Extensiones maliciosas de Chrome manipulan enlaces de afiliado y roban tokens de ChatGPT

enero 31, 2026

Extensiones maliciosas de Chrome manipulan enlaces de afiliado y roban tokens de ChatGPT

Resumen de la investigación

Investigadores de ciberseguridad han identificado extensiones maliciosas para Google Chrome capaces de secuestrar enlaces de afiliado, exfiltrar datos y recolectar tokens de autenticación de OpenAI ChatGPT. Uno de los complementos señalados es Amazon Ads Blocker (ID: pnpchphmplpdimbllknjoiopmfphellj), que se presentaba como una herramienta para navegar por Amazon sin contenido patrocinado y fue subida al Chrome Web Store. Según el informe, estas extensiones abusan de permisos del navegador para inyectar código, redirigir o reescribir enlaces y extraer credenciales de sesión.

Por qué importa: contexto y antecedentes

Las extensiones de navegador son un vector de ataque atractivo porque, cuando se conceden permisos amplios, pueden leer y modificar el contenido de páginas, interceptar solicitudes de red y acceder a datos almacenados en el navegador. Esto facilita ataques prácticos para monetizar sesiones de navegación (por ejemplo, mediante la inserción silenciosa de parámetros de afiliado) y para cometer robo de credenciales o tokens que permiten acceso persistente a servicios en línea, incluidos asistentes basados en IA como ChatGPT.

El fenómeno no es nuevo: la tienda de extensiones de Chrome ha alojado históricamente complementos maliciosos o comprometidos que han logrado altas cifras de instalación antes de ser detectados y eliminados. Casos ampliamente difundidos, como el de «The Great Suspender», demostraron cómo un cambio en el mantenimiento de una extensión popular puede derivar en la incorporación de comportamientos no deseados y en riesgos para millones de usuarios. La combinación de confianza del usuario y permisos excesivos crea un riesgo sostenido.

Análisis técnico y comentarios para profesionales

Para practicantes y equipos de seguridad, los patrones observados son consistentes con técnicas conocidas:

  • Secuestro de enlaces de afiliado: el código inyectado detecta enlaces de tiendas (por ejemplo, amazon.com) y reescribe parámetros UTM o agrega identificadores de afiliado antes de la redirección, de modo que las comisiones van al atacante.
  • Exfiltración de tokens de sesión: las extensiones con permisos de acceso a páginas pueden leer cookies, localStorage o interceptar cabeceras y extraer tokens de autenticación que permiten sesiones activas contra APIs web (por ejemplo, servicios de OpenAI). Un token válido puede conceder acceso a la cuenta asociada mientras no expire o sea revocado.
  • Persistencia y actualización silenciosa: una vez instalada, la extensión puede comunicarse con un servidor de mando y control (C2) para descargar módulos adicionales o recibir instrucciones que activan el comportamiento malicioso en momentos concretos, dificultando la detección inicial.

Para equipos de respuesta a incidentes: asumir que cualquier extensión con permisos amplios puede actuar como vector de escalada y exfiltración; priorizar análisis de extensiones recientes y revisiones de tráfico saliente asociado al navegador afectado.

Casos comparables y tendencias

Históricamente, los incidentes con extensiones maliciosas han seguido patrones similares: extensiones populares modificadas o nuevas extensiones con apariencia legítima consiguen instalaciones y luego inyectan comportamientos fraudulentos. Las consecuencias van desde fraude de afiliados hasta robo de credenciales y pérdida de datos corporativos. Varias investigaciones públicas han mostrado casos con cientos de miles o millones de instalaciones antes de la remoción, lo que subraya la escala de impacto potencial.

Además, la transición técnica de Manifest V2 a Manifest V3 en Chrome ha cambiado las capacidades y limitaciones de las extensiones, pero no elimina la superficie de riesgo: aunque algunas APIs se restringen, los atacantes siguen encontrando formas de explotar permisos legítimos para realizar exfiltración o manipulación de contenido.

Riesgos e implicaciones

Las implicaciones cubren usuarios particulares, organizaciones y proveedores de servicios:

  • Usuarios finales: exposición de cuentas personales (p. ej., ChatGPT), pérdida de privacidad, redirecciones fraudulentas que generan ingresos para atacantes y exposición de información sensible en sesiones web.
  • Empresas y equipos IT: riesgo de fuga de credenciales corporativas si los empleados usan extensiones en navegadores donde acceden a activos corporativos; posibilidad de acceso no autorizado a herramientas y APIs internas si se filtran tokens o cookies de sesión.
  • Plataformas y ecosistemas: erosión de confianza en tiendas de extensiones y mayor carga de trabajo para los equipos de seguridad y revisores de plataformas.

Desde una perspectiva operativa, el robo de tokens de ChatGPT puede permitir a un atacante interaccionar con la cuenta de la víctima, acceder a historial de conversaciones y, en casos donde se usen integraciones o API keys, potencialmente interceptar datos de negocio o prompts valiosos.

Recomendaciones prácticas y medidas de mitigación

Acciones inmediatas para usuarios y administradores:

  • Revisar y auditar extensiones instaladas: abrir chrome://extensions y eliminar cualquier extensión desconocida, con nombre sospechoso o recientemente instalada.
  • Comprobar permisos: eliminar extensiones que soliciten «leer y cambiar todos los datos en los sitios que visites» salvo que sean absolutamente necesarias y de confianza.
  • Limpiar sesiones y revocar tokens: cerrar sesión en servicios sensibles (ej. chat.openai.com), borrar datos del sitio (cookies y localStorage) y, si es posible, rotar contraseñas y revocar sesiones desde la configuración de la cuenta o API keys en el panel del proveedor.
  • Habilitar autenticación multifactor (MFA): para correos y servicios críticos, MFA reduce el riesgo de compromiso si un token o credencial se ve comprometida.
  • Políticas empresariales: aplicar listas blancas/negra de extensiones mediante políticas de grupo (GPO) o herramientas de gestión de endpoints; restringir la instalación de extensiones en dispositivos corporativos.
  • Monitorización de red: detectar tráfico anómalo saliente desde navegadores hacia dominios de comando y control; usar EDR/NDR para correlacionar actividad del navegador con descarga de módulos maliciosos.
  • Análisis forense de extensiones sospechosas: extraer el paquete (.crx/desempaquetado) para revisar scripts, endpoints y patrones de exfiltración; verificar firmas y orígenes del desarrollador.

Buenas prácticas de prevención: minimizar permisos concedidos, usar perfiles de navegador separados (uno para trabajo, otro para uso personal), y optar por extensiones de desarrolladores reconocibles con historial y código abierto cuando sea posible.

Conclusión

El hallazgo de extensiones que secuestran enlaces de afiliado y recolectan tokens de ChatGPT subraya una amenaza persistente: el abuso de permisos legítimos del navegador para fines fraudulentos y de espionaje. Usuarios y organizaciones deben auditar sus extensiones, reducir permisos, aplicar controles de seguridad y revocar sesiones si sospechan compromiso. Para los equipos de seguridad, este tipo de incidentes refuerza la necesidad de políticas de gestión de extensiones, monitorización de tráfico y procedimientos claros de respuesta ante la posible exfiltración de tokens y credenciales.

Source: thehackernews.com

Comparte este Blog

LinkedIn
X
WhatsApp
Facebook
Telegram
Email

Más de la categoría

Paquete Telnyx en PyPI comprometido: malware oculto en WAV roba credenciales
Noticias Ciberseguridad
Brecha en sistemas de Ajax expone datos de aficionados y facilita el secuestro de entradas
Noticias Ciberseguridad
GitHub integra detección de errores potenciada por IA para ampliar la cobertura de seguridad
Noticias Ciberseguridad
Seguridad de cargas de trabajo en la nube: cerrar las brechas de visibilidad y control
Noticias Ciberseguridad