La traición de la extensión Honey: el análisis del código fuente demuestra el robo de comisiones de afiliados

Honey, la herramienta de compras instalada en los navegadores de 17 millones de personas en todo el mundo con la promesa de descuentos gratuitos, ocultaba tras de sí un sofisticado sistema de engaño. PayPal adquirió este servicio por la astronómica cifra de 4.000 millones de dólares, pero no se trataba de un simple error técnico. Tras analizar mediante ingeniería inversa cinco años de código fuente, ha salido a la luz una realidad de abuso de ingeniería perfeccionada a lo largo de los años para interceptar los beneficios de terceros.

Stand-down selectivo y engaño a los probadores

En el mercado del marketing de afiliación existe una ética comercial: el principio de stand-down, que consiste en retirarse sin sobrescribir las cookies de un usuario que ya ha llegado a través de otro canal. Sin embargo, Honey ignoró selectivamente este principio a través de su código. Específicamente, para evitar la vigilancia, puso en marcha incluso un motor de perfiles que determinaba si el usuario era un experto en seguridad o un consumidor común.

• El umbral de los 65.000 Honey Gold: Las cuentas con menos de aproximadamente 650 dólares en puntos acumulados se clasifican como probadores. En estas cuentas, la lógica fraudulenta está diseñada para no activarse, eludiendo así las redes de vigilancia.
• Detección de cookies industriales: Si se detectan registros de inicio de sesión en paneles de redes de afiliados como Rakuten o Awin en el navegador, Honey actúa inmediatamente como una aplicación "buena" y cesa cualquier actividad sospechosa.

Historia de una lógica fraudulenta evolucionada en 6 etapas

El sistema de Honey se volvió más astuto con el tiempo. No se trató de un simple mantenimiento de código, sino de saltos tecnológicos anuales realizados para ocultar sus acciones fraudulentas.

Etapa de evolución	Período	Principales cambios técnicos	Método de control de la lógica de afiliados
Etapa inicial	~2019	Hard-coding basado en simples if-else	Aplicación de reglas estáticas
Estancamiento	2020-2021	Estabilización del sistema tras la compra de PayPal	Ejecución de funciones básicas
Transición dinámica	2022-2023	Introducción de configuración dinámica basada en JSON	Control en tiempo real desde el servidor
Evasión de seguridad	2024~	Incorporación de motor VIM (intérprete)	Neutralización de las regulaciones Manifest V3

El motor VIM que neutralizó las normas de seguridad de Google

Google prohibió estrictamente la ejecución de código externo para reforzar la seguridad de las extensiones, bajo la regulación Manifest V3. En lugar de enfrentar esta norma directamente, Honey optó por la excentricidad de construir su propio entorno de ejecución de JavaScript dentro de la extensión.

El analizador (parser) de JavaScript Acorn, integrado en Honey, interpreta los datos JSON descargados del servidor no como simple información, sino como lógica ejecutable. Las herramientas de análisis estático de Google lo identifican como simples datos y lo dejan pasar. Como resultado, Honey obtuvo el poder total para manipular el comportamiento del navegador del usuario en tiempo real sin necesidad de actualizar la extensión.

Attribution Hijacking (Secuestro de atribución) y robo de ganancias

El método de Honey para interceptar ganancias es discreto y letal. En el instante en que el usuario llega a la página de pago, abre en segundo plano una pestaña invisible de 1x1 píxeles para forzar la llamada al enlace de afiliado. En este proceso, se eliminan las cookies de recomendación que debería recibir el creador de contenido original y el identificador de Honey ocupa su lugar.

Según casos de análisis reales, hubo situaciones en las que Honey ofreció al usuario apenas 0,89 dólares en recompensas mientras interceptaba en la sombra la comisión íntegra de 35,60 dólares que correspondía al creador. Incluso antes de que el usuario pulse el botón de aplicar cupón, el código se envía al servidor, provocando la filtración a su base de datos pública de códigos VIP o de un solo uso emitidos por pequeños comerciantes para clientes específicos.

Excelencia técnica y ausencia de ética

El caso de Honey demuestra cuán destructivos pueden ser los resultados cuando la tecnología se aleja de las directrices éticas. Actualmente, grandes redes de afiliados, incluida Rakuten, han expulsado permanentemente a Honey, y se están sucediendo demandas colectivas de creadores de contenido perjudicados.

Debemos recordar que los servicios gratuitos pueden ser, en realidad, el precio de haber confiscado el valor del trabajo legítimo de otros. Si una extensión de navegador solicita permisos para leer y modificar todos los datos de los sitios web, sospeche de sus intenciones. El comportamiento inapropiado de Honey no es un simple error, sino el producto de un diseño meticulosamente calculado para la maximización de beneficios.