Una investigación reciente reveló que más de 130 extensiones falsas de Google Chrome fueron utilizadas para controlar WhatsApp Web y lanzar una campaña masiva de spam dirigida principalmente a usuarios de Brasil. Estas extensiones, diseñadas para parecer herramientas de productividad o CRM, en realidad automatizan mensajes no solicitados, evadiendo los controles de seguridad y las políticas de la plataforma.
La empresa de ciberseguridad Socket fue quien descubrió esta operación, que ya lleva al menos nueve meses activa y que afecta a más de 20.000 usuarios. Aunque no se trata de malware tradicional, el comportamiento de estas extensiones representa un alto riesgo para la privacidad y la integridad de las cuentas de WhatsApp.
Los atacantes desarrollaron 131 versiones reempaquetadas de una misma extensión, todas basadas en el mismo código fuente.
A simple vista, parecen aplicaciones legítimas para empresas o vendedores que buscan optimizar su comunicación con clientes a través de WhatsApp Web.
Pero en realidad, estas extensiones inyectan código directamente en la página de WhatsApp Web. Este código se ejecuta junto con los scripts originales del servicio, lo que les permite automatizar el envío masivo de mensajes, programar campañas y burlar las limitaciones antispam impuestas por Meta.
El investigador Kirill Boychenko, de Socket, explicó que estas herramientas actúan como “spamware”:
“No son virus en el sentido clásico, pero sí representan un riesgo alto. Abusan de las reglas de la plataforma para enviar mensajes en masa y esquivar los mecanismos de control.”
Entre las más populares se encuentran:
Aunque cada una tiene un nombre y logotipo distintos, todas comparten el mismo diseño y estructura.
La mayoría fue publicada por las cuentas “WL Extensão” o “WLExtensao”, que se sospecha pertenecen a un mismo grupo de desarrolladores brasileños que venden el software bajo un modelo de franquicia.
Este sistema permite que diferentes afiliados publiquen clones de la extensión original, manteniendo la apariencia de que son herramientas distintas, cuando en realidad todas se conectan al mismo servidor y operan con la misma infraestructura de spam.
Títulos similares: Malware Infostealer Evade las Nuevas Defensas de Cookies en Chrome
La extensión base fue creada por una empresa llamada DBX Tecnologia, que promociona su software como un CRM para WhatsApp.
En sus anuncios promete convertir la aplicación en “una poderosa herramienta de ventas” con funciones de mensajería automática, embudos de venta visuales y organización de contactos.
Sin embargo, la realidad es que DBX ofrece un programa de reventa “white-label” (marca blanca) que permite a cualquiera comprar una licencia por unos 12.000 reales brasileños (unos 2.000 USD) y revender el software bajo otro nombre.
Según Socket, DBX promete a los revendedores ingresos recurrentes de entre R$30.000 y R$84.000 mensuales, fomentando así la creación de decenas de clones de la misma herramienta.
Este modelo no solo infringe las políticas de Google Chrome Web Store, que prohíbe la publicación de extensiones duplicadas, sino que además promueve prácticas que violan directamente los términos de servicio de WhatsApp.
Las extensiones descubiertas violan múltiples políticas de Google Chrome Web Store, entre ellas la que prohíbe que los desarrolladores o sus afiliados publiquen versiones idénticas de una misma herramienta.
Además, algunas versiones de estas extensiones incluso incluyen tutoriales en YouTube sobre cómo burlar los algoritmos antispam de WhatsApp.
Boychenko detalla:
“Estas extensiones son copias casi idénticas entre sí, publicadas desde distintas cuentas y orientadas a realizar envíos masivos de mensajes no solicitados directamente desde web.whatsapp.com, sin intervención del usuario.”
En otras palabras, el usuario puede pensar que usa una herramienta legítima de gestión de clientes, pero en realidad está participando involuntariamente en una red de spam automatizado, arriesgando la suspensión de su cuenta o la pérdida de datos.
El monitoreo de Socket reveló que la operación ha estado activa al menos desde enero de 2025, con actualizaciones constantes.
Incluso se han detectado nuevas versiones subidas a la tienda de Chrome tan recientemente como el 17 de octubre de 2025, lo que demuestra que el grupo sigue operando y adaptándose a los intentos de eliminación de Google.
Cada actualización cambia pequeños fragmentos del código y los nombres de los desarrolladores, dificultando el rastreo y permitiendo que los clones vuelvan a publicarse con facilidad.
Aunque las extensiones no roban información directamente, su comportamiento afecta tanto a usuarios individuales como a empresas:
El descubrimiento coincide con otra campaña activa en Brasil identificada por Trend Micro, Sophos y Kaspersky, que utiliza un gusano de WhatsApp llamado SORVEPOTEL para distribuir el troyano bancario Maverick.
Ambas operaciones comparten un mismo patrón: abuso de la popularidad de WhatsApp como canal principal de comunicación y uso de extensiones o scripts en navegadores para automatizar los ataques.
Esto sugiere que los cibercriminales están centrando sus esfuerzos en manipular entornos web, donde la línea entre herramienta útil y software malicioso se vuelve cada vez más difusa.
Lee más: Cuidado con Anuncios de Google: Sitio Falso de Google Authenticator
Desde TecnetOne, te recomendamos seguir estas buenas prácticas para evitar caer en este tipo de trampas:
El caso de estas 131 extensiones demuestra que los atacantes están aprovechando los vacíos de las tiendas de aplicaciones para distribuir spamware “legalizado” bajo apariencia profesional.
En lugar de robar datos directamente, estas herramientas usan tus recursos para ejecutar campañas masivas, afectando tanto tu privacidad como la confianza en plataformas como WhatsApp.
En TecnetOne, seguimos de cerca estas tendencias para ayudarte a fortalecer la seguridad digital de tu empresa, identificando amenazas en entornos web, bloqueando extensiones maliciosas y capacitando a tus equipos para detectar señales tempranas de riesgo.