Un grupo de extensiones maliciosas para Google Chrome, que se hacían pasar por herramientas de productividad y seguridad orientadas a plataformas de recursos humanos y ERP empresariales, ha sido detectado extrayendo credenciales de acceso y saboteando páginas de administración pensadas para responder a incidentes. La investigación fue publicada por la firma de ciberseguridad Socket, que identificó cinco complementos dirigidos a servicios como Workday, NetSuite y SAP SuccessFactors; en conjunto sumaban más de 2.300 instalaciones.
En apariencia eran utilidades diseñadas para facilitar la gestión y acelerar flujos de trabajo en entornos corporativos: tableros para administrar múltiples cuentas, supuestos controles de seguridad o accesos “premium” a funciones. Sin embargo, bajo esa fachada compartían un backend y patrones de código muy similares, lo que sugiere una operación coordinada a pesar de que se publicaron con distintos nombres y marcas.
La campaña empleó tres tácticas principales: la extracción y envío de cookies de autenticación a servidores de mando y control, la manipulación del DOM para borrar o redirigir páginas administrativas clave, y la inyección bidireccional de cookies que permite tomar sesiones activas. Socket documenta que varias de las extensiones estaban programadas para capturar periódicamente una cookie de sesión llamada “__session” asociada a los dominios objetivo —esas cookies contienen tokens de acceso activos— y las transmitían al atacante cada minuto, lo que permitía mantener el control incluso si el usuario cerraba y volvía a abrir sesión.
Además de robar tokens, dos de los complementos detectados actuaban como un bloqueo deliberado de funciones de respuesta: mediante la detección del título de las páginas, eliminaban el contenido o redirigían a los administradores fuera de pantallas dedicadas a la seguridad y la gestión de sesiones. Según los hallazgos, uno de los suplementos interfería con decenas de páginas administrativas (incluyendo políticas de autenticación y control de rangos IP) y otro ampliaba esa lista añadiendo controles de contraseñas, desactivación de cuentas, dispositivos 2FA y registros de auditoría. Interrumpir el acceso a esas páginas puede impedir que los equipos de seguridad actúen frente a una intrusión, con graves consecuencias en entornos empresariales.
La extensión con comportamiento más peligroso, publicada bajo una marca distinta, incorporaba además la capacidad de inyectar cookies recibidas desde el servidor del atacante directamente en el navegador de una víctima. Con esa técnica, un atacante puede restaurar una sesión autenticada sin conocer la contraseña ni sortear explícitamente un factor adicional de autenticación, lo que abre la puerta a la toma de control inmediata de cuentas críticas.
Aunque el número de instalaciones detectadas —poco más de 2.300— no es masivo en comparación con otras campañas, el impacto potencial es desproporcionado: credenciales válidas para plataformas empresariales son un activo muy valioso que puede alimentar robos de datos a gran escala, extorsiones y despliegues de ransomware. Peor aún, la declaración de privacidad y las fichas de las extensiones no advertían sobre la recolección de tokens o la alteración de páginas administrativas, por lo que las víctimas no habrían podido anticipar ni consentir ese comportamiento.
Socket notificó a Google sobre las extensiones y, al momento de la publicación del informe, las entradas afectadas parecen haber sido eliminadas del Chrome Web Store. Aun así, la detección y la retirada no revierten necesariamente el riesgo para quien ya haya instalado alguno de estos complementos: es imprescindible que los equipos de seguridad corporativos investiguen posibles accesos no autorizados y actúen en consecuencia.
Si crees que has usado una de estas extensiones, lo razonable es informar inmediatamente a tu equipo de seguridad, desinstalar el complemento y proceder a invalidar sesiones y credenciales en las plataformas afectadas. Google ofrece instrucciones para gestionar y eliminar extensiones en su centro de ayuda (cómo eliminar extensiones en Chrome), y los responsables TI deberían considerar la revocación de tokens, el cambio de contraseñas, la revisión de logs de acceso y la rotación de claves o certificados pertinentes.
Para organizaciones y administradores, este incidente es un recordatorio de que las extensiones del navegador son una superficie de ataque que requiere controles corporativos: políticas de uso, listas blancas de complementos, revisiones periódicas y monitorización de comportamientos anómalos. Las recomendaciones de agencias de seguridad y centros nacionales, como el NCSC del Reino Unido, ofrecen pautas prácticas para reducir el riesgo asociado a extensiones maliciosas.
También conviene que las empresas revisen sus procesos de respuesta: bloquear el acceso de administradores a herramientas de gestión es una técnica deliberada para entorpecer la contención, por lo que la segregación de funciones, el control estricto de privilegios y la capacidad de actuar desde entornos de administración aislados se vuelven medidas clave. Para los usuarios y responsables de seguridad que necesiten revisar políticas de publicación y comportamientos aceptables en el mercado de extensiones, la documentación oficial del programa de la Chrome Web Store es un punto de partida útil (políticas del Chrome Web Store).
La lección principal es sencilla: no todo lo que parece una «herramienta de gestión» lo es. Mantener una postura crítica frente a extensiones que solicitan permisos amplios y comprobar fuentes confiables antes de instalar son hábitos que hoy pueden impedir que una simple instalación se convierta en una brecha que comprometa datos corporativos críticos. Para profundizar en los detalles técnicos y ver la evidencia reunida por los investigadores, puedes leer el informe completo de Socket en su blog (informe de Socket).
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...