Las extensiones de Chrome hacen que la navegación sea más cómoda, pero también pueden convertirse en una trampa peligrosa. Investigadores de seguridad de SquareX han descubierto un nuevo ataque llamado Browser SyncJacking, que demuestra cómo una extensión aparentemente inofensiva puede ser utilizada para secuestrar el perfil de Google, tomar el control del navegador y, en última instancia, comprometer todo el dispositivo.
Lo más alarmante es que este ataque es casi invisible. No requiere malware tradicional ni interacciones sospechosas, más allá de instalar una extensión que parece legítima. Con solo ese paso, los atacantes pueden acceder a tu historial, credenciales guardadas e incluso a sesiones activas en otros sitios web.
El truco detrás de este ataque es bastante ingenioso y, lo peor de todo, casi invisible para la víctima. Aquí te explico cómo funciona:
Creación de un dominio malicioso: Todo empieza cuando el atacante configura un dominio de Google Workspace falso. Dentro de este dominio, crea varios perfiles de usuario con la seguridad reducida al mínimo, desactivando funciones clave como la autenticación en dos pasos. ¿Para qué? Para usarlo más adelante en el ataque sin levantar sospechas.
Publicación de una extensión en Chrome Web Store: Luego, el atacante crea una extensión de navegador que parece completamente legítima. Puede presentarse como una herramienta útil, algo que mejorarías tu productividad o tu seguridad en línea. Sin embargo, en realidad, es la puerta de entrada al secuestro del dispositivo.
Engaño a la víctima con ingeniería social: Para que el ataque funcione, la víctima necesita instalar la extensión. Aquí es donde entra la ingeniería social: anuncios engañosos, correos electrónicos falsos o sitios web fraudulentos que recomiendan descargar la extensión. Una vez instalada, la extensión se activa sin que el usuario lo note.
Inicio de sesión en un perfil de Google del atacante: En segundo plano, la extensión inicia sesión automáticamente en uno de los perfiles de Google Workspace controlados por el atacante. Esto sucede en una ventana oculta del navegador, por lo que la víctima no ve nada extraño.
Manipulación de una página legítima de Google: La extensión, con permisos para leer y modificar contenido web, abre una página de soporte real de Google. Luego, inyecta un mensaje falso en la página, pidiéndole al usuario que habilite la sincronización de Chrome. Si la víctima cae en la trampa y lo hace, el atacante gana acceso a todos los datos sincronizados del usuario, incluidos historial, contraseñas y sesiones abiertas.
La víctima opta por sincronizar su perfil de navegación
Una vez que la sincronización está activada, el atacante tiene acceso a todo: historial de navegación, contraseñas guardadas y cualquier otro dato sincronizado en Chrome. Básicamente, puede usar tu perfil como si fuera suyo, pero desde su propio dispositivo.
Inscribir a la víctima en un espacio de trabajo administrado de Google
Una vez que el atacante tiene el control del perfil de la víctima, el siguiente paso es adueñarse del navegador por completo. Para lograrlo, puede usar un truco simple pero efectivo, como hacer que la víctima descargue una supuesta actualización de Zoom que, en realidad, es parte del ataque.
Solicitar a la víctima que instale una actualización falsa de Zoom
El ataque es tan sutil que la víctima ni siquiera sospecha nada. Imagina que recibes una invitación de Zoom y haces clic en el enlace para unirte a la reunión. Todo parece normal, pero en segundo plano, la extensión maliciosa inyecta un mensaje falso en la página de Zoom, diciendo que necesitas actualizar la aplicación antes de continuar.
Si caes en la trampa y descargas la supuesta actualización, en realidad estarás ejecutando un archivo que da acceso total a tu navegador. A partir de ese momento, el atacante puede hacer prácticamente lo que quiera:
Y aquí viene lo peor: aprovechando la API de mensajería nativa de Chrome, el atacante puede establecer una conexión directa con tu sistema operativo. ¿Qué significa esto? Que puede espiar tus archivos, ejecutar comandos, capturar todo lo que escribes en tu teclado, robar datos sensibles e incluso activar tu cámara y micrófono sin que lo notes.
Conoce más sobre: Hackers Atacan 16 Extensiones de Chrome y Roban Información
Este ataque es tan silencioso y efectivo que la mayoría de las personas ni siquiera notarían que algo anda mal. No hay ventanas emergentes sospechosas, ni descargas raras, ni señales obvias de que el navegador ha sido comprometido.
A diferencia de otros ataques basados en extensiones, que suelen depender de engaños más elaborados, aquí los atacantes solo necesitan permisos mínimos y un pequeño truco de ingeniería social para lograr su objetivo. Una vez instalada la extensión maliciosa, el usuario no tiene que hacer prácticamente nada más para que el ataque se complete.
A menos que alguien sea extremadamente paranoico con la seguridad y revise manualmente la configuración avanzada de Chrome en busca de señales sospechosas, no hay ninguna alerta visible que indique que el navegador ha sido secuestrado.
Muchas personas creen que los riesgos de las extensiones de Chrome son mínimos o están limitados a extensiones desconocidas, pero ataques recientes han demostrado lo contrario. Incluso extensiones legítimas, con millones de usuarios, han sido secuestradas y utilizadas para fines maliciosos, lo que deja claro que nadie está completamente a salvo.
El ataque SyncJacking demuestra cómo los ciberdelincuentes pueden explotar funciones comunes, como la sincronización de Chrome y las extensiones del navegador, para acceder a información sensible sin necesidad de instalar malware. Al ser un ataque discreto, la víctima rara vez nota que su perfil ha sido comprometido hasta que ya es demasiado tarde.
Para reducir el riesgo, es clave revisar y eliminar extensiones sospechosas, activar la autenticación en dos pasos (2FA) y limitar la sincronización de datos en Chrome. Además, la concientización sobre ciberseguridad es fundamental, ya que muchos ataques comienzan con un simple engaño que manipula al usuario para que tome una mala decisión.
Más allá de instalar herramientas de seguridad, mantenerse informado y alerta es la mejor defensa. Cuanto más conscientes seamos de estos riesgos, más difícil será para los atacantes aprovecharse de nosotros.