En las últimas semanas la comunidad de seguridad ha vuelto a encender las alarmas sobre un enemigo silencioso que muchos usuarios subestiman: las extensiones del navegador. Lo que a primera vista parecen pequeñas utilidades para ahorrar tiempo o añadir funciones —desde generadores de códigos hasta asistentes inteligentes— está siendo aprovechado por actores maliciosos para robar información valiosa sin que quien las instala lo note.
Un caso reciente y particularmente preocupante fue el de una extensión que se promocionaba como herramienta para explotar cómodamente Meta Business Suite y Facebook Business Manager. Investigadores de Socket analizaron esta extensión y descubrieron que, además de funciones aparentemente legítimas como generación de códigos 2FA o supresión de ventanas de verificación, su código recopilaba secretos TOTP (las semillas que generan códigos temporales) y los códigos de un solo uso, así como exportaciones del apartado "People" de Business Manager y datos analíticos. Todo ello era enviado a una infraestructura controlada por el atacante, con opciones para reenviar la información a canales de Telegram. Una extensión con apenas decenas de instalaciones puede ofrecer la llave a cuentas y contactos de alto valor, porque permite identificar objetivos interesantes y preparar ataques posteriores.
La técnica no es nueva: los atacantes aprovechan que las extensiones, una vez autorizadas por el usuario, pueden interactuar con páginas autenticadas y leer contenido que queda dentro del contexto del navegador. Por eso, aunque la extensión no robe contraseñas explícitamente, si el adversario ya dispone de credenciales por otras vías —por ejemplo, a partir de registros de infostealers o fugas— la capacidad de capturar códigos 2FA facilita el acceso no autorizado. Para entender el alcance técnico y la evidencia, la investigación de Socket aporta detalles que conviene revisar con calma si manejas cuentas de publicidad o administración en Meta.
Paralelamente, otro informe destacado vino de Koi Security, que documentó una campaña masiva contra usuarios de VKontakte. Allí, extensiones disfrazadas de temas o descargadores de música inyectaban JavaScript ofuscado en cada página de VK, suscribían automáticamente a los usuarios a grupos controlados por el atacante, manipulaban configuraciones y hasta explotaban CSRF para sortear protecciones. La operación usó una técnica inteligente para ocultar las URLs de la siguiente etapa: metadatos HTML de un perfil público servían como "dead drop" para resolver dónde estaba alojado el payload. El autor del ataque mantuvo un repositorio público en el que se observaron múltiples commits durante meses, lo que sugiere que no se trataba de un exploit amateur sino de un proyecto con mantenimiento y mejoras continuas.
Si sumamos otro bloque de investigaciones, la imagen se agrava. La firma LayerX desveló una red de extensiones que se hacían pasar por asistentes de IA, instaladas por cientos de miles de usuarios, y que en realidad cargaban un iframe a un dominio remoto que podía cambiar la funcionalidad de la extensión en tiempo real. Según LayerX, estos iframes podían ordenar a la extensión que extrajera texto legible de la página usando librerías como Readability, activar reconocimiento de voz y enviar transcripciones al servidor atacante, o incluso leer el contenido visible de Gmail cuando el usuario entraba en mail.google.com. El peligro es que el comportamiento malicioso puede llegar sin pasar por el proceso de actualización del repositorio oficial, porque el iframe remoto controla qué se muestra y qué se recopila.
La magnitud del problema también ha sido cuantificada por otros grupos. Un repositorio público mantenido por investigadores encontró cientos de extensiones que envían el historial de navegación a intermediarios y brokers de datos, con decenas de millones de instalaciones en conjunto. La investigación de Q Continuum, por ejemplo, documenta una colección amplia de extensiones espía con un alcance global de millones de usuarios (ver detalles). Es la confirmación de que no se trata de incidentes aislados, sino de un patrón en el que las extensiones se monetizan o se reutilizan para espionaje y fraude.
Frente a este panorama, la defensa requiere decisiones prácticas y, sobre todo, hábitos sostenibles. Primero, conviene aplicar el principio de mínima exposición: instalar únicamente extensiones que realmente necesites y que provengan de desarrolladores con reputación verificable. Revisar los permisos que solicita una extensión antes de aceptar su instalación es fundamental, porque muchos riesgos se materializan cuando el usuario autoriza el acceso a dominios sensibles o a todo el historial de navegación. Además, auditar periódicamente las extensiones instaladas y eliminar las que no uses reduce la superficie de ataque.
Para quienes gestionan entornos corporativos o manejan cuentas críticas, hay medidas más contundentes: usar perfiles de navegador separados para tareas personales y profesionales, habilitar políticas de allowlisting para controlar qué extensiones pueden instalarse y, cuando sea posible, optar por mecanismos de autenticación que no dependan exclusivamente de códigos TOTP extraíbles. Las claves de seguridad basadas en WebAuthn ofrecen una barrera técnica mayor contra el robo de factores de un solo uso; para profundizar en esa opción, es útil revisar la documentación sobre autenticación web como la que mantiene MDN Web Authentication API. Google también ofrece guías sobre cómo funcionan los permisos y cómo gestionar extensiones desde la Chrome Web Store, que pueden servir de referencia para usuarios menos técnicos: explicación sobre permisos y cómo quitar una extensión.
No conviene caer en la falsa seguridad de pensar que pocos usuarios implican bajo riesgo. Como han señalado los responsables de las investigaciones, extensiones con un número limitado de instalaciones pueden ser herramientas de reconocimiento y puerta de entrada a objetivos corporativos o cuentas con altos privilegios. La higiene digital es una primera línea de defensa imprescindible: revisar quién publica la extensión, leer opiniones con espíritu crítico, comprobar actualizaciones y corroborar hallazgos de la comunidad de seguridad antes de confiar datos sensibles a un complemento del navegador.
Si quieres profundizar en los casos citados, te recomiendo leer los análisis publicados por las propias organizaciones que los desvelaron: el informe técnico sobre la extensión que roba semillas TOTP y exportaciones de Meta por parte de Socket, el reportaje de Koi Security sobre VK Styles y el estudio de LayerX sobre las falsas extensiones de IA. Para una guía práctica sobre riesgos generales y recomendaciones, este recurso formativo resulta útil: consejos de seguridad en navegadores.
Al final del día, las extensiones son herramientas poderosas que amplían el navegador; también pueden convertirse en agujeros de seguridad si no se manejan con cuidado. Mantener la curiosidad técnica sin sacrificar la prudencia es la mejor forma de evitar que un simple complemento acabe significando una brecha mayor en tus cuentas o en los datos de tu organización.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...
PinTheft el exploit público que podría darte root en Arch Linux
Un nuevo exploit público ha llevado a la superficie otra vez la fragilidad del modelo de privilegios en Linux: el equipo de V12 Security bautizó la falla como PinTheft y publicó...