Los investigadores de Koi Security han identificado una grave vulnerabilidad de privacidad en la extensión FreeVPN.One para Google Chrome, que afecta a más de 100,000 usuarios activos. La aplicación ha comenzado a realizar capturas de pantalla encubiertas de todas las páginas web visitadas, transmitiendo estos datos a servidores remotos sin el conocimiento explícito de los usuarios.
Mecanismo de captura encubierta detectado
El análisis técnico revela que la extensión ejecuta automáticamente capturas de pantalla aproximadamente un segundo después de que cada página web termine de cargar. Inicialmente, estos datos se transmitían sin cifrado, pero tras una actualización posterior, los desarrolladores implementaron encriptación para ocultar sus actividades de monitoreo.
La sofisticación del ataque radica en su naturaleza aparentemente invisible para el usuario final. No se muestran notificaciones, solicitudes de permiso adicionales, ni indicadores visuales que alerten sobre la captura de información sensible.
Evolución gradual hacia el comportamiento malicioso
La transformación de FreeVPN.One en una herramienta de espionaje comenzó en julio de 2025 mediante una estrategia de escalación progresiva de permisos. Los desarrolladores emplearon una táctica conocida como «permission creep», liberando múltiples actualizaciones menores que solicitaban:
• Acceso completo a todos los sitios web visitados
• Capacidad de inyección de scripts personalizados
• Habilitación de funciones de «detección de amenazas mediante IA»
Esta metodología permitió evadir los sistemas de detección automática del Chrome Web Store, que están diseñados para identificar cambios abruptos en el comportamiento de las extensiones.
Respuesta controvertida de los desarrolladores
Ante las investigaciones de The Register, el equipo de FreeVPN.one defendió su producto alegando «cumplimiento total con las políticas del Chrome Web Store» y afirmando que la funcionalidad de captura está documentada en su política de privacidad.
Los desarrolladores sostienen que las capturas de pantalla se generan exclusivamente para «escaneo en segundo plano de dominios sospechosos» y que las imágenes no se almacenan permanentemente, sino que únicamente se analizan para detectar amenazas potenciales.
Evidencia contradictoria revelada
Sin embargo, los investigadores de Koi Security han presentado pruebas definitivas que demuestran que el sistema captura pantallas de forma continua y universal, incluyendo sitios web confiables como Google.com. Esta evidencia contradice completamente las declaraciones oficiales sobre escaneo selectivo.
Fallas sistémicas en la seguridad del Chrome Web Store
Este incidente expone deficiencias críticas en los mecanismos de protección de la tienda oficial de extensiones de Google. A pesar de contar supuestamente con múltiples capas de seguridad que incluyen:
• Escaneo automatizado de código fuente
• Revisiones manuales de actualizaciones
• Monitoreo de cambios comportamentales
• Detección de código malicioso
Ninguna de estas medidas logró prevenir la distribución de una extensión potencialmente peligrosa con estatus de desarrollador verificado.
Estrategias de protección recomendadas
Para mitigar estos riesgos, los usuarios deben implementar un enfoque proactivo de seguridad que incluya auditorías regulares de extensiones instaladas, revisión detallada de permisos solicitados durante actualizaciones, y preferencia por soluciones de desarrolladores con historial comprobado en el mercado.
El caso FreeVPN.One subraya una realidad preocupante: incluso las extensiones populares y aparentemente confiables pueden convertirse en vectores de compromiso de privacidad. Esta situación refuerza la necesidad crítica de mantener vigilancia constante y exige mejoras urgentes en los sistemas de seguridad del ecosistema de extensiones de navegador.