Falsa extensión de Google Chrome se mostraba como una VPN, pero estaba espiando a todos

Una de las extensiones de Google Chrome que mayor popularidad alcanzó en los últimos años, FreeVPN.One, ahora ha sido cuestionada luego de que más de 100.000 usuarios decidieran desinstalarla por ser un riesgo para su seguridad y privacidad.

Investigaciones de Koi Security revelan que esta extensión, bajo una apariencia legítima, funcionaba como un sofisticado sistema de espionaje capaz de recopilar información extremadamente sensible, violando la confianza depositada por su base de usuarios e incluso las medidas de seguridad destacadas por el propio Google.

Cómo la extensión espiaba a los usuarios de Google Chrome

FreeVPN.One llegó a convertirse en una extensión recomendada en la Chrome Web Store. Google la distinguió con insignias de seguridad, y su mensaje de protección convenció a miles de internautas.

Tanto la ficha en la tienda como su política de privacidad repetían la promesa de proteger la identidad, evitar el rastreo y garantizar la confidencialidad del tráfico en Internet. Sin embargo, la realidad distaba completamente del relato oficial.

Las alarmas se activaron tras la publicación de un informe de Koi Security, una firma especializada en ciberseguridad. La investigación demostró que FreeVPN.One instalaba un script oculto en el navegador, cuya función principal era capturar pantallas de absolutamente todos los sitios web visitados.

A diferencia de otras extensiones, no solo registraba la dirección URL, sino que enviaba al menos una imagen por cada página cargada. Estas capturas incluían datos de extrema sensibilidad: mensajes privados, información médica, registros bancarios y fotografías personales.

Todos estos datos iban a parar a servidores remotos gestionados por quienes desarrollaron la extensión. Lejos de solicitar el consentimiento del usuario, la recolección se mantenía oculta y, en muchos casos, sucedía incluso cuando el usuario no activaba ninguna función especial.

Así lo determinaron los expertos tras analizar a fondo el código fuente y el tráfico de red generado por la herramienta. Los desarrolladores trataron de justificar el funcionamiento mediante una supuesta función legítima: “AI Threat Detection”. Supuestamente, esta función realizaba un análisis en busca de amenazas utilizando inteligencia artificial.

Sin embargo, la empresa de ciberseguridad evidenció que las capturas de pantalla se tomaban en segundo plano, incluso sin que dicha función estuviese habilitada.

Cómo la extensión se transformó en un sistema de espionaje

El espionaje sistemático no apareció desde el inicio, fue el resultado de una serie de pequeñas actualizaciones. Antes de julio de 2025, FreeVPN.One funcionaba como un servicio de VPN básico.

Sin embargo, sucesivas revisiones introdujeron peticiones de permisos excesivos, como el acceso completo a las pestañas abiertas, historial de navegación, direcciones web y ejecución de scripts personalizados en todas las páginas. De ese modo, la extensión adquirió facultades para monitorizar, registrar y extraer datos de cualquier actividad realizada en el navegador.

Con la llegada de su versión 3.1.4, FreeVPN.One incorporó el cifrado de datos utilizando AES-256-GCM y técnicas de envoltura de clave RSA. Estas implementaciones, lejos de garantizar la privacidad, complicaban el rastreo del flujo de datos y dificultaban el análisis forense por parte de usuarios o compañías de seguridad.

Según Koi Security, los fragmentos de información exfiltrados quedaban suficientemente enmascarados para pasar inadvertidos ante herramientas convencionales de monitoreo de red.

La API privilegiada chrome.tabs.captureVisibleTab() se convertía en el núcleo de la operación. Con ella, la extensión conseguía tomar capturas de pantalla en segundo plano, apenas un segundo después de que el usuario cargara cualquier página. La función se activaba automáticamente y siguió funcionando incluso tras actualizaciones destinadas a corregir posibles problemas de privacidad.

Recomendaciones frente a este caso de la extensión en Google Chrome

Aunque Google Chrome sigue siendo el navegador dominante, con 67,92 % de cuota de mercado mundial según los datos actualizados a julio de 2025, la abundancia de extensiones implica riesgos.

Incluso las opciones que exhiben la insignia de “Destacado” pueden convertirse en amenazas. Los expertos aconsejan extremar las medidas de precaución: estudiar a fondo los permisos solicitados, verificar la trayectoria del desarrollador y optar por soluciones auditadas y de confianza contrastada.

La recomendación es la eliminación inmediata de FreeVPN.One para quienes la tengan instalada. Además, pasar un programa antivirus actualizado y cambiar las contraseñas utilizadas durante el periodo en que la extensión se encontró activa.