Hace no mucho, Google reforzó Chrome con una función pensada para proteger datos sensibles como cookies y credenciales: Application‑Bound Encryption (ABE), una capa que mantiene cifrada la llave maestra en disco y exige un servicio con privilegios de sistema para descifrarla. La idea era cerrar una vía de acceso que los robadores de información (infostealers) habían estado explotando durante años. Sin embargo, investigadores de seguridad han detectado un nuevo actor que ha encontrado una manera distinta y sigilosa de derrotar esa barrera.
El hallazgo viene documentado por Gen Digital, la compañía matriz de Norton, Avast, AVG y Avira. En su informe se describe cómo una plataforma de malware disponible como servicio —conocida como VoidStealer— incorporó una técnica basada en depuración para capturar la llamada v20_master_key directamente desde la memoria del navegador, en el preciso instante en que aparece en texto plano durante un proceso legítimo de descifrado.
La novedad clave no está en la capacidad de leer memoria —técnicas para extraer claves ya habían sido demostradas en herramientas de código abierto— sino en la forma: VoidStealer arranca un proceso del navegador en estado suspendido y oculto, lo adjunta como depurador y espera a que un módulo importante (por ejemplo chrome.dll o msedge.dll) se cargue. A partir de ahí localiza una instrucción concreta que referencia un texto conocido dentro de la DLL y coloca un punto de interrupción en hardware sobre esa dirección.
Un breakpoint en hardware es distinto a los métodos clásicos de inyección de código o elevación de privilegios; actúa a nivel del procesador y puede detener temporalmente la ejecución de un hilo cuando alcanza una instrucción determinada. VoidStealer aplica ese mecanismo a todos los hilos del proceso objetivo y aguarda a que, durante el arranque del navegador —cuando éste fuerza la lectura y descifrado temprano de datos protegidos— la instrucción marcada se ejecute. En ese instante el malware lee los registros del hilo para obtener un puntero al bloque de memoria que contiene la llave maestra en claro y la copia fuera del proceso con llamadas legítimas al sistema como ReadProcessMemory. El resultado es que, sin escalar privilegios ni inyectar código, los atacantes obtienen la llave necesaria para desencriptar cookies y otros secretos almacenados por el navegador.
Según Gen Digital, este comportamiento no surgió de la nada: la técnica guarda semejanzas con componentes de código abierto como ElevationKatz, parte del conjunto ChromeKatz que ya demostraba debilidades prácticas en la protección de datos de Chrome. La diferencia peligrosa es que ahora esta técnica ha pasado del laboratorio al mercado criminal, integrada en un producto MaaS que se publicita en foros clandestinos desde finales de 2025 y que en su versión 2.0 añadió este bypass.
El caso pone en evidencia un punto importante de la seguridad moderna: las mitigaciones que protegen los secretos en reposo pueden ser vulneradas en el momento exacto en que una aplicación legítima realiza operaciones legítimas para descifrarlos. El problema no es únicamente el cifrado en disco, sino el control de los procesos que realizan el descifrado. Si un atacante logra observar esos procesos desde dentro —aunque sea sin privilegios elevados— puede capturar las claves en cuanto se materializan en memoria.
Los responsables de Chrome han ido desplegando correcciones y endurecimientos para cerrar técnicas conocidas, y el propio concepto de ABE supuso un paso adelante frente a ataques triviales. No obstante, la aparición de vectores basados en depuración y hardware breakpoint demuestra que el juego del gato y el ratón continúa: los defensores tapan agujeros, los investigadores publican pruebas de concepto y los delincuentes, en ocasiones, integran esas pruebas en herramientas comerciales.
Para usuarios y equipos de seguridad esto tiene varias implicaciones prácticas. Primero, mantener el navegador y el sistema operativo actualizados sigue siendo la primera línea de defensa, porque muchos parches incluyen endurecimientos frente a técnicas de manipulación de procesos. Segundo, la detección de actividades que intentan enumerar, adjuntar o depurar procesos legítimos debe formar parte del conjunto de controles del endpoint; los puntos de interrupción en hardware son más difíciles de detectar que técnicas de inyección, pero no imposibles para soluciones avanzadas de EDR y para las políticas de integridad del sistema. Finalmente, limitar la ejecución de binarios desconocidos y aplicar medidas de principio de menor privilegio reduce la exposición a este tipo de amenazas.
Si quieres leer el análisis técnico que originó esta noticia, Gen Digital publicó un informe que describe la cadena de eventos y la lógica del atacante: informe de Gen Digital sobre VoidStealer. Para ver la pieza de código abierto que inspiró la técnica, el proyecto ChromeKatz y su componente ElevationKatz están disponibles en GitHub: repositorio de ChromeKatz. También puede ser útil consultar las notas oficiales de las versiones de Chrome en las que se introdujeron mejoras de seguridad relacionadas con ABE, disponibles en el blog de versiones de Google: Chrome Releases.
El mensaje final es sobrio: las defensas aplicadas al almacenamiento seguro de secretos son necesarias pero no suficientes por sí solas. Los ataques que observan y aprovechan momentos legítimos de procesamiento demandan una defensa que combine parcheo constante, monitoreo de comportamiento y controles de ejecución estrictos. Y mientras los investigadores sigan publicando técnicas y pruebas de concepto, los desarrolladores de navegadores y los equipos de seguridad tendrán que adaptar sus estrategias para que esos momentos de exposición sean cada vez más difíciles de explotar.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...