Más de 100 extensiones maliciosas lograron infiltrarse en la Chrome Web Store, disfrazadas de herramientas legítimas como VPNs, asistentes de inteligencia artificial y utilidades de cifrado. Investigadores de seguridad de DomainTools revelaron que estas extensiones forman parte de una campaña bien organizada que utiliza más de 100 dominios falsos para atraer a usuarios desprevenidos, probablemente mediante publicidad maliciosa.
Aunque muchas de estas extensiones ofrecían parte de las funciones prometidas, en realidad se conectaban en secreto a servidores controlados por los atacantes para robar cookies del navegador, ejecutar scripts remotos y recibir comandos maliciosos.
Además del robo de datos, estas extensiones también pueden modificar el tráfico de red del usuario, inyectar anuncios no deseados, realizar redirecciones engañosas o funcionar como proxies. Todo esto ocurre en segundo plano, mientras el usuario cree estar utilizando una herramienta confiable.
Entre los más de 100 sitios web detectados como parte de esta campaña maliciosa, hay de todo: desde servicios VPN inventados hasta copias de marcas conocidas como Fortinet, YouTube, DeepSeek AI o incluso Calendly. Algunos de los dominios más sospechosos incluyen nombres como:
Estos sitios están diseñados para parecer legítimos y suelen incluir botones del tipo "Agregar a Chrome", que en realidad redirigen a extensiones maliciosas alojadas en la Chrome Web Store. Todo está cuidadosamente montado para que la experiencia parezca confiable y profesional, justo lo que se espera de una herramienta útil.
Aunque Google ya eliminó varias de estas extensiones después de que se reportaran, algunas todavía permanecen activas en la tienda oficial, lo que representa un riesgo para quienes puedan encontrarlas y confiar en ellas sin sospechar nada extraño.
Conoce más sobre: ¿Por qué seguimos cayendo en ataques de phishing en pleno 2025?
Aunque algunas de estas extensiones parecen ofrecer funciones útiles (como mejorar la conexión, bloquear anuncios o aumentar la productividad) la realidad es que muchas ocultan permisos peligrosos que les permiten hacer cosas mucho más invasivas. Estamos hablando de robar cookies (incluyendo tokens de sesión), inyectar scripts maliciosos en las páginas que visitas e incluso realizar ataques de phishing manipulando el contenido de los sitios web.
Un buen ejemplo es la extensión “fortivpn”. Además de hacerse pasar por una herramienta legítima, puede actuar como un servidor proxy, interceptar y modificar el tráfico de red, y ejecutar código JavaScript directamente desde servidores controlados por los atacantes. Cuando recibe la orden, es capaz de recolectar todas las cookies del navegador, comprimirlas, codificarlas y enviarlas a un servidor remoto. Y no solo eso: también puede establecer conexiones WebSocket independientes para enrutar tu tráfico a través de servidores maliciosos, incluyendo mecanismos para manejar la autenticación de esos proxies.
Sitio malicioso que se hace pasar por un cliente VPN de Fortinet
El peligro de instalar extensiones como esta va más allá del navegador. Permiten a los atacantes acceder a tus cuentas, espiar tu actividad en línea, y hasta usar tus cookies de sesión para entrar a servicios corporativos, incluyendo redes privadas o cuentas VPN. En manos equivocadas, esta información puede convertirse en la puerta de entrada a ataques mucho más graves dentro de empresas o sistemas más amplios.
La mejor defensa frente a este tipo de amenazas es ser muy selectivo con las extensiones que instalas. Siempre verifica quién las desarrolló, revisa los permisos que solicitan y echa un vistazo a las reseñas de otros usuarios. Si algo no te da buena espina, probablemente sea mejor no instalarlo. En temas de seguridad, más vale prevenir.