Varias apps para falsear la ubicación de ordenadores manipulan a Google Play y se colocan entre las más descargadas

Una decena de apps chinas y estadounidenses de VPN (Virtual Private Network - Red privada virtual) han descubierto cómo engañar al algoritmo de Google en su tienda oficial y conseguir así más de 280 millones de descargas. La investigación la ha llevado a cabo una de las compañías afectadas, VPNpro, que ha elaborado un informe detallando las prácticas de estas aplicaciones.

Una VPN es un servicio que permite redirigir el tráfico de Internet a través de servidores remotos, enmascarando la IP del usuario y su ubicación. La mayoría de ellas también cifran los paquetes de la información, haciendo muy difícil que alguien pueda intervenir lo que entra y sale de la red. Son populares en países como China, donde el acceso a Internet es limitado o en otras localizaciones donde el control de las telecomunicaciones por parte del gobierno es alto.

En Google Play, la tienda oficial de la multinacional, la palabra “vpn” se encuentra entre los 10 términos de búsqueda más populares. Entrar en ese top otorga suculentos beneficios a las compañías en materia de suscripciones de los usuarios o de anuncios dentro de la app, por eso muchas empresas intentan engañar al algoritmo para aparecer entre las más populares. Es precisamente lo que hicieron X-VPN, Secure VPN, Free VPN, Turbo VPN, Betternet Hotspot VPN, VPN Proxy Master, Thunder VPN, SuperVPN, JustVPN y VPN 360, las diez aplicaciones señaladas por los expertos en ciberseguridad de VPNpro.

Siete de esas apps tienen su sede en Hong Kong, “tienen propietarios chinos o están relacionadas con China”, aseguran los investigadores. Las tres restantes son estadounidenses. “Nuestros expertos se interesaron en este problema cuando se dieron cuenta de que los líderes del mercado VPN ocupaban un lugar increíblemente bajo en Google Play”, explica a eldiario.es un portavoz de VPNpro. Las apps utilizaban técnicas fraudulentas para posicionarse en los primeros lugares de la tienda, pero los investigadores no tienen claro si lo hacían solo para obtener rédito económico o con una segunda intención: filtrar datos al gobierno chino y estadounidense sobre los usuarios que usaban estos servicios.

Obtener beneficios millonarios usando el SEO

Las diez apps descubiertas usaban tres métodos diferentes para engañar a los usuarios: compraban reseñas falsas, utilizaban vínculos de retroceso (backlinks) y llenaban las descripciones de palabras clave, como si se tratara de SEO, para colocarse en lo alto de la Google Play.

VPNpro analizó más de 150.000 reseñas y descubrió que las pertenecientes a las apps fraudulentes tenían “significativamente menos palabras por reseña”, eran “menos únicas”, contaban “con un porcentaje más alto de reseñadores cuyos nombres están ocultos” y solían empezar por letras minúsculas. Son algunos de los mecanismos propios de un bot programado para posicionar a una web o a una app a la cabeza de los resultados de búsqueda. “Dado que se crearon para manipular el algoritmo de Google Play y obtener grandes aumentos en las clasificaciones, desafortunadamente, han demostrado ser exitosas”, explican los investigadores.

El informe detalla el modus operandi a través de las otras dos técnicas, los vínculos de retroceso y las palabras clave. Los backlinks, tradicionalmente usados en SEO y posicionamiento web, son los enlaces que redirigen a una web desde otra. Cuantos más backlinks tenga una página, teóricamente, más notoriedad tiene. Las apps descubiertas por VPNpro incorporaban este tipo de enlaces pero ni siquiera estaban relacionados con servicios de VPN, sino con otras webs de dudosa seguridad.

Los investigadores también descubrieron un número exagerado de palabras clave en las descripciones de cada app. “La aplicación de VPN mejor clasificada, JustVPN, mencionaba la palabra clave 'vpn' 48 veces”, explican. Este servicio, incluso, utilizaba el nombre de otras apps similares de VPN para posicionarse en los primeros puestos de las búsquedas.

Desde VPNpro estiman que el coste de utilizar estas técnicas rondaban los 16.000 dólares por app (14.491 euros), una suma que recuperaban con creces debido al gran número de descargas que cosechaban. “Todas estas tácticas tienen como cometido no la experiencia del usuario, sino simplemente vencer al algoritmo de Google Play. Y, en base a estos resultados, están teniendo éxito a un costo y esfuerzo mucho más bajos de lo que cualquiera podría haber imaginado”, concluyen.