El ecosistema de extensiones de navegador vuelve a situarse en el centro de una nueva campaña maliciosa a gran escala. La popular herramienta “Save Image as Type”, utilizada por más de un millón de usuarios en Google Chrome, ha sido secuestrada tras cambiar de manos en noviembre de 2024. El resultado: semanas de actividad fraudulenta silenciosa en los navegadores de miles de personas.
Según han revelado investigadores de seguridad, los nuevos propietarios de la extensión introdujeron código malicioso destinado a redirigir el tráfico web de los usuarios y apropiarse de comisiones de afiliación en compras realizadas en plataformas como Amazon, Adidas o Shein.
Una herramienta útil convertida en vector de ataque
“Save Image as Type” era una extensión ampliamente utilizada para convertir imágenes en distintos formatos. Su funcionalidad respondía a una necesidad creciente: la expansión de formatos modernos como WebP o AVIF, más eficientes en términos de peso y velocidad, pero aún poco compatibles con muchas aplicaciones fuera del navegador.
En este contexto, herramientas que permiten guardar imágenes en formatos tradicionales como JPEG o PNG se han convertido en imprescindibles para muchos usuarios. Precisamente esta utilidad fue la que convirtió a la extensión en un objetivo atractivo para los ciberdelincuentes.
En lugar de crear una extensión maliciosa desde cero —una estrategia cada vez menos efectiva debido los controles de las tiendas oficiales— los atacantes optaron por una táctica más sofisticada: adquirir una herramienta legítima con una base de usuarios consolidada.
El grupo Karma y la compraventa de extensiones
Detrás de este incidente se encuentra un grupo identificado como Karma, vinculado a múltiples campañas similares en extensiones de Chrome y Edge. Según la investigación publicada por XDA Developers, la extensión cambió de propietario entre el 13 y el 29 de noviembre de 2024.
Poco después de la adquisición, los nuevos desarrolladores introdujeron modificaciones en el código. Estas alteraciones permitían interceptar la navegación del usuario y redirigir automáticamente ciertos enlaces hacia versiones con identificadores de afiliado controlados por los atacantes.
De este modo, cualquier compra realizada tras esa redirección generaba ingresos para el grupo malicioso, sin que el usuario percibiera ninguna anomalía visible en su experiencia de navegación.
El investigador de seguridad Wladimir Palant ya había documentado actividades similares por parte de Karma entre finales de 2024 y principios de 2025, estableciendo conexiones con decenas de extensiones comprometidas que operaban bajo el mismo esquema.
Google reacciona, pero tarde
Google retiró la extensión de su tienda oficial a principios de marzo de 2026, tras detectar el comportamiento malicioso. Sin embargo, para entonces el daño ya estaba hecho.
Durante semanas —posiblemente meses— la extensión operó con normalidad en los navegadores de sus usuarios, modificando silenciosamente su comportamiento. Este tipo de amenazas resulta especialmente peligroso porque no roba datos de forma directa ni instala malware tradicional, lo que dificulta su detección.
En paralelo, Microsoft también eliminó una extensión similar de su navegador Edge en 2025. No obstante, los análisis indican que se trataba de un caso distinto y no directamente relacionado con el grupo Karma.
Un patrón en auge: secuestrar lo que ya es popular
Este incidente confirma una tendencia creciente en el panorama de amenazas: el secuestro o compra de extensiones legítimas con una base de usuarios consolidada.
Los atacantes están abandonando progresivamente la creación de herramientas maliciosas desde cero para centrarse en activos digitales ya establecidos. Esto les permite sortear los filtros de seguridad de las tiendas oficiales y aprovechar la confianza previa de los usuarios.
Además, muchas extensiones no reciben actualizaciones frecuentes ni auditorías de seguridad exhaustivas, lo que las convierte en un vector ideal para introducir código malicioso tras un cambio de propiedad.
A esto se suma la dificultad para los usuarios de detectar estos cambios. En la mayoría de los casos, las extensiones continúan funcionando aparentemente con normalidad, mientras ejecutan procesos ocultos en segundo plano.
