Dos extensiones de Chrome detectadas robando credenciales en más de 170 sitios

diciembre 24, 2025

Dos extensiones de Chrome detectadas robando credenciales en más de 170 sitios

Resumen del hallazgo

Investigadores de ciberseguridad han descubierto dos extensiones maliciosas para Google Chrome que comparten nombre y desarrollador y que incluyen capacidades para interceptar tráfico y capturar credenciales de usuario. Las extensiones se publicitan como un «multi-location network speed test plug-in» para desarrolladores y personal de comercio exterior. Según el informe original, las dos extensiones afectaron a más de 170 sitios y estaban disponibles para su descarga en el momento del hallazgo.

Contexto y antecedentes

Los complementos de navegador ofrecen una forma cómoda de añadir funcionalidades a la navegación, pero también constituyen un vector de ataque atractivo: cuando se conceden permisos amplios, las extensiones pueden acceder a cookies, interceptar solicitudes web y ejecutar código en páginas de confianza. En el pasado han emergido múltiples campañas en las que extensiones aparentemente legítimas exfiltraban datos de navegación, inyectaban scripts maliciosos o vendían ancho de banda de los usuarios (por ejemplo, casos ampliamente divulgados como los incidentes relacionados con el proveedor de VPN Hola y con algunas extensiones que recolectaban historial de navegación).

La persistencia de este tipo de amenazas explica por qué la seguridad del ecosistema de extensiones y la revisión del Chrome Web Store siguen siendo prioridades para administradores y profesionales de seguridad: un complemento malicioso distribuido a través de la tienda oficial tiene potencial para afectar a grandes volúmenes de usuarios en entornos personales y corporativos.

Cómo operan técnicamente (análisis para profesionales)

El informe identifica facultades para «interceptar tráfico» y «capturar credenciales». Técnicamente, esas capacidades suelen implementarse mediante una o varias de las siguientes técnicas y APIs del navegador:

  • Permisos amplios en manifest.json (por ejemplo, acceso a cookies, host permissions para muchos dominios, webRequest y webRequestBlocking), que permiten observar y modificar solicitudes HTTP(S).
  • Inyección de content scripts que ejecutan código en páginas objetivo para leer formularios, capturar eventos de envío y extraer credenciales en el momento de login.
  • Uso de la API chrome.proxy o redirecciones para enviar tráfico a servidores controlados por el atacante y realizar un man-in-the-browser o intermediación.
  • Descifrado o reenvío de tokens de sesión y cookies hacia endpoints externos mediante fetch/XHR desde el contexto de la extensión.
  • Ofuscación de código y carga dinámica de scripts remotos para dificultar el análisis estático y la detección por parte de revisores automáticos.

Para investigadores y equipos de respuesta, las señales de compromiso (IoC) a buscar incluyen:

  • Permisos excesivos en manifest.json y listas de dominios amplias en host permissions.
  • Comunicación saliente hacia dominios de terceros no relacionados con la funcionalidad anunciada.
  • Inyección de scripts en páginas de inicio de sesión o captura de eventos onsubmit.
  • Empleo de técnicas de ofuscación o carga remota de código justo después de la instalación.

Comparativas y antecedentes relevantes

Este incidente encaja en una tendencia recurrente: extensiones distribuidas como utilidades legítimas que, tras un periodo de actividad aparentemente inofensiva, comienzan a realizar exfiltración de datos o a abusar de permisos. Históricamente, Google y otros navegadores han eliminado extensiones por comportamientos similares, y las investigaciones públicas han mostrado que tanto usuarios particulares como organizaciones pueden ser afectados cuando una extensión con muchos privilegios es maliciosa o comprometida.

Ejemplos anteriores incluyen extensiones que recopilaron historiales de navegación o actuaron como proxy para monetizar tráfico de usuarios sin su consentimiento.

Si bien el número exacto de instalaciones de estas dos extensiones específicas no se ha divulgado en el informe original, el hecho de que apuntasen a más de 170 sitios subraya el alcance potencial: una sola extensión maliciosa con permisos globales puede exfiltrar credenciales en multitud de dominios, incluidos servicios de correo, banca, SaaS corporativo y portales internos.

Riesgos e implicaciones

Las implicaciones son múltiples y dependen del perfil de los usuarios afectados:

  • Compromiso de cuentas: las credenciales robadas permiten acceso no autorizado a correos, herramientas corporativas, servicios financieros y otros recursos sensibles.
  • Movimiento lateral: para entornos corporativos, una extensión instalada en máquinas con acceso a VPN o a portales internos puede facilitar la escalada o el movimiento lateral dentro de la red.
  • Persistencia y evasión: las extensiones pueden mantener acceso incluso si el usuario cambia contraseñas, si se exfiltran tokens de sesión o se reutilizan credenciales en otros servicios.
  • Impacto reputacional y cumplimiento: filtraciones de datos y accesos no autorizados implican riesgos legales y regulatorios para organizaciones que sufran exposición de cuentas corporativas.

Recomendaciones prácticas y acciones inmediatas

Para usuarios y equipos de seguridad que necesiten una respuesta rápida, estas son acciones priorizadas:

  • Desinstalar inmediatamente las extensiones sospechosas desde chrome://extensions o a través de la gestión centralizada de extensiones si es un entorno corporativo.
  • Cambiar contraseñas de cuentas críticas desde un dispositivo limpio y revocar sesiones activas (cerrar sesiones en todos los dispositivos), especialmente para cuentas corporativas, correo y sistemas financieros.
  • Habilitar autenticación multifactor (MFA) en todos los servicios que lo permitan y, si es posible, usar claves de seguridad físicas (FIDO2/WebAuthn) para impedir el acceso solo con credenciales robadas.
  • Auditar extensiones instaladas en equipos de la organización y restringir la instalación mediante políticas de grupo o la consola de administración de Google Workspace/Chromebook Enterprise.
  • Analizar registros de red y endpoints en busca de comunicaciones hacia dominios sospechosos relacionados con la extensión; identificar posibles exfiltraciones y crear Indicadores de Compromiso (IoC).
  • Revisar permisos de extensiones legítimas y limitar host permissions a dominios concretos en lugar de usar patrones globales (««).
  • Para desarrolladores y administradores: realizar análisis estático y dinámico de extensiones que se van a desplegar, validar firmas, evitar la carga remota de scripts y aplicar el principio de menor privilegio.
  • Reportar las extensiones a Google a través del centro de ayuda del Chrome Web Store y a equipos internos de respuesta a incidentes para coordinación.

Conclusión

El hallazgo de dos extensiones de Chrome con la capacidad de interceptar tráfico y capturar credenciales, afectando a más de 170 sitios, recuerda que las extensiones del navegador son un vector de alto riesgo cuando se les conceden permisos amplios. Usuarios y organizaciones deben adoptar medidas preventivas: minimizar permisos, auditar extensiones, habilitar MFA y utilizar controles administrativos para bloquear instalaciones no autorizadas. Para los equipos técnicos, es imprescindible integrar análisis de extensiones en los procesos de seguridad y respuesta a incidentes, y tratar cada reporte de este tipo con prioridad para contener la exposición y mitigar el riesgo.

Source: thehackernews.com

Comparte este Blog

LinkedIn
X
WhatsApp
Facebook
Telegram
Email

Más de la categoría

ChatGPT añade «formatting blocks» para adaptar su interfaz a tareas específicas
Noticias Ciberseguridad
MacSync para macOS se distribuye como app firmada y notarizada para eludir Gatekeeper
Noticias Ciberseguridad
Revisiting CVE-2025-50165: fallo crítico en Windows Imaging Component y su alcance real
Noticias Ciberseguridad
Operaciones de malware Android combinan droppers, robo de SMS y capacidades RAT a gran escala
Noticias Ciberseguridad