La firma de análisis Socket ha identificado 131 extensiones en Chrome Web Store diseñadas para automatizar acciones en WhatsApp Web y ejecutar envíos masivos. Con una base de aproximadamente 20.905 usuarios activos y enfoque en la audiencia brasileña, los investigadores señalan una campaña sostenida y con motivación comercial.
Hallazgos clave: clúster único, automatización y evasión antispam
Socket describe un clúster con código compartido, patrones de diseño repetidos e infraestructura común de distribución de actualizaciones. La funcionalidad principal consiste en automatizar el envío y la programación de mensajes en web.whatsapp.com.
De acuerdo con el análisis, no se trata de un malware clásico, sino de una infraestructura de alto riesgo para spam: las extensiones inyectan código directamente en la página de WhatsApp Web y operan junto a los scripts legítimos para orquestar envíos masivos y sortear límites antispam de la plataforma.
Operación y modelo de negocio: white‑label, rebranding y resellers
Aunque aparecen con nombres y logotipos distintos, la mayoría de publicaciones se relaciona con los desarrolladores WL Extensão y WLExtensao. Se comercializan como “CRM para WhatsApp”, prometiendo “embudos”, “crecimiento de ventas” y “disparos masivos” desde la versión web del mensajero.
Los investigadores vinculan el clúster con una estrategia de franquicia y white‑label basada en el producto ZapVende de DBX Tecnologia. Según Socket, la compañía ofrece un programa para resellers que permite rebranding y reventa, con proyecciones de ingreso de 30.000–84.000 BRL y una inversión inicial cercana a 12.000 BRL. Asimismo, se documentan materiales en YouTube donde se muestran prácticas destinadas a eludir limitaciones antispam.
Cronología y alcance de la campaña
La actividad se mantiene al menos desde hace nueve meses, con nuevas cargas y actualizaciones registradas hasta el 17 de octubre de 2025, lo que sugiere continuidad operativa y optimización continua.
Riesgos técnicos en WhatsApp Web: content scripts y abuso operativo
Las extensiones actúan como content scripts, inyectándose en el DOM de WhatsApp Web y ejecutándose junto a scripts legítimos. Este vector permite planificar mensajes, distribuir el ritmo de envío e imitar comportamiento humano para reducir detecciones. Entre los riesgos destacan la bloqueo de números, la exposición de datos por actualizaciones provenientes de infraestructura externa y la ampliación de la economía del spam a través de la replicación por franquicias.
Cumplimiento normativo: políticas de Chrome Web Store y WhatsApp
Conforme a Chrome Web Store Developer Program Policies, publicar múltiples extensiones con funcionalidad duplicada y comportamiento orientado al spam constituye abuso de la plataforma. Además, los intentos de eludir mecanismos antispam vulneran secciones sobre contenido no permitido y uso indebido de APIs.
Los Términos de WhatsApp y las políticas comerciales de Meta prohíben expresamente el envío automatizado y masivo sin consentimiento y cualquier bypass de limitaciones. La automatización mediante scripts inyectados en web.whatsapp.com y los envíos no confirmados por el usuario incurren en sanciones, incluyendo suspensión de cuentas.
Impacto para usuarios, empresas y ecosistema
Aun con una base de ~21.000 instalaciones, el volumen potencial de mensajes no solicitados crece exponencialmente con la paralelización. Para organizaciones, estas prácticas implican riesgos legales y reputacionales: bloqueos de canales, quejas de usuarios y sanciones de las plataformas. Para el ecosistema del navegador, supone mayor carga de moderación y erosiona la confianza en Chrome Web Store.
Recomendaciones de seguridad y mitigación
Para usuarios y empresas: auditar extensiones instaladas; verificar editor e historial de actualizaciones; aplicar el principio de mínimos privilegios; habilitar 2FA en WhatsApp; evitar “extensiones CRM” para WhatsApp Web y migrar al WhatsApp Business API o a proveedores aprobados.
Para cumplimiento y TI: desplegar políticas corporativas de navegador (managed extensions) para bloquear complementos no autorizados; monitorizar actividad anómala en WhatsApp Web; formar a empleados sobre riesgos de automatización en mensajería.
El clúster detectado por Socket ilustra cómo el modelo white‑label puede acelerar herramientas de evasión antispam. Revisar la procedencia de las extensiones, respetar las políticas de las plataformas y optar por canales oficiales de integración reduce bloqueos, fugas y pérdidas financieras. Actúe hoy: audite su navegador, depure extensiones y alinee sus comunicaciones con los estándares de seguridad y cumplimiento.
