Extensiones Maliciosas en Chrome con 1.7 Millones de Descargas

Un grupo de extensiones maliciosas en la Chrome Web Store de Google logró colarse sin problema, acumulando nada menos que 1.7 millones de descargas. ¿El problema? Aunque parecían inofensivas, en realidad podían rastrear lo que hacías en línea, robar tu historial de navegación e incluso redirigirte a sitios peligrosos sin que te dieras cuenta.

Lo más preocupante es que muchas de estas extensiones sí hacían lo que prometían: funcionaban como selectores de color, VPNs, amplificadores de volumen o teclados de emojis, lo cual hacía que parecieran completamente legítimas.

Aunque ya han eliminado algunas de estas extensiones, varias siguen activas en la tienda, así que es muy posible que millones de usuarios todavía las tengan instaladas sin saber el riesgo que corren.

Dos de las extensiones de Chrome con código de seguimiento (Fuente: BleepingComputer)

Extensiones populares en Chrome que podrían poner en riesgo tu privacidad

Lo más alarmante es que muchas de estas extensiones parecían completamente confiables: estaban verificadas por Google, tenían montones de reseñas positivas y hasta aparecían bien posicionadas en la Chrome Web Store. Todo eso hacía que los usuarios confiaran en ellas sin imaginar que podían estar poniendo en riesgo su privacidad.

Si usas Chrome, te recomendamos que revises si tienes instaladas alguna de estas extensiones y las elimines cuanto antes:

1. Color Picker, Eyedropper — Geco colorpick
   
   
2. Emoji keyboard online — copy&paste your emoji
   
   
3. Free Weather Forecast
   
   
4. Video Speed Controller — Video manager
   
   
5. Unlock Discord — VPN Proxy to Unblock Discord Anywhere
   
   
6. Dark Theme — Dark Reader for Chrome
   
   
7. Volume Max — Ultimate Sound Booster
   
   
8. Unblock TikTok — Seamless Access with One-Click Proxy
   
   
9. Unlock YouTube VPN
   
   
10. Unlock TikTok
    
    
11. Weather

Una de estas extensiones, “Volume Max – Ultimate Sound Booster”, ya había sido mencionada el mes pasado por los investigadores de LayerX, quienes advirtieron que podía espiar a los usuarios. En ese momento no se pudo confirmar nada malicioso, pero ahora vuelve a estar bajo la lupa.

Extensión riesgosa de Chrome marcada por equipos de seguridad

Podría interesarte leer: ¿Cómo mantener seguro tu celular aunque ya no reciba actualizaciones?

¿Cómo funcionaban estas extensiones maliciosas?

Según los investigadores, el truco estaba en lo que pasaba tras bambalinas. Cada extensión tenía un componente que corría en segundo plano (algo así como un “asistente invisible”) usando una función de Chrome que permitía espiar discretamente lo que hacías en el navegador.

Cada vez que abrías una página web, este "oyente" (o listener) se activaba y capturaba la URL que estabas visitando. Esa información, junto con un identificador único que permitía rastrear a cada usuario individualmente, era enviada a un servidor controlado por los atacantes.

¿Y luego? Ese servidor podía responder con una nueva URL, redirigiéndote automáticamente a otra página sin que tú hicieras nada. Esto abría la puerta a posibles redirecciones a sitios falsos, con anuncios engañosos o incluso a páginas diseñadas para ejecutar ataques cibernéticos.

El truco estaba en las actualizaciones

Un detalle importante es que el código malicioso no estaba en las primeras versiones de estas extensiones. Al principio eran inofensivas y hacían lo que prometían. Pero en algún momento, mediante una actualización, se introdujo el comportamiento peligroso.

Lo preocupante es que Chrome actualiza las extensiones de forma automática y sin pedir permiso, así que millones de personas pudieron estar usando versiones más nuevas, y más peligrosas, sin saberlo.

Esto ha llevado a pensar que algunas de estas extensiones fueron comprometidas: ya sea porque los desarrolladores originales fueron hackeados o porque vendieron sus extensiones a terceros que luego agregaron el código malicioso.

El problema no se limita solo a Chrome. Las mismas extensiones maliciosas también se encontraron disponibles en la tienda oficial de Microsoft Edge, con un total de más de 600.000 descargas adicionales. Esto demuestra que el alcance de esta campaña ha sido bastante amplio.

Combinando ambos navegadores, más de 2.3 millones de personas han instalado alguna de estas extensiones comprometidas. Se trata de una de las operaciones de secuestro de navegación más grandes detectadas hasta ahora.

Conoce más sobre: Martes de Parches Julio 2025: Microsoft Corrige 137 Vulnerabilidades

¿Qué puedes hacer si crees que fuiste afectado?

Si sospechas que puedes haber instalado alguna de estas extensiones (aunque ya no la tengas activa), lo mejor es actuar cuanto antes. Aquí tienes algunos pasos recomendados:

1. Elimina inmediatamente cualquier extensión sospechosa desde el panel de extensiones de Chrome o Edge (chrome://extensions/ o edge://extensions/).

2. Limpia los datos de navegación, incluyendo historial, cookies y caché. Esto ayuda a eliminar identificadores que podrían haberse guardado.

3. Haz un escaneo completo de tu computadora con un antivirus actualizado o una herramienta confiable de detección de malware.

4. Revisa tus cuentas (correo, redes sociales, bancos, etc.) en busca de movimientos extraños o accesos no autorizados.

5. Activa la autenticación en dos pasos en tus cuentas más importantes, como medida de seguridad adicional.

Este tipo de incidentes nos recuerda que incluso las extensiones más populares o aparentemente legítimas pueden esconder riesgos. La mejor defensa es mantenerse informado y revisar periódicamente lo que tenemos instalado en nuestros dispositivos.