Investigadores de ciberseguridad han identificado una campaña coordinada con 108 extensiones maliciosas para Google Chrome, diseñadas para espiar la actividad del usuario, robar cuentas y tomar control encubierto del navegador. Aunque el volumen de instalaciones ronda las 20 000 descargas, el nivel de acceso que obtienen estas extensiones las convierte en una amenaza significativa para la privacidad y la seguridad de las cuentas en línea.
Campaña coordinada en Chrome Web Store y la infraestructura C2 común
El análisis, realizado por la empresa de seguridad Socket, revela que las extensiones se publicaron en la Chrome Web Store bajo cinco identidades de desarrollador diferentes: Yana Project, GameGen, SideGames, Rodeo Games e InterAlt. A pesar de aparentar ser proyectos independientes, todas las extensiones se comunican con la misma infraestructura de command and control (C2).
Las comunicaciones se dirigen a un backend alojado en la dirección IP 144.126.135[.]238, que centraliza las órdenes y la exfiltración de datos. Fragmentos de código con comentarios en ruso apuntan a un posible origen geográfico de los desarrolladores, aunque la atribución de la operación sigue siendo incierta, algo habitual en campañas de malware de este tipo.
Cómo funcionan las extensiones maliciosas de Chrome
Robo de cuentas de Google mediante OAuth2
Según Socket, 54 de las 108 extensiones se especializan en el robo de identidad de cuentas de Google utilizando el protocolo OAuth2. En lugar de solicitar directamente usuario y contraseña, estas extensiones interceptan o abusan de los tokens de acceso generados durante el proceso legítimo de autenticación.
Un token OAuth2 es, en la práctica, una “llave digital” que permite acceder a una cuenta sin necesidad de volver a introducir la contraseña. Si un atacante consigue ese token o un identificador asociado, puede secuestrar sesiones, acceder a datos personales y sortear mecanismos de autenticación estándar, incluso cuando la víctima no percibe nada anómalo en la interfaz del navegador.
Backdoor en el navegador y apertura de URLs arbitrarias
Otras 45 extensiones implementan un bäckdoor genérico: cada vez que se inicia el navegador, abren de forma automática URLs arbitrarias definidas por el servidor C2. Este comportamiento permite a los atacantes:
— redirigir a la víctima a sitios de phishing que imitan servicios legítimos;
— cargar scripts adicionales para ampliar la infección o realizar fraudes;
— lanzar campañas de publicidad agresiva y malvertising.
El resto de las extensiones detectadas exhibe capacidades adicionales, como la inyección de JavaScript en las páginas visitadas y la manipulación de peticiones de red del navegador, lo que abre la puerta a ataques más complejos en cadena.
Extensiones disfrazadas de herramientas legítimas para Telegram, YouTube y TikTok
Para ganarse la confianza del usuario, muchas de estas extensiones se presentan como herramientas útiles y muy demandadas. Entre las categorías más frecuentes destacan:
— clientes laterales de Telegram Web integrados en el navegador;
— extensiones de juegos y apuestas (tragaperras, Keno y juegos de azar similares);
— “mejoradores” de YouTube y TikTok que prometen funciones extra o una experiencia de visualización más cómoda;
— supuestos traductores de texto y utilidades genéricas para gestionar páginas.
Aunque el comportamiento visible parece legítimo, todas estas extensiones comparten la misma infraestructura maliciosa y ejecutan código en segundo plano que el usuario no ve. El resultado es un entorno donde la extensión puede interceptar datos de sesión, modificar el contenido mostrado y monitorizar actividad de forma continua.
Manipulación de cabeceras HTTP y evasión de medidas de seguridad del navegador
Los investigadores destacan especialmente cinco extensiones que abusan del API Chrome declarativeNetRequest para eliminar cabeceras HTTP de seguridad críticas antes de que la página se cargue en el navegador.
Entre estas cabeceras se incluyen políticas como Content-Security-Policy (CSP) o X-Frame-Options, diseñadas para limitar la ejecución de scripts no autorizados y evitar que una página sea incrustada de forma peligrosa en otros sitios. Al suprimir estas defensas, las extensiones amplían significativamente la superficie de ataque, facilitando la inyección de código malicioso y el bypass de políticas de seguridad, mientras que el usuario solo ve una página aparentemente normal.
Impacto y riesgos: por qué las extensiones maliciosas son tan peligrosas
Las extensiones de Chrome operan dentro de un entorno percibido como confiable. Cuando son maliciosas, pueden acceder a:
— historial de navegación y comportamiento en sitios web;
— cookies y datos de sesión;
— tokens OAuth y otros artefactos de autenticación;
— contenido de pestañas activas, incluyendo formularios y mensajes.
La combinación de robo de cuentas de Google, interceptación de sesiones de Telegram Web y manipulación de páginas permite a los atacantes tomar el control de cuentas, distribuir phishing y difundir contenido malicioso, así como utilizar perfiles comprometidos como plataforma para nuevas campañas.
Recomendaciones de ciberseguridad para usuarios de Google Chrome
Socket recomienda que todo usuario que tenga instaladas extensiones de los desarrolladores mencionados las desinstale de inmediato. Además, en el caso de Telegram, es aconsejable cerrar todas las sesiones web desde la app móvil (apartado “Dispositivos”) para invalidar cualquier sesión potencialmente comprometida.
Como medidas generales de protección frente a extensiones maliciosas en Chrome Web Store, se aconseja:
— realizar auditorías periódicas de las extensiones instaladas y eliminar las que no se utilicen o no se comprendan;
— instalar solo complementos de desarrolladores con reputación verificable y buen historial;
— revisar cuidadosamente los permisos: un acceso del tipo «ver y modificar datos en todos los sitios web visitados» exige máxima cautela;
— activar y usar siempre la autenticación en dos factores (2FA) en Google y otros servicios críticos;
— mantener el navegador y las extensiones actualizados a la última versión disponible;
— revisar de forma periódica las sesiones activas en Google, Telegram y demás servicios sensibles.
El incidente de estas 108 extensiones maliciosas demuestra que ni siquiera los marketplaces oficiales garantizan una seguridad absoluta. Tratar el navegador como una verdadera superficie de ataque, limitar al máximo el número de extensiones y aplicar una higiene básica de ciberseguridad son pasos esenciales para reducir el riesgo de robo de datos, secuestro de cuentas y otras formas de fraude en línea.
