En el ecosistema de extensiones de Chrome, las VPN gratuitas son de las más buscadas. La promesa de privacidad sin coste es irresistible para muchos usuarios. Sin embargo, esa misma popularidad convierte a este tipo de herramientas en terreno fértil para abusos. Ahora se ha descubierto una extensión de Chrome que robaba imágenes personales capturadas por los usuarios.

El caso de FreeVPN.One es un ejemplo de manual. Durante años pasó desapercibida en la tienda oficial de Google, operando como una extensión más. Tenía un propósito sencillo: actuar como VPN. Nada en su comportamiento inicial hacía sospechar lo que vendría después.

El giro se produjo en 2025. Según los investigadores de KoiSecurity, a lo largo de varios meses se fueron introduciendo actualizaciones que la transformaron de herramienta legítima en un completo spyware.

Ad

Evolución de la extensión de Chrome

La evolución de FreeVPN.One se puede dividir en tres fases clave:

  • Abril de 2025: la extensión añadió un permiso para acceder a todas las páginas que el usuario abría. El argumento era “mejorar la compatibilidad”.

  • Junio de 2025: llegó la capacidad de ejecutar scripts en cualquier sitio web. Oficialmente, se trataba de reforzar la seguridad.

  • Julio de 2025: se introdujo en silencio la función que cambió todo: captura de pantallas automáticas en cada pestaña abierta.

El mecanismo era tan sencillo como inquietante. Cada vez que el usuario cargaba una página, la extensión esperaba unos segundos a que el contenido se renderizara, tomaba una instantánea de lo visible y la enviaba a un servidor remoto junto con la URL, el identificador de la pestaña y un código único vinculado al usuario.

¿Qué información extraía?

A diferencia de un simple historial de navegación, las capturas de pantalla revelan muchísimo más:

  • Formularios bancarios con datos a medio rellenar.

  • Hojas de cálculo corporativas abiertas en Google Sheets.

  • Fotografías privadas almacenadas en la nube.

  • Conversaciones personales en ventanas de chat.

En otras palabras, todo lo que un usuario ve en su pantalla puede ser capturado y transmitido en segundos. Un nivel de intrusión que convierte a FreeVPN.One en un riesgo crítico tanto para individuos como para empresas.

Espionaje disfrazado de seguridad

Para ocultar este comportamiento, la extensión mostraba una opción llamada “AI Threat Detection”. Al pulsarla, advertía al usuario de que podían subirse capturas y URLs para análisis de seguridad.

El problema es que, incluso sin presionar ese botón, la extensión ya estaba enviando capturas de forma continua. La función actuaba como cortina de humo: una manera de normalizar lo que en realidad era un espionaje sistemático.

Los investigadores comprobaron que el tráfico generado por la extensión estaba cifrado con AES-256-GCM y RSA key wrapping, lo que hacía más difícil para las herramientas de monitorización detectar algo sospechoso. El cifrado no protegía a los usuarios; solo servía para enmascarar la actividad maliciosa.

Más permisos de los necesarios

Una VPN legítima en Chrome solo necesita unos pocos permisos: principalmente manejar conexiones proxy y gestionar almacenamiento local. FreeVPN.One, en cambio, pedía acceso a:

  • Todas las pestañas abiertas.

  • Lectura de todas las URLs visitadas.

  • Ejecución de scripts en cualquier sitio web.

En conjunto, esos permisos daban al desarrollador la capacidad de vigilar la actividad completa del navegador, algo completamente desproporcionado para una extensión cuyo único objetivo declarado era ofrecer privacidad.

La respuesta del desarrollador

Cuando KoiSecurity contactó con el responsable de FreeVPN.One, la explicación fue que la captura de pantallas servía para analizar páginas sospechosas y detectar dominios maliciosos.

La defensa no convenció. Los investigadores encontraron registros de capturas en servicios perfectamente legítimos como Google Photos o Google Sheets, lo que descartaba la excusa de un “escaneo de seguridad”.

Además, el desarrollador nunca aportó pruebas de que las imágenes no se almacenaran de forma permanente. A las solicitudes de más información o credenciales de empresa, solo respondió un correo genérico. El sitio web asociado, por su parte, era una plantilla vacía sin datos de contacto verificables. Todo apuntaba a que detrás del proyecto no había una compañía real.

MLuz Domínguez
MLuz Domínguez
Periodista especializada en ciberseguridad y tecnología. Mi enfoque se centra en analizar mundo de las aplicaciones y la seguridad especialmente en redes sociales. Con un interés constante en informar sobre avances, riesgos y sin olvidar la importancia de la prevención, busco compartir información precisa y comprensible para el usuario.

Artículos relacionadosMás del autor

Deja un comentario

Por favor, introduce tu comentario
Por favor, introduce tu nombre