Lo cierto es que sí, y de ello quería hablarle precisamente hoy.

El caso es que recientemente un miembro de la Comunidad me pasaba un email en el que le invitaban, como desarrollador de aplicaciones que es, a unirse a uno de estos canales alternativos de monetización que se han creado alrededor del mundo de las aplicaciones móviles.

Luminati (EN) es una plataforma que ofrece a clientes la capacidad de realizar llamadas HTTP a donde queramos mediante miles de proxies… con los objetivos que ellos tengan.

Desde lo obvio, que es redirigir tráfico a una página web o un servicio (¿quizás para realizar algún tipo de investigación? ¿quizás para engordar artificialmente las analíticas, y con ello, posicionar por encima de lo que nos corresponde?), pasando por otros usos que quizás queden un poco más lejos de la legalidad (¿malvertising automatizado? ¿granjas de clicks en publicidad? ¿ataques DDoS?…).

Y aquí viene la parte interesante: ¿De dónde sacan esas IPs?

Pues de nuestros teléfonos móviles.

El proceso para el desarrollador es la mar de sencillo (EN). Basta con incluir en su aplicación el SDK de la plataforma, y actualizar los derechos de uso de la misma incluyendo un par de párrafos (te los dan ya preparados para que solo sea copiar y pegar) donde el usuario acepta que bajo X situaciones se utilice su conexión para los fines anteriormente mencionados.

Tras esto, todos aquellos usuarios de esa aplicación servirán de granja para el negocio de un tercero. Eso sí, la empresa asegura que sólo llevan a cabo la conexión remota siempre que el dispositivo esté en reposo, conectado a una red WiFi, tenga más del 60% de batería, y esta se esté cargando. Es decir, en la mayoría de casos, solo se llevará a cabo en horas de oficina y por las noches.

Un negocio redondo, ya que el usuario probablemente jamás se de cuenta de que forma parte de esta botnet. De no tener estos controles habilitados, lo más probable es que el abuso en tráfico de datos y reducción drástica de la batería acabase por incentivar al usuario a desinstalar la app.

Por todo ello, al menos a este compañero le pagarían 30.000 dólares por mes y por cada un millón de usuarios activos con los que cuente su aplicación.

Simplemente, para ello, debe vender su credibilidad y transformar el producto que oferta en una suerte de botnet para un tercero.

De nuevo a debate la confianza en desarrollos de terceros

Lo comenté en el 2014 al hilo del uso de extensiones de navegador compradas por terceros para la proliferación de malware, y recientemente, de hecho, volví a comentarlo en la intranet de mecenas con un nuevo caso que ha afectado a unos cuantos millones de usuarios (ES).

En el ecosistema digital que hemos creado, ya no solo dependemos de la seguridad y confianza que podamos depositar en las piezas de código que utilizamos de terceros, sino que además el escenario es tan líquido que resulta complicado saber quién tendría la culpa en caso de mal uso por parte de algunas de las partes implicadas.

Volviendo a Luminati, si por ejemplo una de mis aplicaciones móviles está siendo monetizada de esta manera, y el día de mañana (que ojo, no digo que a día de hoy lo estén haciendo) empiezan a ofrecer esa red proxy a la industria del cibercrimen para realizar ataques DDoS contra objetivos, ¿La culpa es únicamente de ellos o también sería mía? A fin de cuentas, me están pagando y yo tácitamente he aceptado que sea un tercero quien monetice a mi comunidad.

Y lo mismo pero desde el punto de vista del usuario.

¿Qué seguridad tengo yo de que esa aplicación que tengo instalada en mi dispositivo no va de pronto a cambiar su política de uso, traficando entonces con mis datos? Luminati asegura que no utiliza ningún tipo de identificador para segmentar su red más allá de la procedencia de esa IP. Pero vaya, el día de mañana podría cambiar de parecer y no habría alerta ni de cara al usuario ni de cara a sus stakeholders (desarrolladores de apks).

Y la solución debería estar clara:

Es crítico que demandemos a los markets, sean del tipo que sea, que se hagan eco obligatoriamente de estos cambios y los notifiquen al usuario. Que cuando se produce un cambio tan importante para el futuro del proyecto como es que éste pase a estar gobernado por otro, o que éste pase a ser monetizado mediante un sistema distinto al que operaba hasta ahora, y para colmo ajeno al propio market, se informe debidamente al usuario, alertando de lo que supone (a qué estará expuesto si actualiza) y hasta ofreciendo algún tipo de garantía temporal en caso de mala praxis.

Lo fácil, no obstante, es seguir como hasta ahora, con empresas de la talla de Google, Apple o Microsoft haciendo las veces de garantes del ecosistema digital que hay alrededor de sus sistemas operativos, pero lavándose las manos cuando ese mismo ecosistema se pervierte.

Algo que deberían entender que rema en contra de sus intereses. Algo que impide a esta nueva oleada de sistemas operativos madurar convenientemente. Con todo lo que ello conlleva.