Los navegadores enfrentan numerosas amenazas de seguridad que pueden resultar en el robo de datos personales, contraseñas o la captura del historial de navegación. En este artículo, abordamos un caso especialmente preocupante: un malware que ha afectado a Google Chrome, Mozilla Firefox y Edge durante un periodo de 5 años, con cientos de miles de instalaciones.
Te explicaremos qué implica esta amenaza y cómo puedes protegerte. Es esencial que elimines este malware a la brevedad si lo tienes en tu sistema. También te ofreceremos recomendaciones para evitar problemas de seguridad similares en tu vida diaria.
Malware camuflado en el navegador durante 5 años
Un equipo de investigadores de Koi Security, una firma especializada en ciberseguridad, identificó en diciembre pasado un malware denominado GhostPoster. Lo peculiar de este caso es que se trata de una campaña maliciosa activa durante 5 años, utilizando extensiones para navegadores como Google Chrome, Mozilla Firefox o Edge.
Tras el hallazgo de Koi Security, LayerX Security, otra empresa de ciberseguridad, comenzó a investigar la infraestructura subyacente a esta extensión. Su análisis ha destapado 17 complementos adicionales que operan de manera similar, acumulando un total de 870.000 instalaciones. Algunas de estas extensiones han permanecido en los dispositivos de los usuarios durante 5 años.
Además, LayerX ha encontrado una variante más avanzada dentro de la misma campaña, que empleó métodos de evasión adicionales. Esta variante tuvo 3822 instalaciones. Aunque sus cifras son menores, su diseño mostró una capacidad notable y una planificación meticulosa.
Una de las extensiones identificadas por Koi Security es Free VPN Forever. Aunque ya ha sido eliminada de las tiendas de complementos de Firefox y Chrome, eso no significa que haya desaparecido de los dispositivos de los usuarios. En general, este tipo de extensiones maliciosas suelen ocultarse bajo la etiqueta de “VPN gratuita”. Recientemente, se detectó otro caso similar con la extensión Urban VPN proxy, también reportada por Koi Security.
A continuación, te presentamos un listado con las extensiones maliciosas conocidas:
Extensiones maliciosas de la campaña GhostPoster
| Nombre de la Extensión | Navegador(es) | Nota Importante |
|---|---|---|
| Free VPN Forever | Chrome, Firefox | Identificada en la investigación inicial |
| Screenshot Saved Easy | Firefox | Más de 98,000 instalaciones |
| Weather Best Forecast | Chrome | Más de 85,000 instalaciones |
| Google Traductor ESP | Edge, Firefox | Suplanta la identidad de una herramienta legítima |
| Dark Reader for FF | Firefox | Clon malicioso de una extensión popular |
| CrxMouse Gesture | Chrome | Funcionalidad de gestos de ratón |
| Cache Fast Site Loader | Chrome | Promete acelerar la carga de webs |
| FreeMP3 Downloader | Chrome, Firefox | Descarga de música |
| Google Translate Right Clicks | Firefox | Funcionalidad de traducción |
| World Wide VPN | Chrome | Otra extensión de VPN fraudulenta |
| Nota: Esta lista contiene 10 de las 17 extensiones identificadas. Se recomienda revisar exhaustivamente todos los complementos no esenciales. |
El impacto de estas extensiones maliciosas en tu dispositivo puede ser considerable:
Impacto de las extensiones maliciosas
| Acción Técnica | Riesgo Directo para el Usuario | Fuente del Hallazgo |
|---|---|---|
| Redirección de enlaces de afiliados | Pérdida económica para creadores de contenido y fraude en compras online. | LayerX Security |
| Inyección de iframes invisibles | Fraude publicitario, consumo de recursos del sistema y posible vector para más malware. | Koi Security |
| Eliminación de cabeceras CSP/X-Frame | Mayor vulnerabilidad a ataques de ‘clickjacking’ y robo de datos en otras webs. | Informe Técnico |
| Capturas de pantalla remotas | Robo de contraseñas, datos bancarios, conversaciones privadas y cualquier información confidencial visible. | Informe Técnico |
| Inyección de código de seguimiento | Monitorización del historial de navegación y creación de perfiles de comportamiento sin consentimiento. | LayerX Security |
Pasos a seguir
Es esencial mantener el sentido común. Asegúrate de no instalar extensiones desde fuentes no oficiales. Además, te recomendamos limitar el número de complementos que tengas en tu navegador, ya sea Chrome, Firefox o cualquier otro, ya que esta es una vía común de ataque. Realiza revisiones periódicas y elimina las extensiones sospechosas.
Asimismo, es crucial mantener tus dispositivos actualizados. Asegúrate de contar con la última versión de Windows o de cualquier otro sistema operativo que utilices, así como de las aplicaciones esenciales, incluido tu navegador. Esto te ayudará a mitigar vulnerabilidades que podrían ser explotadas.
Finalmente, contar con programas de seguridad puede ser útil para detectar y eliminar amenazas de malware. Sin embargo, aunque tengas un antivirus, este no es infalible, y podrías enfrentar problemas de seguridad que no detecte.
En resumen, presta atención a las extensiones instaladas en tu navegador. Como has visto, algunas campañas han estado activas durante 5 años. Es vital que realices revisiones exhaustivas y no ofrezcas facilidades a los atacantes.
