Acabás de instalar una extensión en Chrome que parecía inofensiva. Tal vez prometía bloquear publicidad, mejorar tus búsquedas o proteger tu privacidad. Lo que no sabías es que podría estar robando tus contraseñas, copiando lo que pegás en el portapapeles o hasta ejecutando código malicioso en tu computadora.
No es paranoia: investigadores de Symantec acaban de identificar un nuevo grupo de extensiones maliciosas en la Chrome Web Store que ya comprometió a más de 100.000 usuarios. Y lo peor: muchas todavía estaban disponibles para descargar hasta hace muy poco.
La tienda oficial de Google volvió a fallar en sus controles de seguridad. Aunque la empresa hace esfuerzos por verificar las extensiones antes de publicarlas, estas amenazas lograron colarse igual.
¿Qué hacían estas extensiones?
Las tácticas variaron según cada caso, pero todas tenían algo en común: engañar al usuario para robar información o dinero.
Algunas de las más peligrosas:
Good Tab: Una extensión que todavía estaba activa cuando se publicó el reporte. Su truco era simple pero devastador: accedía a tu portapapeles sin avisarte. ¿Por qué es grave? Porque si copiás una contraseña o una dirección de billetera cripto, los atacantes podían verla o cambiarla en tiempo real. Imaginá transferir plata a una cuenta que no es la tuya sin darte cuenta.
Stock Informer: Otra que seguía disponible. Tenía una vulnerabilidad de cross-site scripting que permitía ejecutar código malicioso de forma remota. Básicamente, alguien podía tomar control de tu navegador y hacer lo que quisiera.
Children Protection: Este nombre engañaba a propósito. Funcionaba como una red completa de comando y control. Usaba algoritmos para generar dominios falsos, dificultar su detección y resistir cierres de servidores. Su objetivo: robar cookies del navegador para secuestrar sesiones y ejecutar scripts maliciosos.
DPS Websafe: Se hacía pasar por Adblock Plus usando su ícono. Pura ingeniería social. En realidad, secuestraba tus búsquedas, rastreaba tu actividad online y recolectaba datos privados y financieros.
El riesgo real de estas amenazas
Lo que más preocupa a los expertos en seguridad no es solo el robo de contraseñas. Las extensiones maliciosas pueden:
- Cambiar direcciones de criptomonedas mientras las copiás
- Secuestrar tus sesiones en sitios web
- Ejecutar código arbitrario en tu máquina
- Rastrear todo lo que hacés online
- Recolectar información financiera sin que lo notes
Y todo esto sin que veas ninguna señal de alerta.
¿Por qué pasa esto una y otra vez?
Google revisa las extensiones antes de publicarlas, pero los desarrolladores maliciosos son cada vez más astutos. Usan nombres que suenan legítimos, íconos conocidos y descripciones convincentes.
A veces suben versiones limpias primero y después actualizan con el código malicioso. Otras veces aprovechan vacíos en los controles automáticos.
El resultado: software peligroso que parece oficial porque está en la tienda oficial.
Cómo protegerte
Los especialistas de Security.com dejaron recomendaciones claras:
Primero, que una extensión esté en la Chrome Web Store no garantiza que sea segura. Punto.
Segundo, instalá solo las extensiones que realmente necesitás. Cada una es un potencial punto de entrada para atacantes.
Tercero, revisá regularmente tu lista de extensiones instaladas. Entrá a chrome://extensions y chequeá todo lo que tenés. Si algo te resulta raro o no lo usás, eliminalo.
Cuarto, desconfiá de las extensiones con pocos usuarios o reseñas sospechosamente perfectas. Los ataques dirigidos a veces empiezan con números bajos.
Google ya fue notificado
Los investigadores de Symantec reportaron todas estas extensiones a Google. Algunas ya fueron eliminadas, pero el daño ya está hecho para miles de usuarios.
La pregunta que queda es cuántas más hay ahí afuera todavía sin detectar.
Si considerás que la información del blog es útil, te propongo apoyar mi trabajo de la siguiente mantera:
Y si estás en el exterior, lo podés hacer a través de:
