Los complementos benignos pueden transformarse en armas con actualizaciones maliciosas
Ocasionalmente, las extensiones maliciosas se infiltran en la Chrome Web Store (y bibliotecas similares en otros navegadores) haciéndose pasar por complementos legítimos. Son especialmente difíciles de detectar cuando son inofensivas, ya que solo se transforman en malware tras ganarse la confianza del usuario.
Eso es lo que ocurrió con varias extensiones en Google Chrome y Microsoft Edge: investigadores de Koi Security identificaron complementos en ambos navegadores que funcionaron correctamente durante varios años antes de recibir actualizaciones maliciosas que permiten a los hackers vigilar a los usuarios y recopilar y extraer datos confidenciales. El esquema, conocido como ShadyPanda, alcanzó los cuatro millones de descargas y sigue activo en Edge.
Los actores de amenazas ejecutaron una campaña similar dirigida a Firefox a principios de este año: obtuvieron la aprobación para extensiones benignas que imitaban las billeteras de populares criptomonedas, acumularon descargas y críticas positivas, y luego inyectaron los complementos con un código malicioso capaz de registrar entradas de campos de formulario, que usaron para acceder y robar activos criptográficos.
Las extensiones del navegador pueden volverse malas
Como explica Koi Security, ShadyPanda comenzó como una estafa de afiliados, con 145 extensiones que se hacían pasar por fondos de pantalla y aplicaciones de productividad en ambos navegadores. La fase inicial inyectaba códigos de seguimiento de afiliados y pagaba comisiones por clics en eBay, Amazon y Booking.com, y luego evolucionó para secuestrar y manipular los resultados de búsqueda antes de lanzar las cinco extensiones en 2018 que posteriormente se convertirían en malware.
Estos complementos se marcaron como Destacados y Verificados en Chrome; uno de ellos, un limpiador de caché conocido como Clean Master, obtuvo una calificación de 4.8 tras miles de reseñas. Las extensiones se actualizaron en 2024 para ejecutar malware que podía buscar nuevas instrucciones cada hora y mantener el acceso completo al navegador, enviando información a los servidores de ShadyPanda. (Ya se han eliminado de Chrome).
Los piratas informáticos lanzaron cinco extensiones adicionales, incluida WeTab, para Edge en 2023. Dos de ellas son programas espía integrales y todas seguían activas en el momento del informe de Koi.
Cómo encontrar extensiones maliciosas en Chrome y Edge
Lamentablemente, las extensiones maliciosas suelen hacerse pasar por otra cosa, por lo que una revisión rápida de las extensiones instaladas podría no revelar ningún problema. En este caso, Koi Security tiene una lista de los ID de extensión asociados a la campaña ShadyPanda, y tendrás que buscarlos uno por uno.
En Chrome, escribe chrome://extensions/ en la barra de direcciones y pulsa Intro. Activa el modo de desarrollador en la esquina superior derecha para ver los ID de las extensiones instaladas. Desde aquí, puedes copiar y pegar cada ID en la barra de búsqueda (Ctrl+F en tu PC o Cmd+F en tu Mac). Si no hay resultados, tu navegador está seguro. Si encuentras un complemento malicioso, haz clic en el botón Eliminar. En Edge, sigue el mismo proceso desde edge://extensions/ .
Si bien esta campaña demuestra que las extensiones pueden ser utilizadas como arma mucho después de su instalación, es recomendable seguir las prácticas recomendadas para verificar los complementos del navegador, tal como lo haría con las aplicaciones de su dispositivo.
Revisa el nombre cuidadosamente, ya que las extensiones fraudulentas suelen tener nombres casi idénticos a los de las confiables. Revisa la descripción para detectar cualquier señal de alerta, como errores ortográficos e imágenes no relacionadas. Si ves muchas reseñas positivas en poco tiempo sobre una nueva extensión, o si parece que están revisando algo completamente distinto, procede con precaución. También puedes investigar más, como una búsqueda en Google o Reddit, para comprobar si la extensión es legítima.
