Mastodon Mastodon Mastodon Mastodon

Campaña de ad fraud con extensiones de fondos en vivo en Chrome

Foto del autor

CyberSecureFox Editorial Team

Publicado:

Según los datos de los investigadores de la empresa Socket, en Chrome Web Store se han detectado 152 extensiones maliciosas, disfrazadas de herramientas para instalar fondos de pantalla en vivo en las nuevas pestañas del navegador. Según se informa, las extensiones se habían instalado en conjunto más de 105 000 veces, recopilaban datos de los usuarios en contra de lo declarado en las descripciones y, presuntamente, se utilizaban para falsificar de forma sistemática el tráfico publicitario. A todos los usuarios de Chrome que hayan instalado extensiones de temática anime, personajes de videojuegos, automóviles o celebridades para personalizar las nuevas pestañas se les recomienda comprobar de inmediato la lista de extensiones instaladas y eliminar las sospechosas.

Alcance e infraestructura de la campaña

De acuerdo con el informe de Socket, la campaña abarcaba 38 cuentas de desarrollador en Chrome Web Store, una cifra inusualmente elevada que apunta a una distribución deliberada de las extensiones para reducir el riesgo de un bloqueo masivo. Todas las extensiones ofrecían elementos visuales para personalizar las nuevas pestañas del navegador: fondos de pantalla en vivo con personajes de anime, héroes de videojuegos, automóviles y celebridades, una temática pensada para un público amplio.

Los investigadores vincularon la infraestructura de la campaña con tres dominios:

  • tabplugins[.]com
  • yowgames[.]com
  • chromewallpaper[.]com

La lista completa de extensiones maliciosas está disponible en el informe de Socket.

Esquema técnico: de la recopilación de datos a la falsificación de tráfico

Contradicción entre la descripción y la política de privacidad

El hallazgo clave fue la discrepancia entre las declaraciones públicas y el comportamiento real de las extensiones. En las descripciones de la página de Chrome Web Store se afirmaba que las extensiones no recopilaban ni utilizaban datos de los usuarios. Sin embargo, en la política de privacidad, según los investigadores, se indicaba lo contrario: las extensiones registraban direcciones IP, información sobre los proveedores de internet, número de clics y fuentes de tráfico. Los datos recopilados, según se informa, se transmitían a socios publicitarios, entre ellos Google AdSense y DoubleClick.

Manipulación durante la instalación y la eliminación

La parte más sofisticada del esquema estaba relacionada con los mecanismos ocultos que se activaban en dos puntos críticos del ciclo de vida de la extensión:

Durante la instalación, las extensiones abrían automáticamente una página especial con parámetros UTM. Para los sistemas de analítica, dicha visita parecía un acceso orgánico procedente de los resultados de búsqueda de Google. Tal como explican los investigadores: «No es una persona que simplemente ha encontrado el sitio a través de la búsqueda de Google. La extensión abre la pestaña por sí sola y marca la visita como orgánica».

Durante la eliminación, algunas extensiones enviaban una solicitud a través de google.com/url, un redirigidor legítimo de Google. En los sistemas de analítica, esto se interpretaba como una visita del usuario desde los resultados de búsqueda, aunque en realidad la solicitud se generaba de forma programática.

Ambas técnicas perseguían un único objetivo: crear de forma artificial señales que las plataformas publicitarias y de analítica asocian con visitantes reales. Los operadores de la campaña obtenían así la posibilidad de manipular los indicadores de tráfico y su procedencia, un esquema clásico de fraude publicitario.

Mecanismo inactivo de trabajo con IndexedDB

Los investigadores también descubrieron en el código una función inactiva relacionada con IndexedDB. Al iniciarse el service worker, esta función es capaz de enumerar y eliminar todas las bases de datos IndexedDB detectadas en el navegador. Aunque este mecanismo no se utilizaba en el momento del análisis, su mera presencia indica capacidades adicionales incorporadas, potencialmente destructivas, dado que IndexedDB es utilizado por las aplicaciones web para almacenar volúmenes significativos de datos estructurados, incluidos cachés sin conexión y configuraciones de usuario.

Evaluación del impacto

Según la evaluación de Socket, se trata de una operación comercial orientada al fraude publicitario y a la manipulación de las fuentes de tráfico. Más de 105 000 instalaciones significan que decenas de miles de usuarios estuvieron potencialmente expuestos a una recopilación de datos no autorizada. Al mismo tiempo, es importante tener en cuenta varios aspectos:

  • Para los usuarios finales: filtración de direcciones IP, datos sobre el proveedor y métricas de comportamiento hacia socios publicitarios desconocidos. La presencia de código en reposo para trabajar con IndexedDB crea un riesgo de pérdida de datos de aplicaciones web en caso de activación.
  • Para los anunciantes: el tráfico orgánico falsificado distorsiona la analítica y conduce a un uso ineficiente de los presupuestos publicitarios.
  • Para el ecosistema de Chrome Web Store: el uso de 38 cuentas de desarrollador pone de manifiesto las limitaciones de los mecanismos actuales de moderación a la hora de detectar campañas coordinadas.

Cabe señalar que todas las conclusiones se basan en el informe de una única fuente de investigación. En el momento de la publicación no se había recibido confirmación oficial por parte de Google ni de Chrome Web Store.

Recomendaciones

  1. Compruebe las extensiones instaladas: abra chrome://extensions/ y compare la lista con el listado de extensiones maliciosas del informe de Socket. Elimine todas las coincidencias.
  2. Revise los permisos de las extensiones: las extensiones para personalizar nuevas pestañas no deberían solicitar acceso a los datos de todos los sitios ni a la actividad de red.
  3. Compare la descripción con la política de privacidad: si una extensión afirma no recopilar datos, pero su política de privacidad describe la transmisión de información a socios publicitarios, se trata de una señal clara de mala praxis.
  4. Minimice la cantidad de extensiones: cada extensión de Chrome se ejecuta con privilegios que le permiten interactuar con el contenido de las páginas y las solicitudes de red. Instale solo extensiones de desarrolladores verificados y con un historial transparente.
  5. Para administradores de entornos corporativos: utilice las directivas de grupo de Chrome (ExtensionInstallBlocklist, ExtensionInstallAllowlist) para restringir la instalación de extensiones únicamente a una lista aprobada.

Este caso ilustra claramente que las extensiones con una funcionalidad aparentemente inofensiva —personalización de pestañas, fondos, temas— siguen siendo uno de los vectores más eficaces para la recopilación masiva de datos y el fraude publicitario. Los usuarios que encuentren cualquiera de las 152 extensiones mencionadas en el informe de Socket deben eliminarla de inmediato y comprobar qué datos podrían haberse transferido, revisando el historial de solicitudes de red de la extensión a través de las herramientas para desarrolladores de Chrome.

Foto del autor

CyberSecureFox Editorial Team

El equipo editorial de CyberSecureFox cubre noticias de ciberseguridad, vulnerabilidades, campañas de malware, actividad de ransomware, AI security, cloud security y security advisories de proveedores. Los materiales se preparan a partir de official advisories, datos de CVE/NVD, alertas de CISA, publicaciones de proveedores e informes públicos de investigadores. Los artículos se revisan antes de su publicación y se actualizan cuando aparece nueva información.

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

CyberSecureFox

© 2026 INFO

Sobre el sitio

Sobre CyberSecureFox

Autores

Contacto

Redacción

Estándares editoriales

Correcciones

Legal

Política de privacidad

Términos de servicio