11 extensiones que no se deben instalar en Google Chrome porque los datos personales estarían en riesgo

Las extensiones para navegadores brindan herramientas valiosas que facilitan la experiencia de navegar en internet, pero recientemente algunas están siendo aprovechadas para robar datos de usuarios en Google Chrome y Microsoft Edge.

Estas extensiones maliciosas son capaces de espiar, secuestrar actividades online y redirigir hacia páginas peligrosas, por lo que es fundamental conocerlas para no instalarlas o eliminarlas.

Un reciente informe publicado por la firma de ciberseguridad Koi Security ha puesto al descubierto una sofisticada campaña de malware que utiliza las extensiones del navegador como puerta de entrada para el espionaje a gran escala y el secuestro de navegación.

Estas extensiones, que aparentan ser herramientas legítimas como VPNs, teclados de emojis, potenciadores de volumen, controladores de velocidad de video o pronosticadores del clima, ofrecen su funcionalidad habitual, pero ejecutan en segundo plano un software diseñado para interceptar y exfiltrar la actividad del usuario.

De acuerdo con el equipo de investigadores, los actores detrás de esta campaña han logrado eludir los filtros y medidas de seguridad tanto de Google como de Microsoft.

Han aprovechado los mismos mecanismos destinados a resguardar la integridad del usuario, como la verificación oficial, los sellos de calidad, el conteo masivo de instalaciones y las reseñas positivas destacadas, para legitimar sus extensiones y ampliar el alcance de su operación maliciosa.

Al menos once extensiones han sido señaladas como componentes activos de la campaña RedDirection. Pese a que algunas ya fueron retiradas de la Chrome Web Store, pueden seguir activas en el navegador de los usuarios que las instalaron previamente. El listado confirmado por los investigadores es el siguiente:

• Color Picker, Eyedropper — Geco colorpick
• Emoji keyboard online — copy&paste your emoji
• Free Weather Forecast
• Video Speed Controller — Video manager
• Unlock Discord — VPN Proxy to Unblock Discord Anywhere
• Dark Theme — Dark Reader for Chrome
• Volume Max — Ultimate Sound Booster
• Unblock TikTok — Seamless Access with One-Click Proxy
• Unlock YouTube VPN
• Unlock TikTok
• Weather

A diferencia de fraudes tecnológicos rudimentarios, muchas de estas extensiones presentaban un espectro limpio de código durante meses o incluso años, funcionando correctamente y creciendo en popularidad.

Recién, tras varias versiones, sus desarrolladores liberaron una actualización con un componente de malware, que se instaló silenciosamente en los navegadores de millones de personas gracias al sistema automático de actualizaciones de Chrome y Edge.

Los usuarios no tuvieron que descargar nada adicional ni interactuar con anuncios o correos maliciosos; la extensión supuestamente protegida y verificada se convirtió de golpe en un caballo de Troya.

El mecanismo de ataque funciona así: cuando el usuario navega hacia una página nueva, el componente malicioso de la extensión detecta el cambio de pestaña, registra la dirección URL visitada y la transmite a un servidor remoto junto con un identificador único.

De acuerdo con las órdenes recibidas desde ese servidor (la infraestructura de comando y control), la extensión puede proceder a redirigir automáticamente la sesión de navegación hacia destinos decididos por los atacantes.

Esto habilita, por ejemplo, que se logre interceptar intentos de conexión a plataformas bancarias o reuniones virtuales, redirigiendo hacia páginas falsas idénticas a las originales, creadas para robar información personal, credenciales o incluso instalar malware adicional en los equipos afectados.

La propia firma Koi Security demuestra esta amenaza con ejemplos: un usuario que intenta unirse a una llamada por Zoom puede ser llevado a un falso sitio que solicita descargar una “actualización crítica” inexistente, o alguien que busca acceder a su banca online, ser entregado a una página clonada para captura de credenciales bancarias.

Este poder de secuestro “man-in-the-middle” no solo sirve para robo directo de datos, sino que puede escalar a la toma total del dispositivo víctima.

Ante esta situación, los expertos de Koi Security insisten en actuar de inmediato. La lista de pasos recomendados por la comunidad incluye:

• Eliminar sin demora todas las extensiones señaladas, tanto en Chrome como en Edge.
• Borrar los datos de navegación para eliminar identificadores de rastreo que hayan podido ser generados por los atacantes.
• Ejecutar un análisis de malware completo para descartar infecciones adicionales en el dispositivo.
• Supervisar cuentas y servicios sensibles para identificar cualquier actividad sospechosa o tentativa de acceso no autorizado.