Las extensiones de Chrome y Edge, que durante años se han presentado como herramientas silenciosas, pero fundamentales del ecosistema digital, han vuelto a demostrar su potencial riesgo al convertirse en spyware sin que los usuarios lo advirtieran. Miles de personas instalan estos complementos a diario para mejorar la productividad, gestionar pestañas, limpiar la caché o añadir funciones que los navegadores no incluyen de forma nativa.

Sin embargo, su aparente inocuidad queda en entredicho tras una investigación de la firma de ciberseguridad Koi que ha revelado una campaña masiva de espionaje digital. Según los analistas, más de 4,3 millones de dispositivos han sido comprometidos a través de extensiones que, durante años, se comportaron de manera legítima y confiable antes de convertirse en herramientas de vigilancia operadas por el grupo ShadyPanda, una organización con base en China y conocida por su sofisticación en ataques de largo recorrido.

Extensiones que funcionaron bien durante años antes de volverse contra los usuarios

Una de las revelaciones más inquietantes del informe es que muchas de las extensiones implicadas habían acumulado reputación, descargas y validación oficial dentro de las tiendas de Google Chrome y Microsoft Edge.

Ad

La primera campaña identificada incluye al menos cinco extensiones que operaron sin incidentes durante cerca de cinco años. Entre ellas destaca Clean Master, un limpiador de caché que llegó a obtener los distintivos de “Featured” y “Verified” en la Chrome Web Store, lo que implicaba una revisión manual y un estatus privilegiado dentro del ecosistema de Google. Nada hacía sospechar que, con una actualización en 2024, el complemento se transformaría en un canal para inyectar spyware dentro del navegador de sus usuarios.

La segunda operación, igualmente preocupante, agrupa cinco extensiones adicionales que, cuando la campaña de espionaje salió a la luz, seguían disponibles en la tienda de Microsoft Edge. La más popular de ellas, WeTab, superaba los tres millones de instalaciones, lo que da una dimensión del alcance del ataque. A diferencia de Clean Master, que fue retirada por Google tras los descubrimientos iniciales, estas extensiones permanecían accesibles para millones de usuarios.

Las conclusiones de los analistas apuntan a un patrón claro: los atacantes esperaron pacientemente a que las extensiones acumularan confianza y una base de usuarios considerable antes de activar la carga maliciosa.

Un marco oculto de espionaje y ejecución remota dentro del navegador

El comportamiento malicioso identificado por los investigadores no se limita a la recopilación de datos de navegación. Las extensiones comprometidas funcionaban como un marco completo de ejecución remota de código. En términos prácticos, esto significa que los atacantes podían descargar y ejecutar JavaScript de manera dinámica en el navegador sin que el usuario lo supiera. Además de capturar el historial de navegación, las extensiones eran capaces de interceptar sesiones activas, manipular páginas en tiempo real y exfiltrar información personal y corporativa hacia servidores remotos en China.

El alcance real del espionaje aún está bajo análisis, pero Koi asegura que los atacantes recibían datos en tiempo real desde millones de dispositivos. Esto incluye información como URLs visitadas, patrones de navegación, actividad dentro de webs sensibles y potencialmente tokens o datos capturados mediante inyecciones de script en sitios vulnerables. La recopilación silenciosa y continua convierte esta campaña en una de las más significativas de los últimos años dentro del ámbito de las amenazas orientadas al navegador.

Uno de los aspectos más preocupantes del caso es la dificultad para detectarlo. Dado que las extensiones habían realizado durante años tareas legítimas y no mostraban cambios notables en la interfaz, la mayoría de los usuarios no sospechó nada.

Un problema que trasciende a Chrome y Edge y que cuestiona la confianza en las tiendas oficiales

El caso de ShadyPanda expone una debilidad sistémica que afecta tanto a Google como a Microsoft: el modelo de revisión de extensiones no puede proteger por completo frente a desarrolladores que cambian sus intenciones con el tiempo, ni frente a cuentas comprometidas que actualizan el código con fines maliciosos.

Para los usuarios, las recomendaciones incluyen revisar periódicamente las extensiones instaladas, eliminar cualquier complemento que no sea estrictamente necesario y comprobar los IDs publicados por los investigadores para descartar coincidencias. El informe de Koi incluye la lista completa de identificadores asociados a ambas campañas, y se aconseja desinstalarlos de inmediato. Tampoco basta con desactivar las extensiones, ya que muchas de ellas pueden seguir ejecutando código en segundo plano incluso cuando no están activas.

Para las empresas, el incidente subraya la necesidad de aplicar políticas de control más estrictas dentro del navegador, con listas blancas de extensiones autorizadas, auditorías periódicas y supervisión del tráfico en busca de comportamientos anómalos.

MLuz Domínguez
MLuz Domínguez
Periodista especializada en ciberseguridad y tecnología. Mi enfoque se centra en analizar mundo de las aplicaciones y la seguridad especialmente en redes sociales. Con un interés constante en informar sobre avances, riesgos y sin olvidar la importancia de la prevención, busco compartir información precisa y comprensible para el usuario.

Artículos relacionadosMás del autor

Deja un comentario

Por favor, introduce tu comentario
Por favor, introduce tu nombre