Un análisis revela más de 35 extensiones “fantasma” con capacidades de rastreo, configuraciones remotas y una red de espionaje digital que ha pasado desapercibida durante años.
Pocas amenazas están tan subestimadas como las extensiones de navegador. Inofensivas a simple vista, muchas prometen bloquear anuncios, mejorar la privacidad o facilitar la navegación. Sin embargo, algunas de estas extensiones en Google Chrome esconden un lado oscuro y son maliciosas: código malicioso, permisos excesivos, rastreo encubierto y capacidad de ejecución remota.
Una reciente investigación ha revelado un conjunto de al menos 35 extensiones activas en Chrome que, lejos de proteger al usuario, actúan como verdaderos espías digitales. Lo más alarmante: varias de ellas no aparecen en búsquedas dentro de la Web Store, no son visibles para el usuario medio, y aun así, han acumulado más de 4 millones de instalaciones.
Extensiones ocultas: ni buscables, ni inocuas
Entre las extensiones revisadas, dos llamaron especialmente la atención por estar “no listadas” en la Chrome Web Store. ¿Qué significa esto? Que no se pueden buscar, no aparecen en los resultados del buscador ni son accesibles a través de navegación normal. Solo se accede a ellas si se conoce el enlace directo.
Aunque muchas empresas utilizan este mecanismo para distribuir software interno sin complicaciones, también ha sido históricamente una vía para diseminar software malicioso evitando la detección de los equipos de seguridad.
Una de estas extensiones no listadas se hacía llamar “Fire Shield Extension Protection”, y según su descripción, ofrecía funcionalidades útiles: revisar permisos de otras extensiones, alertar sobre riesgos y ayudar a desactivarlas. Un noble propósito… que se desmorona al escarbar un poco.
Con 300.000 usuarios y una puntuación malísima (2.2), lo primero que salta a la vista es su popularidad injustificada. ¿Cómo es que una herramienta no accesible por medios convencionales ha conseguido semejante distribución? Todo apunta a mecanismos de instalación masiva, probablemente mediante paquetes de software o anuncios maliciosos.
De adblockers a espías: funciones camufladas
Al revisar las 35 extensiones relacionadas, muchas decían ofrecer utilidades atractivas: bloqueadores de anuncios, protección de la privacidad, mejoras en el motor de búsqueda… Pero al analizar su código, se descubrió que estas funciones o bien estaban mínimamente implementadas o simplemente no existían.
Lo que sí estaba presente eran funcionalidades como:
Recolección de cookies completas por dominio.
Inserción de cookies persistentes para rastreo.
Interceptación de encabezados HTTP sensibles como Authorization.
Ejecución de scripts desde servidores externos mediante iframes.
Redirección de búsquedas a motores como Bing con parámetros de afiliación.
Además, el comportamiento de estas extensiones podía ser modificado remotamente, permitiendo a sus operadores activar o desactivar funciones sin necesidad de actualizaciones.
El análisis de comportamiento encontró que muchas de las extensiones obtenían una configuración remota desde el servidor que determinaba su nivel de actividad. Un parámetro clave llamado vLvl podía escalar el grado de vigilancia. En pruebas de campo, al establecer este valor en 5, se activaban funciones de rastreo mucho más agresivas.
Este modelo de activación remota permite a los atacantes esquivar el análisis de seguridad durante largos periodos, activando las funciones maliciosas solo cuando el sistema o usuario objetivo cumple ciertos criterios.
El caso Cuponomia: cuando el disfraz parece legítimo
Entre todas las extensiones maliciosas de Chrome, una destacó por su aparente legitimidad: Cuponomia, una extensión brasileña similar a Honey. Aunque su propósito era distinto, su “permhash” coincidía con extensiones maliciosas. Su análisis reveló que, si bien el código era más limpio, también accedía a cookies de forma amplia y tenía capacidades para ejecutar scripts de servidores remotos.
Además, enviaba eventos de usuario a Google Analytics, lo cual es inusual en extensiones legítimas, y utilizaba AWS Lambda como backend. Aunque no puede etiquetarse como maliciosa con total certeza, sí presenta riesgos importantes en cuanto a privacidad.
Quizá el aspecto más preocupante del informe es que algunas de estas extensiones estaban destacadas por Google en la Chrome Web Store, a pesar de no ser accesibles públicamente. Esta contradicción es sospechosa: un usuario podría confiar en una extensión “Featured” sin saber que está instalada a través de vías no tradicionales y con capacidades de vigilancia.
Fuente:bitlifemedia.com
La certificación es una herramienta estratégica para cualquier organización que aspire a diferenciarse, mejorar su desempeño y fortalecer la confianza de sus partes interesadas. Pero su ...
Un análisis revela más de 35 extensiones “fantasma” con capacidades de rastreo, configuraciones remotas y una red de espionaje digital que ha pasado desapercibida durante años. Pocas amenazas están ...
“En el futuro, las empresas de servicios públicos deberían convertirse en directores de orquesta” Por Catherine Bischofberger ,26 de marzo de 2025 Frances Cleveland, una de las principales expertas ...
Es urgente tener cadenas de suministro más resilientes desde un punto de vista ambiental y ético Con la entrada en vigor de la Directiva de Diligencia Debida en Sostenibilidad (CSDDD), la Unión ...
La Asociación Española de Directivos de Sostenibilidad presentó ayer, jueves 3 de marzo, su primer Informe de Sostenibilidad. El evento reunió a profesionales del sector, representantes empresariales ...