Los investigadores de la empresa Island han identificado que la extensión de navegador Adblock for YouTube (identificador cmedhionkhpnakcndndgjdbohmhepckk) contiene un mecanismo latente que permite ejecutar código JavaScript arbitrario en cualquier sitio web visitado por el usuario. La extensión, disponible en Chrome Web Store con la insignia «Featured» y más de 10 millones de instalaciones, en el momento del análisis no distribuía comandos maliciosos — sin embargo, toda la infraestructura necesaria para un ataque ya está integrada en el código y puede activarse con un único cambio en la configuración del servidor. Se recomienda a los usuarios eliminar inmediatamente la extensión y pasar a alternativas de confianza.
Arquitectura de la amenaza oculta
Según los investigadores de Island, la extensión efectivamente cumple su función declarada: bloquea la publicidad en YouTube. Sin embargo, en paralelo implementa un mecanismo remoto de inyección de scripts, arquitectónicamente separado de la funcionalidad principal de bloqueo.
El elemento clave del mecanismo es la regla personalizada trusted-create-element que, según se informa, está presente en la extensión desde febrero de 2025. Esta regla permite crear elementos <script> arbitrarios y obtener acceso a datos confidenciales de la página. Es fundamental que, para activar este mecanismo, basta con modificar la configuración en el servidor de control — no se requieren una nueva revisión en Chrome Web Store ni una actualización de la extensión.
Esto significa que se elude por completo el proceso estándar de revisión de Google por el que pasan las actualizaciones de extensiones. El código ya ha superado la inspección y está instalado en los dispositivos de los usuarios — solo queda «accionar el interruptor» en el servidor.
Permisos excesivos y errores en la validación de URL
La estructura de permisos de la extensión constituye un problema adicional. Pese a su nombre, que sugiere que solo funciona con YouTube, la extensión solicita y obtiene permisos para ejecutarse en todos los sitios que visita el usuario.
Según los investigadores, la lógica de activación de la extensión se dispara al detectar la cadena youtube.com en cualquier parte de la URL — sin comprobar el nombre del host ni el origen del frame. Esto abre la puerta a ataques usando direcciones del tipo:
bank.example.com/search?q=youtube.cominternal.corp.com/redirect?from=youtube.com
De este modo, un atacante puede provocar la ejecución del código de la extensión en un sitio arbitrario simplemente incluyendo la cadena «youtube.com» en los parámetros de la URL — en una consulta de búsqueda, en un parámetro de redirección o en la ruta.
Evaluación del impacto potencial
Según la evaluación de Island, en caso de activarse, el mecanismo permitiría potencialmente:
- Leer el contenido de cualquier página abierta, incluidas las interfaces bancarias y los paneles corporativos
- Robar datos de formularios, tokens de autenticación y cookies
- Ejecutar acciones en nombre del usuario en cuentas personales, aplicaciones de trabajo y paneles administrativos
La magnitud del posible daño viene determinada por una base de más de 10 millones de instalaciones. Además, la presencia de la insignia «Featured» en Chrome Web Store genera en los usuarios una falsa sensación de seguridad — este distintivo se percibe como un sello de calidad y verificación por parte de Google.
Importante matiz: los investigadores subrayan que, en el momento del análisis, no encontraron pruebas de uso activo del mecanismo para la entrega de cargas maliciosas. El servidor no emitía comandos para activar la regla trusted-create-element. La amenaza sigue siendo potencial y no hay constancia de que se esté explotando.
Antecedentes históricos
Según los investigadores, la extensión Adblock for YouTube apareció en Chrome Web Store en 2014. Las primeras versiones, según se indica, incluían el SDK publicitario Unistream, que insertaba anuncios en las páginas de los sitios — lo cual resulta irónico para una herramienta destinada a bloquear publicidad. Este componente se eliminó en junio de 2024.
Cabe señalar que varios detalles históricos, incluida la transferencia de propiedad de la extensión y su relación con otros bloqueadores eliminados de Chrome Web Store, se basan en los datos de un único estudio de Island y no han sido confirmados por fuentes independientes. Hasta el momento de la publicación, Google no había emitido una declaración oficial sobre este incidente.
Recomendaciones
Dado el carácter del mecanismo detectado, se recomienda el siguiente plan de acción:
- Elimine de inmediato la extensión Adblock for YouTube (identificador
cmedhionkhpnakcndndgjdbohmhepckk) mediante el menú de gestión de extensiones de Chrome (chrome://extensions). - Audite las extensiones instaladas — revise los permisos solicitados. Una extensión que declara funcionar con un solo sitio, pero pide acceso a todos, es una señal de alarma.
- Adopte alternativas de confianza con código abierto — uBlock Origin sigue siendo la solución más transparente para el bloqueo de publicidad.
- Para entornos corporativos: utilice las directivas de grupo de Chrome (
ExtensionInstallBlocklist) para forzar la desinstalación de la extensión en los dispositivos gestionados y considere implantar listas blancas de extensiones permitidas. - Cambie las contraseñas de los servicios críticos si la extensión ha estado instalada durante mucho tiempo — como medida de precaución, a pesar de la falta de explotación confirmada.
Este caso demuestra una debilidad fundamental del modelo de seguridad de las extensiones de navegador: el código que ha pasado la revisión en el momento de la publicación puede cambiar radicalmente su comportamiento mediante la configuración del servidor sin una nueva inspección. Mientras Google no implemente mecanismos para controlar las reglas cargadas dinámicamente y las configuraciones de servidor de las extensiones, la única protección fiable es minimizar el número de extensiones instaladas y dar preferencia a soluciones de código abierto con auditoría activa por parte de la comunidad.