- Diversas campañas de malware utilizan la Chrome Web Store para distribuir complementos que roban credenciales, cookies de sesión y fondos de criptomonedas.
- Muchos complementos maliciosos se camuflan como herramientas de IA, antivirus o personalizadores visuales, solicitando permisos excesivos para espiar al usuario.
- La evolución hacia Manifest V3 ha limitado algunas capacidades de ataque, pero los ciberdelincuentes siguen adaptando su código para evadir la detección.
A menudo instalamos pequeños complementos en nuestro navegador para hacernos la vida más fácil, pensando que un simple clic en el botón de instalar no tiene consecuencias. Sin embargo, lo que parece una herramienta inocua para organizar pestañas o traducir textos puede convertirse en una puerta abierta para que extraños husmeen en nuestra intimidad digital sin que nos demos cuenta.
El problema es que estas extensiones gozan de una confianza ciega, sobre todo si vienen de la tienda oficial de Google. Pero ojo, que estar en la Web Store no garantiza que el software sea limpio. Muchos de estos programas actúan como caballos de Troya modernos, operando en las sombras mientras nosotros creemos que solo estamos mejorando la estética de nuestro buscador.
Técnicas de engaño y camuflaje en la Web Store
Los ciberdelincuentes tienen trucos muy variados para colar sus malwares. Una de las tácticas más comunes es crear extensiones ocultas, que no aparecen en los resultados de búsqueda y solo se pueden instalar mediante un enlace directo. De esta forma, evitan que los moderadores de Google las detecten fácilmente mientras atraen a miles de usuarios mediante anuncios engañosos.
Otro método bastante ruin es la suplantación de identidad. Hay casos de herramientas que copian los logos y nombres de software famoso, como AdBlock Plus, para que el usuario instale el clon malicioso pensando que es el original. Incluso existen extensiones que empiezan siendo totalmente útiles y limpias, pero que tras ganar popularidad reciben una actualización con código malicioso para empezar a espiar.
No podemos olvidar el auge de la inteligencia artificial. Recientemente, han proliferado complementos que prometen mejorar la experiencia con ChatGPT o DeepSeek. Debido a que mucha gente comparte información confidencial en la IA, estas extensiones se han vuelto el blanco perfecto para extraer conversaciones completas y credenciales de acceso.
Cómo operan los ladrones de datos (Infostealers)
Cuando una extensión maliciosa toma el control, su objetivo principal suele ser el robo de datos. Algunas se especializan en secuestrar cookies de sesión, lo que permite a los atacantes entrar en tus redes sociales o tiendas online sin necesidad de saber tu contraseña, saltándose así la autenticación.
En casos más graves, como el malware detectado por ESET, el código puede modificar el DOM de la página web. Esto significa que, si entras en la web de tu banco, la extensión puede cambiar la apariencia del sitio para mostrar formularios falsos o sustituir el número de cuenta de un destinatario por la cartera de criptomonedas del atacante.
Además, existen funciones diseñadas específicamente para monitorizar el portapapeles. Herramientas que parecen organizadores de pestañas han sido pilladas leyendo todo lo que copiamos y pegamos, capturando así claves secretas o direcciones de wallets de Bitcoin en el momento exacto en que el usuario las manipula.
La arquitectura técnica y el salto a Manifest V3
Para entender el riesgo, hay que saber que las extensiones tienen un acceso brutal a la información. Pueden leer y alterar cualquier dato de la web que estemos visitando, acceder a la ubicación, hacer capturas de pantalla y leer las notificaciones. Anteriormente, bajo el sistema Manifest V2, estas herramientas podían ejecutar scripts persistentes en segundo plano con total libertad.
Para intentar frenar este caos, Google lanzó Manifest V3, que obliga a declarar todos los dominios con los que se comunica la extensión y prohíbe la ejecución de código externo cargado dinámicamente. Aunque esto ha cerrado algunas puertas a los atacantes, los delincuentes simplemente han reescrito su código para adaptarse, sacrificando un poco de sigilo pero manteniendo la capacidad de robo.
Un peligro reciente y muy serio es la vulnerabilidad en los paneles laterales de IA, como Gemini en Chrome. Se descubrió que una extensión con permisos mínimos podía inyectar código en el panel de la IA para heredar sus privilegios, logrando así activar la cámara, el micrófono o leer archivos locales sin pedir permiso al usuario.
Consejos para blindar tu navegador
La mejor defensa es la prudencia. Antes de instalar cualquier cosa, es fundamental revisar la reputación del desarrollador y mirar con lupa los permisos que solicita. Si un simple traductor te pide permiso para leer y cambiar todos tus datos en todos los sitios web, es una señal de alerta roja.
En entornos de empresa, lo ideal es implementar una lista blanca de extensiones aprobadas por el departamento de IT, prohibiendo el modo desarrollador y la instalación de archivos locales. Usar herramientas como CRX Viewer o servicios de análisis como Spin.AI puede ayudar a los técnicos a entender qué hace realmente el código antes de desplegarlo.
- Elimina periódicamente los complementos que ya no uses.
- Mantén el navegador siempre actualizado a la última versión.
- Desconfía de las extensiones que prometen funciones «mágicas» o gratuitas.
- Utiliza soluciones EDR para detectar comunicaciones con servidores de comando y control (C2).
La seguridad digital depende en gran medida de nuestra capacidad de dudar de la comodidad inmediata. Mantener un inventario limpio de extensiones, limitar los permisos concedidos y estar atentos a comportamientos extraños del navegador, como la activación imprevista de la cámara, son pasos esenciales para evitar que nuestra actividad en la red termine en manos de cibercriminales.
