¿Sabías que tu navegador puede ser un blanco perfecto para los hackers? Usamos extensiones todo el tiempo para bloquear anuncios, guardar contraseñas o hacer nuestro día más fácil, pero pocas veces pensamos en los riesgos que pueden traer. Recientemente, se descubrió que 16 extensiones populares de Chrome fueron hackeadas, afectando a más de 600,000 personas. Sí, herramientas que muchos de nosotros usamos a diario terminaron siendo una puerta abierta para robar datos, cookies y credenciales.
Lo peor de todo es cómo sucedió: los hackers atacaron a los desarrolladores de estas extensiones con correos de phishing, lograron tomar el control y añadieron código malicioso. Esto convirtió extensiones legítimas en una herramienta para recolectar datos personales de los usuarios sin que ellos lo supieran.
¿Cómo los hackers comprometieron la extensión de Cyberhaven?
La primera empresa en caer en esta campaña de hackeo fue Cyberhaven, una firma de ciberseguridad. Todo comenzó el 24 de diciembre, cuando uno de sus trabajadores recibió un correo de phishing que parecía venir del soporte de Google Chrome Web Store. En el correo, le advertían que su extensión sería eliminada de la tienda por supuestas violaciones a las políticas para desarrolladores, creando una falsa sensación de urgencia. Lamentablemente, el trabajador cayó en la trampa, lo que permitió a los hackers publicar una versión maliciosa de la extensión.
Unos días después, el 27 de diciembre, Cyberhaven confirmó que su extensión había sido comprometida. Los atacantes lograron inyectar código malicioso que se conectaba a un servidor de comando y control (C&C) en el dominio cyberhavenext[.]pro. Desde ahí, descargaron archivos adicionales y comenzaron a robar datos de los usuarios. Todo esto ocurrió gracias a un simple correo de phishing, disfrazado de un mensaje oficial, que jugó con la urgencia y la confianza del empleado. Este caso demuestra lo sofisticadas (y peligrosas) que pueden ser estas campañas.
Correo electrónico de phishing de Chrome Web Store (Fuente de la imagen: Cyberhaven)
El correo de phishing no solo generaba urgencia para engañar a la víctima, también incluía un enlace que redirigía a una página donde se solicitaban permisos para una aplicación OAuth maliciosa llamada "Extensión de política de privacidad". Una vez que el empleado cayó en la trampa, los atacantes obtuvieron acceso suficiente para subir una versión maliciosa de la extensión a la Chrome Web Store.
"El atacante utilizó la aplicación maliciosa para conseguir los permisos necesarios y logró publicar una extensión comprometida en la tienda de Chrome", explicó Cyberhaven. Lo preocupante es que la extensión pasó el proceso de revisión de seguridad de Chrome y fue aprobada como si fuera legítima, demostrando lo fácil que es para los hackers infiltrarse en estas plataformas.
Or Eshed, CEO de LayerX Security, advirtió sobre lo vulnerables que son las extensiones de navegador. "Aunque muchos creen que son inofensivas, la realidad es que tienen acceso a una cantidad preocupante de información confidencial, como cookies, tokens de acceso e incluso datos de identidad", explicó. Además, señaló que muchas empresas ni siquiera saben qué extensiones están instaladas en los dispositivos de sus trabajadores, lo que aumenta significativamente el nivel de exposición.
Jamie Blasco, CTO de Nudge Security, también identificó otros dominios que compartían la misma dirección IP que el servidor de comando y control usado en el ataque a Cyberhaven. Y no solo eso: investigaciones adicionales han revelado que otras extensiones populares también podrían haber sido comprometidas. Entre ellas están:
-
- Asistente de inteligencia artificial: ChatGPT y Gemini para Chrome
- Extensión de chat de Bard AI
- Resumen de GPT 4 con OpenAI
- Buscar en Copilot AI Assistant para Chrome
- Asistente de inteligencia artificial TinaMInd
- IA de Wayin
- Ciudad VPN
- VPN de Internet
- Grabadora de vídeo Vindoz Flex
- Descargador de videos VidHelper
- Cambiador de favicon de marcadores
- Castorus
- Uvoice
- Modo de lectura
- Charlas de loros
- Hornillo de camping
- Tackker: herramienta de registro de teclas en línea
- Compañero de tienda con inteligencia artificial
- Ordenar por más antiguo
- Automatizador de búsqueda de recompensas
- Asistente de ChatGPT: búsqueda inteligente
- Grabador de historial de teclado
- Cazador de correos electrónicos
- Efectos visuales para Google Meet
- Earny - Hasta un 20 % de reembolso en efectivo
Esta lista incluye herramientas que millones de personas usan a diario, desde asistentes de inteligencia artificial hasta extensiones para grabar video o mejorar la experiencia en Google Meet. Es un recordatorio de que incluso las extensiones más conocidas pueden convertirse en un riesgo si no se toman las medidas adecuadas para protegerlas.
Podría interesarte leer: Google Chrome, el Preferido por Ciberdelincuentes
Una Campaña Masiva: Extensiones Comprometidas y Años de Preparación
Estas nuevas extensiones comprometidas dejan claro que lo ocurrido con Cyberhaven no fue un caso aislado, sino parte de un ataque mucho más grande, diseñado específicamente para apuntar a extensiones legítimas del navegador.
Según investigaciones, esta campaña podría haber estado activa desde hace tiempo. Los dominios vinculados al ataque tienen registros que datan de años atrás: uno de ellos, nagofsg[.]com, fue registrado en agosto de 2022, mientras que otro, sclpfybn[.]com, se remonta a julio de 2021. Esto sugiere que los atacantes llevan trabajando en esta estrategia desde hace mucho antes de que las primeras alertas salieran a la luz.
El análisis del caso también ha vinculado el ataque de Cyberhaven con otra extensión llamada "Reader Mode", que contenía parte del mismo código malicioso. Dentro de "Reader Mode" se encontró un dominio adicional comprometido (sclpfybn[.]com) que dio pie a descubrir más extensiones afectadas, incluyendo una llamada "Rewards Search Automator".
Esta última no solo incluía código diseñado para extraer datos en nombre de una supuesta función de “navegación segura”, sino que también escondía un componente disfrazado como una funcionalidad de “comercio electrónico”. Este componente utilizaba otro dominio sospechoso (tnagofsg[.]com) para realizar actividades similares.
Pero no termina ahí. Al rastrear este dominio, también se descubrió que otra extensión, llamada "Earny - Up to 20% Cash Back", contenía un código muy parecido. Lo inquietante es que esta extensión todavía se actualizó tan recientemente como el 5 de abril de 2023, lo que significa que los atacantes han estado perfeccionando sus tácticas durante todo este tiempo.
En el caso específico de la extensión comprometida de Cyberhaven, el análisis mostró que el código malicioso tenía un objetivo claro: robar datos de identidad y tokens de acceso de cuentas de Facebook. Estos datos permitían a los atacantes identificar a los usuarios de Facebook Ads, probablemente para realizar actividades no autorizadas relacionadas con publicidad o cuentas empresariales.
Todo esto demuestra que estamos frente a una campaña bien organizada y sofisticada, diseñada para infiltrarse en extensiones que, a simple vista, parecen confiables, pero que terminan funcionando como una herramienta para recolectar datos sensibles de los usuarios sin que estos lo noten.
Datos de usuario recopilados por la extensión del navegador Cyberhaven comprometida (fuente: Cyberhaven)
Cyberhaven informó que la versión maliciosa de su extensión fue eliminada de la Chrome Web Store unas 24 horas después de su publicación. Algunas de las otras extensiones comprometidas también fueron actualizadas o eliminadas de la tienda.
Pero, como señala Or Eshed, eliminar una extensión de la tienda no significa que el problema haya desaparecido. "Si la versión comprometida de la extensión sigue instalada en los navegadores de los usuarios, los atacantes aún podrán explotarla para acceder a datos sensibles", advirtió. Esto pone el foco en la importancia de que los usuarios revisen y actualicen o eliminen sus extensiones manualmente para evitar riesgos.
Por ahora, no está claro quién está detrás de estos ataques ni si están todos conectados entre sí. Lo que sí es evidente es que esta situación ha puesto en jaque la confianza en las extensiones de navegador y ha encendido las alarmas sobre los riesgos que representan.
Podría interesarte leer: Ataque de Phishing Utiliza Google Calendar para Evitar Filtros Spam
Conclusión: La seguridad empieza contigo
El hackeo de extensiones de Chrome nos deja una lección importante: todos podemos ser vulnerables si no tomamos medidas para protegernos. Las extensiones, aunque prácticas, pueden convertirse en un riesgo si no las revisamos regularmente. Por eso, es clave eliminar las que no usamos, verificar los permisos que les otorgamos y estar atentos a posibles intentos de phishing, que suelen ser el primer paso para este tipo de ataques.
La concienciación en ciberseguridad es fundamental, tanto para proteger tu información como para evitar que los atacantes sigan aprovechándose de los descuidos. Estar informado, entender los riesgos y adoptar buenos hábitos digitales son pasos esenciales para reducir las amenazas. No se trata de alarmarse, sino de actuar con responsabilidad.
