Borra estas extensiones de Chrome cuanto antes: se han descargado más de 2,3 millones de veces y contienen malware

Si tienes extensiones instaladas en tu navegador, es probable que algunas de ellas no sean tan inofensivas como parecen. Una investigación reciente ha destapado una campaña de espionaje que afectó a 2,3 millones de personas a través de 18 extensiones aparentemente útiles para Chrome y Edge. Durante años, estos complementos funcionaron como herramientas de vigilancia silenciosa, recopilando datos privados sin que nadie se diera cuenta.

La empresa de ciberseguridad Koi ha revelado en su blog cómo estos complementos, que incluían desde reproductores de video hasta teclados de emojis, operaron durante años sin ser detectados. Los atacantes emplearon una estrategia bastante astuta: primero ofrecían servicios útiles y luego introducían código malicioso mediante actualizaciones silenciosas.

La trampa perfecta: extensiones útiles convertidas en armas de espionaje

Lo que hace especialmente preocupante esta campaña, bautizada como "RedDirection", es precisamente su sofisticación. Los ciberatacantes no empezaron con malware desde el primer día, sino que construyeron confianza durante meses o años antes de activar sus funciones maliciosas. Las extensiones funcionaban correctamente, ofreciendo servicios como control de volumen, pronósticos del tiempo o selección de colores, ganándose la confianza de millones de usuarios.

Pero en actualizaciones posteriores completamente automáticas, estos complementos comenzaron a rastrear todas las páginas visitadas por los usuarios, incluyendo URLs completas y patrones de navegación. Toda esta información se enviaba a servidores remotos con identificadores únicos para cada víctima, creando perfiles detallados de comportamiento online.

Entre las extensiones comprometidas se encuentran nombres que probablemente reconozcas: Color Picker, Eyedropper, Video Speed Controller, Emoji Keyboard Online y Dark Theme – Dark Reader. Todas estas herramientas tenían miles de descargas y reseñas positivas, lo que las hacía parecer completamente legítimas.

La capacidad de redirigir a los usuarios a sitios fraudulentos si así lo ordenaba el comando central completaba un arsenal que podría haberse usado para phishing, fraudes financieros o acceso no autorizado a cuentas personales. Aunque Koi no ha observado redirecciones activas en sus pruebas, el riesgo sigue ahí mientras estas extensiones permanezcan instaladas.

Los atacantes aprovecharon fallos estructurales en los sistemas de verificación de Google y Microsoft. Las plataformas permiten que los desarrolladores actualicen extensiones sin avisar a los usuarios, un mecanismo que los ciberatacantes usaron para introducir malware años después del lanzamiento inicial. Algunas extensiones incluso tenían el sello "verificado" de Google, lo que las hacía parecer completamente seguras.

Esta no es la primera vez que extensiones maliciosas comprometen la seguridad de millones de usuarios. En 2023, Google eliminó tres extensiones de VPN para Chrome que robaron datos de más de 1,5 millones de usuarios, mientras que en 2022 cinco extensiones ganaban dinero modificando cookies en tiendas online sin consentimiento.

Para protegerte de futuras amenazas, los expertos recomiendan desinstalar inmediatamente cualquier extensión de la lista de afectadas, eliminar datos de navegación para borrar identificadores de seguimiento y realizar un escaneo de seguridad del dispositivo. También es importante verificar los identificadores únicos al instalar extensiones, limitar permisos innecesarios y considerar desactivar las actualizaciones automáticas.

RedDirection no es un caso aislado. Ya habíamos visto problemas similares con las 500 extensiones maliciosas descubiertas en 2020 o el hackeo de Facebook que vendió 80.000 mensajes privados facilitado por extensiones comprometidas. La realidad es que revisar periódicamente las extensiones instaladas se ha vuelto una tarea necesaria.