La frontera entre las herramientas de marketing y el software abusivo vuelve a desdibujarse. Investigadores en ciberseguridad han descubierto una campaña coordinada que utiliza 131 extensiones de Google Chrome para secuestrar WhatsApp Web y lanzar una campaña masiva de spam contra usuarios brasileños.

El hallazgo descubierto por la compañía de seguridad de cadena de suministro Socket, revela una compleja operación que ha estado activa al menos durante nueve meses, con actualizaciones tan recientes como el 17 de octubre de 2025. Las extensiones, que suman más de 20.900 usuarios activos, comparten el mismo código, infraestructura y diseño, aunque se presentan con nombres distintos.

Según los expertos, este no es un malware al uso, lo que hace es funcionar como automatización de spam de alto riesgo que explota las reglas de la plataforma a través de código inyectado directamente en la página de WhatsApp Web. A partir de ahí se ejecuta junto a los propios scripts de WhatsApp y es capaz de automatizar mensajes masivos y programar de envíos para evadir los controles antispam.

Ad

Cómo funciona el ataque

Las extensiones identificadas actúan como módulos de automatización dentro del navegador, que inyectan código directamente en WhatsApp Web (web.whatsapp.com). Una vez activadas, permiten enviar grandes volúmenes de mensajes sin intervención del usuario, saltándose los límites de envío y detección de spam impuestos por Meta.

Entre los nombres más destacados se encuentran:

  • YouSeller (10.000 usuarios)

  • performancemais (239 usuarios)

  • Botflow (38 usuarios)

  • ZapVende (32 usuarios)

Aunque cada extensión tiene un nombre y logotipo diferente, la mayoría han sido publicadas por las cuentas “WL Extensão” o “WLExtensao”, lo que sugiere un modelo de negocio de tipo franquicia.

Un modelo “white-label” para el spam masivo

Detrás de esta red se encuentra DBX Tecnologia, una empresa brasileña que ofrece un programa de revendedores “white-label” (marca blanca). Este modelo permite que terceros rebranden y revendan la misma extensión bajo diferentes nombres, prometiendo ganancias entre 30.000 y 84.000 reales brasileños a cambio de una inversión inicial de 12.000 reales (unos 2.000 euros).

En su publicidad, DBX Tecnologia promete a los revendedores la posibilidad de “convertir WhatsApp en una poderosa herramienta de ventas”, ofreciendo funcionalidades de CRM, embudos visuales de ventas y envío automatizado de mensajes.

Uno de los clones, ZapVende, se anunciaba así en la Chrome Web Store:

“Convierte tu WhatsApp en una poderosa herramienta de ventas y gestión de contactos. Con ZapVende tendrás un CRM intuitivo, automatización de mensajes, envíos masivos, embudo visual y mucho más.”

Sin embargo, tras esta aparente utilidad comercial se esconde un mecanismo de spam industrializado, capaz de lanzar campañas masivas sin confirmación del usuario y de evadir los algoritmos antispam del propio WhatsApp.

Violación de políticas y abuso de la Chrome Web Store

La operación infringe directamente las políticas de spam y abuso de la Chrome Web Store, que prohíben expresamente la publicación de extensiones duplicadas o con funcionalidad redundante.

Socket detectó que las extensiones comparten una base de código idéntica y que fueron publicadas en masa desde cuentas distintas para sortear los mecanismos de revisión de Google. Esta estrategia permitió mantener activa la campaña incluso después de que algunas versiones fueran retiradas.

Además, DBX Tecnologia ha publicado videos en YouTube enseñando cómo burlar los algoritmos antispam de WhatsApp mediante el uso de sus herramientas, lo que refuerza la naturaleza intencionada y coordinada del abuso.

El impacto: miles de usuarios engañados

Aunque las extensiones no roban datos ni instalan troyanos, su impacto no es menor. Al automatizar la mensajería en una plataforma tan extendida como WhatsApp, estos complementos facilitan la propagación de spam, estafas comerciales y campañas de phishing a gran escala.

Los investigadores advierten que, aunque se centran principalmente en Brasil, el modelo podría replicarse en otros mercados de habla hispana o portuguesa, aprovechando la enorme base de usuarios de WhatsApp Web en entornos laborales y comerciales.

En algunos casos, los desarrolladores de estas extensiones ofrecen soporte técnico y formación a revendedores, consolidando una infraestructura de negocio paralela que se beneficia del abuso sistemático de la plataforma.

MLuz Domínguez
MLuz Domínguez
Periodista especializada en ciberseguridad y tecnología. Mi enfoque se centra en analizar mundo de las aplicaciones y la seguridad especialmente en redes sociales. Con un interés constante en informar sobre avances, riesgos y sin olvidar la importancia de la prevención, busco compartir información precisa y comprensible para el usuario.

Artículos relacionadosMás del autor

Deja un comentario

Por favor, introduce tu comentario
Por favor, introduce tu nombre