Extensiones populares de Chrome fueron tomadas por hackers; descubre cómo protegerte
En febrero de 2025, el equipo de Inteligencia de Amenazas de GitLab identificó al menos 16 extensiones maliciosas de Chrome que afectaban a más de 3.2 millones de usuarios. Estas extensiones eran originalmente legítimas, instaladas a través de las tiendas oficiales del navegador y desarrolladas por fuentes confiables, pero posteriormente fueron comprometidas mediante ‘actualizaciones’ maliciosas.
La investigación determinó que este ataque se originó a partir de cuentas de desarrolladores comprometidas. Algunos desarrolladores dejaron de dar soporte a sus extensiones antes del incidente, perdiendo el control sobre ellas, mientras que otros, aún responsables de sus extensiones, probablemente fueron engañados mediante kits de phishing.
Las actualizaciones maliciosas introdujeron scripts ocultos que, de manera furtiva, robaron datos, modificaron solicitudes web e inyectaron anuncios en sitios. Estos cambios pasaron desapercibidos para la mayoría de los usuarios, ya que las extensiones ya contaban con los permisos necesarios, permitiendo a los atacantes manipular el contenido web y las interacciones del usuario sin levantar sospechas.
¿Cuáles son los riesgos para los usuarios?
Aún no está claro qué daños específicos ha causado esta campaña maliciosa, pero permisos como ‘acceso al host’ y ‘controles de script’ representan riesgos significativos, ya que permiten la extracción de información sensible, como datos de tarjetas de crédito, credenciales de inicio de sesión, tokens de autenticación y cookies, lo que podría permitir a los atacantes tomar el control de cuentas o acceder a mensajes privados.
Además, las extensiones pueden modificar el contenido de las páginas web en tiempo real, creando oportunidades para fraudes, como la alteración de detalles de transacciones en sitios bancarios para engañar a los usuarios. Los atacantes también pueden inyectar anuncios, redirigir a los usuarios a sitios de phishing o generar clics falsos para explotar ingresos publicitarios.
Los usuarios de las extensiones afectadas dejaron varios comentarios en la Chrome Web Store, sugiriendo que las extensiones comenzaron a comportarse de manera sospechosa en algún momento. Entre los problemas reportados, los usuarios notaron anuncios colocados en lugares extraños, IDs de afiliados añadidos a enlaces de servicios y problemas con console.log
, una función integrada utilizada para depuración y análisis de código:
Fuente: GitLab Security Tech Notes
Bloqueadores de anuncios y el problema de la confianza
Un total de 16 extensiones fueron comprometidas, y su lista completa está disponible en la página de la investigación. Sin embargo, algo que llamó la atención fue que tres de ellas eran bloqueadores de anuncios (Adblocker for Chrome — NoAds, Adblock for You y Adblock for Chrome).
Siendo también un bloqueador de anuncios, esto nos parece particularmente preocupante. Hace cinco años, expusimos extensiones de bloqueo de anuncios ‘falsas’ involucradas en fraude publicitario mediante la inyección de cookies de afiliados en los navegadores de los usuarios. Algunas de estas extensiones operaban como ‘bombas de tiempo’, esperando comandos remotos para acciones aún más perjudiciales. En resumen: elegir una solución confiable para el bloqueo de anuncios es fundamental, ya que las consecuencias de una mala elección pueden ser graves.
En este caso, los desarrolladores de las extensiones no tenían intenciones maliciosas. Eran originalmente seguras, pero terminaron siendo comprometidas por actores de amenazas. No obstante, como medida de precaución general, recomendamos seguir estas directrices:
- Instala extensiones solo de fuentes confiables, como tiendas oficiales o sitios verificados
- Investiga sobre el desarrollador antes de la instalación
- Lee la política de privacidad para entender el uso de tus datos
- Ten precaución al conceder permisos, especialmente si una extensión solicita acceso excesivo
- Elimina regularmente las extensiones que ya no utilizas para minimizar el riesgo de actualizaciones maliciosas
Los usuarios suelen conceder permisos sin comprender completamente sus implicaciones, especialmente si la extensión parece útil o confiable. Una vez concedidos, estos permisos permanecen activos hasta que la extensión sea eliminada, lo que permite que los atacantes los exploten con el tiempo. Y como hemos visto, las extensiones se actualizan automáticamente, lo que significa que una extensión confiable puede recibir una actualización maliciosa y comprometer la seguridad del usuario sin previo aviso.
Las extensiones afectadas ya han sido eliminadas de la Chrome Store, pero los usuarios también deben eliminarlas de sus dispositivos y mantenerse alerta para evitar incidentes similares en el futuro.
Consulta esta edición de nuestra serie TechTok para aprender más sobre cómo determinar qué aplicaciones y extensiones son confiables. ¡Mantente alerta y prioriza la seguridad en tus decisiones!