Dos extensiones antes consideradas confiables en Google Chrome — QuickLens y ShotBird — han sido transformadas en herramientas de ataque tras su cambio de propietario. Investigadores de Annex Security y el analista independiente monxresearch-sec han documentado cómo, tras recientes actualizaciones, estos complementos pasaron a ejecutar código arbitrario, recolectar datos de usuarios y distribuir malware mediante falsas notificaciones de actualización de Chrome.
Cambio de propietario: un vector emergente en ataques a extensiones de Chrome
Originalmente, ambos complementos cumplían con su funcionalidad declarada. QuickLens, con unas 7000 instalaciones, ofrecía búsqueda rápida mediante Google Lens. ShotBird, con alrededor de 800 usuarios, prometía creación de capturas de pantalla e imágenes “profesionales” con procesamiento local. En enero de 2025, ShotBird incluso obtuvo el distintivo Featured en Chrome Web Store, un sello que muchos usuarios asocian con seguridad y calidad reforzadas.
La situación cambió al producirse la venta de los proyectos. El desarrollador de QuickLens puso la extensión en la plataforma ExtensionHub apenas dos días después de su publicación, y el 1 de febrero de 2026 pasó a manos de la cuenta [email protected]. Según los investigadores, ShotBird fue vendido en febrero de 2026. Es tras estos cambios de titularidad cuando empiezan a introducirse modificaciones maliciosas en el código y comportamiento.
Este tipo de casos ilustra una debilidad estructural en la cadena de suministro de extensiones de navegador: un complemento legítimo, con buena reputación y valoraciones positivas, puede convertirse de un día para otro en canal de distribución de malware para miles de equipos, sin levantar sospechas hasta que se despliega la actualización maliciosa.
Cómo QuickLens se convirtió en una herramienta de ejecución remota de código
Manipulación de cabeceras HTTP y evasión de Content Security Policy
El 17 de febrero de 2026 QuickLens recibió una actualización que mantenía su funcionalidad principal, pero añadía lógica oculta. El cambio crítico consistía en interceptar y modificar el tráfico HTTP, eliminando cabeceras de seguridad como X-Frame-Options.
Esta cabecera protege frente al clickjacking e impide que ciertas páginas se carguen dentro de iframes. Al suprimir X-Frame-Options y cabeceras relacionadas, se facilita el bypass de la Content Security Policy (CSP), lo que abre la puerta a inyectar y ejecutar scripts arbitrarios en los sitios que visita el usuario. En la práctica, el navegador pasa a ser un entorno donde el atacante puede desplegar código bajo demanda.
Telemetría, servidor de mando y control y carga dinámica de payloads
De acuerdo con Annex Security, la versión comprometida de QuickLens comenzó a recopilar telemetría técnica (país, sistema operativo, versión del navegador) y a contactar cada cinco minutos con un servidor externo para descargar un nuevo payload en JavaScript.
El código malicioso no aparece de forma explícita en los archivos del paquete de la extensión. En su lugar, el script se descarga desde la infraestructura de mando y control (C2), se almacena en el local storage del navegador y se ejecuta de manera dinámica. Este enfoque dificulta el análisis estático, facilita eludir controles automatizados de las tiendas oficiales y permite a los atacantes cambiar tácticas y objetivos sin publicar nuevas versiones.
ShotBird: falsas actualizaciones de Chrome y despliegue de malware infostealer
ClickFix y abuso de PowerShell mediante ingeniería social
En el caso de ShotBird, los atacantes optaron por una cadena de ataque basada en ingeniería social. La extensión comenzó a mostrar un falso aviso de actualización de Google Chrome. A partir de ahí se ejecuta una ClickFix-attack: el usuario es guiado paso a paso para abrir el cuadro “Ejecutar” de Windows, lanzar cmd.exe y finalmente pegar un comando de PowerShell proporcionado por la propia ventana fraudulenta.
El proceso se presenta como un supuesto “arreglo manual” de un error de actualización, cuando en realidad es el propio usuario quien inicia la ejecución de código malicioso con altos privilegios, sorteando muchas defensas del navegador.
Capacidades del ejecutable malicioso googleupdate.exe
El script de PowerShell descarga en el equipo de la víctima un ejecutable denominado googleupdate.exe. Al ponerse en marcha, este archivo actúa como un típico infostealer con varias capacidades:
- interceptar datos introducidos en formularios web (credenciales, PIN, información de pago, tokens de sesión);
- extraer contraseñas guardadas e historial de navegación de Chrome;
- exfiltrar toda la información recopilada hacia servidores controlados por el atacante.
Los investigadores señalan que la infraestructura de mando y control, la lógica de la ClickFix-attack y el patrón de abuso del cambio de propietario apuntan a un mismo operador de amenazas detrás de ambas campañas.
Riesgos de la cadena de suministro de extensiones de navegador
El incidente de QuickLens y ShotBird confirma que el modelo de seguridad basado en una “auditoría única” al momento de publicar la extensión en la tienda es insuficiente. Incluso extensiones con sello Featured y reseñas positivas pueden convertirse en maliciosas tras una adquisición o cambio de equipo de desarrollo.
La industria ya ha visto casos similares: extensiones populares de bloqueo de anuncios o gestión de pestañas han sido vendidas y, posteriormente, modificadas para inyectar publicidad intrusiva, recolectar datos de navegación o desplegar cryptominers ocultos. Google ha retirado en varias oleadas centenares de extensiones maliciosas de Chrome Web Store, pero el factor humano y la confianza en la reputación previa siguen siendo eslabones débiles.
Muchos usuarios rara vez revisan qué extensiones tienen instaladas, no comprueban si ha cambiado el desarrollador y tienden a aceptar sin cuestionar nuevas “funciones” o ventanas emergentes, lo que crea un entorno ideal para este tipo de ataques a la cadena de suministro.
Recomendaciones para protegerse de extensiones maliciosas en Chrome
Para reducir la superficie de ataque asociada a las extensiones de navegador, es recomendable aplicar las siguientes prácticas:
- Limitar el número de extensiones. Instalar solo las estrictamente necesarias y desinstalar con regularidad las que no se utilicen.
- Revisar cuidadosamente los permisos. Desconfiar de complementos que piden acceso “a todos los sitios” o a leer y modificar datos en todas las páginas visitadas.
- Vigilar cambios de comportamiento. Prestar atención a nuevas ventanas emergentes, solicitudes inusuales o “pasos obligatorios” que antes no existían.
- Ignorar cualquier “actualización de Chrome” iniciada por una extensión. El navegador se actualiza de forma nativa y nunca requiere ejecutar comandos en
cmdo PowerShell a petición de un complemento. - Apoyarse en soluciones de seguridad. Antimalware y plataformas EDR con análisis de comportamiento pueden bloquear comandos sospechosos de PowerShell y conexiones no autorizadas a servidores externos.
La lección clave es que incluso las extensiones más familiares pueden volverse peligrosas con una sola actualización. Mantener una “higiene” rigurosa del navegador, revisar periódicamente el listado de complementos instalados y adoptar una actitud crítica ante cualquier ventana emergente son pasos esenciales para reducir el riesgo de infección y la posible filtración de datos sensibles, tanto para usuarios domésticos como para organizaciones.
