Las extensiones que se pueden instalar en navegadores como Chrome o Firefox ofrecen diversas ventajas. Facilitan la organización de pestañas, la gestión de descargas e incluso algunas mejoran la seguridad. Sin embargo, es común encontrar complementos fraudulentos diseñados para robar datos o contraseñas, especialmente si se instalan desde fuentes no oficiales. En este artículo, nos centraremos en varias extensiones de Chrome, que están disponibles en su tienda oficial, pero que en realidad son maliciosas y ya cuentan con cientos de miles de descargas.
Según los investigadores de seguridad de Koi Security, que han identificado este problema, hay 18 extensiones engañosas. En total, 2,3 millones de usuarios, tanto de Chrome como de Edge, han instalado estos complementos fraudulentos, según el informe técnico de Koi Security presentado el 8 de julio. Esto se asemeja a incidentes previos que también afectaron a varias extensiones maliciosas de Chrome.
Nuevas extensiones fraudulentas en Chrome
En la tienda oficial de Google Chrome, se pueden encontrar complementos de diferentes tipos que han pasado un filtro previo. De hecho, es posible ver la verificación del propio navegador, lo que brinda confianza. Aún más si el complemento tiene decenas de miles de descargas y recibe buenas valoraciones. Sin embargo, como se ha demostrado, esto no garantiza su seguridad.
Estas extensiones, en apariencia, funcionan correctamente al ser instaladas. Los usuarios pueden utilizarlas sin problemas. Existen complementos que cambian el diseño del navegador, ofrecen pronósticos del tiempo, actúan como VPN o permiten modificar temas, entre otros. No obstante, más allá de su funcionalidad legítima, también implementan un troyano en segundo plano. Todo esto forma parte de una campaña conocida como RedDirection.
Cuando la víctima instala la extensión, inicialmente no sospecha nada. Podrá utilizarla normalmente. Sin embargo, ese complemento estará recopilando datos de navegación, espiando y, en definitiva, poniendo en riesgo su privacidad y seguridad. Contienen código malicioso oculto capaz de capturar las direcciones de las páginas que visitas, enviar esa información a un servidor controlado por los atacantes e incluso redirigir a la víctima a un sitio web diferente.
Este último punto es especialmente peligroso. Imagina que intentas acceder a un sitio web legítimo, pero terminas en una página fraudulenta que es una copia exacta. Puede ser Amazon, Netflix o tu banco… Accedes a la URL real, pero la extensión redirige automáticamente tu navegador a otra página falsa, que imita a la verdadera. Al iniciar sesión o realizar un pago, toda esa información se filtrará a los cibercriminales. En algunos casos, son complementos que prometen bloquear ventanas emergentes.
También podría ocurrir que recibas un enlace para utilizar alguna aplicación, como un enlace para iniciar una videollamada a través de Zoom. La extensión detecta esto y te redirige a otro sitio web, no a la oficial de Zoom. Allí se te indicará que necesitas actualizar Zoom, ya que estás utilizando una versión obsoleta, y te invitará a descargar una nueva versión que, en realidad, es un malware.
No son complementos maliciosos desde el principio
Un aspecto que sorprende a los investigadores de seguridad es que estas extensiones no son maliciosas desde el inicio. Durante un tiempo, son complementos legítimos y comunes que funcionan correctamente y no comprometen la seguridad de los usuarios. De hecho, pueden pasar años antes de que se conviertan en un problema.
Los ciberdelincuentes, a través de actualizaciones de esos complementos, introducen el código malicioso. A partir de ese momento, las extensiones comienzan a robar información de manera silenciosa, sin la necesidad de lanzar ataques de phishing o estrategias de ingeniería social.
Si has estado utilizando una extensión durante mucho tiempo, y ha funcionado bien, es improbable que desconfíes de ella. Por lo tanto, se convierte en un caballo de Troya ideal para los ciberdelincuentes. Han logrado su objetivo sin levantar sospechas.
Algunas de las extensiones que forman parte de esta campaña maliciosa son:
- Color Picker, Eyedropper – Geco Colorpick
- Emoji keyboard online – copy&paste your emoji
- Free Weather Forecast
- Video Speed Controller – Video manager
- Unlock Discord – VPN proxy to Unlock Discord Anywhere
- Unlock TikTok
- Unlock YouTube VPN
Qué hacer
Lo primero que debes hacer, si tienes alguna de estas extensiones instaladas, es eliminarlas cuanto antes. Revisa detenidamente los complementos que tienes instalados, especialmente los más antiguos, aquellos que han estado ahí durante mucho tiempo, incluso si no los usas frecuentemente.
Te recomendamos también que limites la instalación de complementos. Solo deberías mantener aquellos que realmente necesites en tu día a día. Siempre descárgalos desde fuentes oficiales, aunque, como has visto con esta campaña maliciosa, esto no garantiza una seguridad absoluta.
Otro consejo es asegurarte de que tu dispositivo esté correctamente actualizado y cuente con un buen antivirus, lo cual será fundamental. Por un lado, podrás corregir vulnerabilidades que podrían ser explotadas por los ciberdelincuentes. Por otro lado, el antivirus podrá ayudarte a detectar y eliminar una variedad de malware que podría afectarte en tu vida cotidiana.
Preguntas frecuentes
¿El navegador funciona peor si tengo una extensión maliciosa de este tipo?
No siempre. Podrías tener una extensión maliciosa durante meses o años y tu navegador seguiría funcionando perfectamente. Esto dificulta su detección.
¿Debería cambiar mis contraseñas si he tenido una extensión sospechosa?
Sí, es recomendable que cambies tus contraseñas y verifiques los métodos de pago utilizados si crees que has tenido un complemento sospechoso en Chrome o cualquier otro navegador.
¿Este problema afecta tanto a ordenadores como a móviles?
Sí, las extensiones maliciosas pueden afectar tanto a las versiones de escritorio como a las de dispositivos móviles.
