En las últimas semanas han aflorado a la superficie varias extensiones maliciosas para Google Chrome que se han hecho pasar por herramientas de productividad orientadas a plataformas de recursos humanos y ERP, como Workday, NetSuite o SuccessFactors. Investigadores de seguridad de Socket han identificado cinco complementos que, aunque se promocionaban como utilidades para facilitar el acceso a herramientas premium, esconden capacidades diseñadas para robar sesiones y bloquear cualquier intento de respuesta por parte de los equipos de seguridad.
Las extensiones detectadas incluyen nombres como DataByCloud Access, DataByCloud 1, DataByCloud 2, Tool Access 11 y Software Access, con varias versiones publicadas bajo uno o dos editores diferentes. Algunas llegaron a acumular varios centenares o miles de instalaciones antes de que Google retirara la mayoría de ellas de la tienda oficial; no obstante, algunos instaladores persistían en repositorios de terceros, lo que aumenta el riesgo de que usuarios y empresas sin suficiente control de software acaben ejecutándolas. El informe técnico de Socket describe en detalle cómo funcionan y por qué resultan especialmente peligrosas: análisis de Socket.
La técnica central que emplean estas extensiones es la explotación de cookies de autenticación: recolectan las cookies de sesión de dominios concretos relacionados con servicios corporativos y las envían periódicamente a servidores controlados por los atacantes. En algunos casos esto se complementa con la capacidad inversa: recibir cookies desde un servidor remoto e inyectarlas en el navegador del atacante para asumir directamente la sesión de la víctima. Ese mecanismo de "inyección" permite al atacante trabajar con la misma identidad que la persona afectada sin necesidad de conocer su contraseña, algo que Socket documenta como un método eficiente de secuestro de cuentas.
Pero la amenaza no se queda en el robo pasivo de credenciales. Varios de estos complementos manipulan el Document Object Model (DOM) de páginas administrativas críticas para impedir que los equipos de seguridad accedan a opciones de gestión de cuentas, como cambios de contraseña, control de sesiones, configuración de proxys de seguridad o listas de IP permitidas. Al borrar o redirigir el contenido de páginas administrativas, estas extensiones pueden neutralizar los controles que permitirían revocar sesiones comprometidas o cerrar vectores de acceso no deseados. El resultado es una ventana de exposición mayor, en la que los atacantes no solo roban acceso sino que dificultan la remediación desde el mismo entorno que debería protegerlo.
Los investigadores también observaron técnicas para complicar la inspección del código por parte de los administradores: algunos complementos integraban librerías que intentan desactivar las herramientas de desarrollador del navegador, con el objetivo de ocultar su funcionamiento y dificultar el análisis manual. El proyecto de código abierto utilizado en este caso, conocido como DisableDevtool, está disponible públicamente en GitHub y explica cómo se manipula esa capa de inspección: DisableDevtool en GitHub.
Un detalle clave que apunta a una operación coordinada es la aparición, en todas las extensiones, de una misma lista de identificadores de otras extensiones de seguridad —herramientas concebidas precisamente para manipular o auditar cookies, encabezados o sesiones—. Esa lista actúa como un inventario que permite a los atacantes detectar si el navegador de la víctima dispone de utilidades que podrían interferir con sus acciones, y presumiblemente adaptar su comportamiento para evitar ser detectados. La repetición de este patrón sugiere o bien que un mismo actor ha publicado las distintas extensiones bajo nombres diferentes, o que existe una caja de herramientas común en manos de varios operadores.
Entre las diferencias técnicas observadas, la extensión denominada Software Access destaca por su sofisticación: además de robar cookies, puede recibir cookies desde su servidor de mando y control, eliminando las existentes y escribiendo las nuevas en el navegador objetivo mediante la API de cookies de Chrome. Con ello el atacante instala en su propio navegador el estado de autenticación de la víctima y puede operar como si fuese esa persona. Además, incorpora protecciones en campos de entrada de contraseñas para dificultar su revisión manual.
Si bien Google retiró la mayoría de estos complementos de la Chrome Web Store tras las alertas, la presencia en sitios externos plantea riesgos remanentes. Para quienes usan navegadores administrados por empresas o acceden a servicios críticos desde el navegador, este episodio es un recordatorio de que las extensiones, a diferencia de las aplicaciones nativas, tienen un nivel de acceso a la actividad web que las convierte en puntos de ataque muy valiosos. Google y otros actores de seguridad llevan años insistiendo en la necesidad de gestionar y auditar las extensiones instaladas; la documentación oficial de Google sobre cómo revisar y eliminar extensiones puede servir como guía básica para usuarios: cómo eliminar extensiones en Chrome.
¿Qué medidas prácticas conviene tomar ahora mismo? En primer lugar, eliminar de inmediato cualquier extensión sospechosa o cualquiera de las que figuran en los reportes. A continuación, se recomienda forzar el cierre de sesiones en servicios críticos y cambiar contraseñas, sobre todo si se usó el navegador para acceder a cuentas empresariales. La activación de la autenticación multifactor (2FA) es un freno importante, aunque no infalible si el atacante logra inyectar cookies válidas; por eso también es prudente revisar los registros de acceso de las plataformas utilizadas —muchos servicios muestran sesiones activas y direcciones IP recientes— y revocar aquellas que no reconozcamos. En entornos corporativos, la respuesta debe incluir la revisión de dispositivos, la rotación de credenciales de cuentas de servicio y la aplicación de bloqueos desde la administración central cuando sea posible.
Este caso pone de manifiesto que la seguridad del navegador es ahora una pieza esencial de la ciberdefensa empresarial. No se trata solo de evitar extensiones maliciosas, sino de establecer controles que permitan auditar y limitar qué complementos pueden instalarse, utilizar políticas de gestión centralizada de extensiones y mantener un inventario de software confiable. Para profesionales de TI y responsables de seguridad, las guías y recomendaciones de proveedores y centros de respuesta a incidentes son útiles como referencia cuando se responde a este tipo de compromisos. Socket ofrece un análisis técnico y muestras que permiten profundizar en las técnicas observadas: leer informe de Socket.
En definitiva, las extensiones de navegador son muy convenientes, pero también pueden ser armas poderosas en manos equivocadas. Mantener una higiene digital estricta, limitar el uso de complementos a los estrictamente necesarios y disponer de controles de seguridad sobre las estaciones de trabajo y navegadores corporativos son acciones que reducen significativamente el riesgo de que un simple clic termine en una intrusión de mayor alcance.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...
YellowKey El fallo de BitLocker que podría permitir a un atacante desbloquear tu unidad con solo acceso físico
Microsoft ha publicado una mitigación para una vulnerabilidad de omisión de seguridad de BitLocker conocida como YellowKey (CVE-2026-45585), después de que su prueba de concepto...