Una investigación de la firma especializada LayerX Security ha destapado una campaña de gran escala que pone en jaque la seguridad de los navegadores modernos. Al menos 12 extensiones maliciosas, distribuidas a través de las tiendas oficiales de Google Chrome y Microsoft Edge, se han hecho pasar por herramientas legítimas para descargar vídeos de TikTok, logrando comprometer a más de 130.000 usuarios en todo el mundo.
Aunque muchas de estas extensiones ya han sido eliminadas, alrededor de 12.500 siguen activas, lo que mantiene vigente el riesgo para miles de personas que continúan utilizándolas sin ser conscientes de su comportamiento real. El funcionamiento de esta campaña revela un modelo operativo altamente estructurado. Los atacantes no desarrollan nuevas extensiones desde cero, sino que reutilizan una misma base de código para generar múltiples versiones con cambios mínimos. Este enfoque les permite reaccionar con rapidez ante cualquier intento de bloqueo.
Cada vez que una extensión es detectada y retirada de la tienda, los operadores publican una nueva versión prácticamente idéntica, manteniendo incluso las mismas imágenes promocionales y descripciones. Bajo nombres como “TikTok Video Downloader” o “Mass TikTok Downloader”, consiguen mantener una presencia constante en los marketplaces oficiales.
Uno de los elementos más preocupantes es que algunas de estas extensiones llegaron a recibir la insignia de destacadas dentro de las plataformas, un distintivo que incrementa la confianza del usuario y multiplica las descargas. Este detalle pone en evidencia las limitaciones de los sistemas de validación actuales.
Funcionalidad legítima como fachada
A diferencia de otras campañas más rudimentarias, estas extensiones cumplen inicialmente con la función que prometen. Permiten descargar vídeos de TikTok, lo que refuerza la percepción de legitimidad y evita levantar sospechas en las primeras fases.
Sin embargo, detrás de esta apariencia se esconde un sistema mucho más complejo. Las extensiones están diseñadas bajo la arquitectura Manifest V3, lo que les permite conectarse a servidores externos desde los que reciben instrucciones en tiempo real.
Este mecanismo introduce una capacidad crítica: la posibilidad de modificar su comportamiento después de haber superado los controles de seguridad de las tiendas oficiales. En la práctica, esto significa que una extensión aparentemente inofensiva puede transformarse en una herramienta de espionaje sin necesidad de actualizaciones visibles para el usuario.
Uno de los aspectos más sofisticados de la operación es el uso de una activación retardada. Las extensiones funcionan de manera completamente legítima durante un periodo que puede oscilar entre seis y doce meses. Durante ese tiempo acumulan valoraciones positivas, comentarios favorables y una base de usuarios consolidada.
Solo cuando alcanzan ese nivel de confianza, los atacantes activan remotamente las funciones maliciosas. Este cambio se produce de forma silenciosa y sin intervención del usuario, lo que dificulta enormemente su detección.
Este enfoque evidencia una evolución en las tácticas del cibercrimen, donde la paciencia y la construcción de credibilidad se convierten en herramientas clave para el éxito del ataque.
Un sistema de vigilancia digital altamente preciso
Una vez activadas, las extensiones comienzan a recopilar información detallada sobre el comportamiento del usuario. No se trata de un simple seguimiento de navegación, sino de una recolección avanzada de datos diseñada para crear perfiles únicos.
Los datos obtenidos permiten generar huellas digitales extremadamente precisas, capaces de identificar a un usuario a través de distintas sesiones. Entre la información recopilada se encuentran aspectos como la frecuencia de uso del navegador, el tipo de contenido descargado, la configuración del sistema o la zona horaria.
Especialmente llamativo es el uso de indicadores poco habituales, como el estado de la batería del dispositivo. Este tipo de dato añade un nivel adicional de precisión al perfilado, reforzando la capacidad de identificación individual.
El control de estas extensiones se realiza a través de servidores externos que distribuyen archivos de configuración. Estos servidores utilizan dominios diseñados para parecer legítimos, empleando técnicas de typosquatting que dificultan su detección.
Pequeñas variaciones en los nombres, casi imperceptibles a simple vista, permiten a los atacantes camuflar su infraestructura y evitar ser bloqueados de forma inmediata. Esta estrategia no solo engaña a los usuarios, sino también a herramientas automatizadas de análisis.
Aunque los investigadores no han atribuido la campaña a un grupo concreto, la consistencia en la infraestructura y la coordinación observada apuntan a un actor único con un alto grado de organización.
