Durante casi una década, millones de personas navegaron por internet sin saber que un ciberataque invisible operaba dentro de sus propios navegadores.
No se trató de un ataque repentino ni de una filtración masiva puntual, sino de una campaña prolongada, meticulosamente planificada, que se integró en la rutina digital cotidiana de usuarios particulares y organizaciones de todo el mundo.
Lo más inquietante de este episodio no fue únicamente su duración, sino su capacidad para pasar desapercibido en entornos considerados confiables.
A través de extensiones aparentemente inofensivas, distribuidas en plataformas oficiales, los atacantes lograron acceder a información sensible, hábitos de consumo y comunicaciones privadas durante más de siete años sin levantar alertas significativas.
Un ciberataque encubierto dentro de tiendas oficiales
La investigación que permitió reconstruir esta ofensiva fue divulgada por la firma de ciberseguridad Koi.ai, que identificó una red de casi 300 extensiones maliciosas activas desde 2018 hasta finales de 2025.
Estas piezas de software llegaron a acumular más de 8,8 millones de instalaciones en navegadores como Google Chrome, Microsoft Edge, Mozilla Firefox y Opera, lo que revela una escala pocas veces vista en ataques basados en complementos.
Detrás de esta infraestructura se encontraba un grupo identificado como DarkSpectre, que apostó por una estrategia de bajo perfil.
Las extensiones se presentaban como bloqueadores de anuncios, traductores, utilidades de productividad o ayudas para compras en línea, ganándose la confianza de los usuarios mediante descripciones creíbles y reseñas positivas fabricadas artificialmente.
Técnicas de infiltración y evasión prolongada
El éxito de la operación residió en la combinación de ingeniería social y técnicas avanzadas de ocultamiento. Muchas extensiones funcionaban de forma legítima durante meses, incluso años, antes de activar rutinas ocultas.
Este retraso intencional reducía las probabilidades de detección automática y hacía que el comportamiento malicioso se confundiera con actualizaciones normales de Google Chrome, por ejemplo.
Además, las actualizaciones encubiertas jugaron un papel clave. Una vez que una extensión alcanzaba una base amplia de usuarios, recibía cambios silenciosos que ampliaban permisos, habilitaban la comunicación con servidores remotos y permitían la manipulación de contenido web.
De este modo, los atacantes podían modificar enlaces, insertar redirecciones comerciales fraudulentas y recolectar datos sin intervención del usuario.
Campañas diferenciadas con objetivos específicos
Dentro de esta ofensiva se identificaron varias líneas de actuación simultáneas. Una de las más extensas fue ShadyPanda, responsable de comprometer a más de 5,6 millones de personas mediante más de un centenar de extensiones.
En este caso, el foco estuvo en el fraude en comercio electrónico, la sustitución de enlaces legítimos y la captura de información relacionada con compras y credenciales.
Otra vertiente relevante fue GhostPoster, que afectó a más de un millón de usuarios, principalmente en Firefox y Opera. Aquí se emplearon técnicas de esteganografía, ocultando código dañino dentro de archivos de imagen.
Esta metodología permitía descargar instrucciones adicionales desde servidores externos y ejecutar comandos sin ser detectados por análisis tradicionales.
Uno de los casos más llamativos fue una versión alterada de un traductor popular para Opera, que integraba un acceso persistente mediante un iframe oculto.
Este componente deshabilitaba mecanismos antifraude y transmitía información a infraestructuras ya asociadas con actividades previas del mismo grupo.
El salto al espionaje corporativo
Hacia finales de 2025, la amenaza dio un giro significativo con la aparición de Zoom Stealer. Esta campaña se orientó claramente al entorno empresarial y alcanzó a unos 2,2 millones de usuarios mediante extensiones vinculadas a plataformas de videoconferencia como Zoom, Microsoft Teams y Google Meet.
Gracias a permisos excesivos, estas extensiones podían interceptar enlaces de reuniones, credenciales en tiempo real y datos profesionales.
La información recopilada alimentó bases de inteligencia con un elevado valor estratégico, facilitando el acceso no autorizado a encuentros corporativos y la vigilancia de conversaciones sensibles entre directivos y equipos técnicos.
El impacto del ciberataque a estos navegadores
Las consecuencias de este ataque se extendieron mucho más allá del ámbito individual. Millones de personas fueron objeto de seguimiento constante, mientras que empresas de distintos sectores afrontaron riesgos relacionados con espionaje industrial, filtración de estrategias comerciales y exposición de comunicaciones internas.
El daño potencial, tanto reputacional como operativo, superó ampliamente cualquier estimación inicial de alcance.
