Afectan a varias plataformas de comercio electrónico
Investigadores de ciberseguridad han descubierto extensiones maliciosas de Google Chrome que tienen la capacidad de secuestrar enlaces de afiliados, robar datos y recopilar tokens de autenticación OpenAI ChatGPT.
Una de las extensiones en cuestión es Amazon Ads Blocker (ID: pnpchphmplpdimbllknjoiopmfphellj), que afirma ser una herramienta para navegar por Amazon sin contenido patrocinado. Fue subida a la Chrome Web Store por un editor llamado "10Xprofit" el 19 de enero de 2026.
"La extensión bloquea los anuncios como se anuncia, pero su función principal está oculta: inyecta automáticamente la etiqueta de afiliado del desarrollador (10xprofit-20) en cada enlace de producto de Amazon y reemplaza los códigos de afiliado existentes de los creadores de contenido", dijo el investigador de seguridad de Socket, Kush Pandya.
Un análisis más detallado ha determinado que Amazon Ads Blocker forma parte de un grupo más amplio de 29 complementos de navegador que afectan a varias plataformas de comercio electrónico como AliExpress, Amazon, Best Buy, SheIn, Shopify y Walmart.
Si bien "Amazon Ads Blocker" ofrece la funcionalidad anunciada, también integra código malicioso que escanea todos los patrones de URL de productos de Amazon en busca de etiquetas de afiliado sin interacción del usuario y las reemplaza por "10xprofit-20" (o "_c3pFXV63" para AliExpress). Si no hay etiquetas, la etiqueta del atacante se añade a cada URL.
Socket también señaló que la página de listado de extensiones en Chrome Web Store hace declaraciones engañosas, afirmando que los desarrolladores ganan una "pequeña comisión" cada vez que un usuario utiliza un código de cupón para realizar una compra.
Los enlaces de afiliados se usan ampliamente en redes sociales y sitios web. Hacen referencia a URLs que contienen un ID específico que permite rastrear el tráfico y las ventas de un vendedor en particular. Cuando un usuario hace clic en este enlace para comprar el producto, el afiliado obtiene una comisión de la venta.
Debido a que las extensiones buscan etiquetas existentes y las reemplazan, los creadores de contenido de redes sociales que comparten enlaces de productos de Amazon con sus propias etiquetas de afiliados pierden comisiones cuando los usuarios que han instalado el complemento hacen clic en esos enlaces.
Esto equivale a una violación de las políticas de Chrome Web Store, ya que requieren que las extensiones que utilizan enlaces de afiliados divulguen con precisión cómo funciona el programa, requieren la acción del usuario antes de cada inyección y nunca reemplazan los códigos de afiliados existentes.
"La divulgación describe una extensión de cupón/oferta con anuncios activados por el usuario. El producto real es un bloqueador de anuncios con modificación automática de enlaces", explicó Pandya. "Esta discrepancia entre la divulgación y la implementación genera un falso consentimiento".
A medida que las extensiones relacionadas con la inteligencia artificial (IA) se vuelven cada vez más comunes en los flujos de trabajo empresariales, el desarrollo destaca una superficie de ataque emergente donde los actores de amenazas utilizan la confianza asociada con las marcas populares de IA para engañar a los usuarios y lograr que las instalen.
Debido a que estas herramientas a menudo requieren un elevado contexto de ejecución dentro del navegador y tienen acceso a datos confidenciales, las extensiones aparentemente inofensivas pueden convertirse en un lucrativo vector de ataque, permitiendo a los adversarios obtener acceso persistente sin la necesidad de explotar fallas de seguridad o recurrir a otros métodos que puedan activar alarmas de seguridad.
