La historia se repite con una variante más sofisticada: investigadores de seguridad han descubierto un nuevo conjunto de 17 extensiones del navegador vinculadas a la campaña conocida como GhostPoster, que en total llegaron a acumular alrededor de 840.000 instalaciones antes de ser retiradas de las tiendas oficiales. Lo llamativo no es sólo el volumen, sino la técnica empleada por los atacantes: código malicioso camuflado dentro de imágenes y ficheros incluidos en las propias extensiones, con un flujo de ejecución por etapas diseñado para eludir controles estáticos y de comportamiento.
La primera alarma la dieron los analistas de Koi Security a finales del año pasado, cuando describieron extensiones que ocultaban JavaScript malicioso en los iconos. Ese código, una vez activado, descargaba cargas útiles ofuscadas desde recursos externos, supervisaba la actividad de navegación, manipulaba enlaces de afiliado en grandes plataformas de comercio electrónico y montaba iframes invisibles para generar fraude de clics y de publicidad. Si quieres consultar el trabajo de aquel primer hallazgo, puedes empezar por la página de Koi Security en koi.security, donde publican investigaciones y avisos sobre campañas de extensiones maliciosas.
Un nuevo informe de la plataforma de seguridad browser LayerX confirma que la campaña no quedó extinguida tras la exposición inicial y detalla las 17 extensiones implicadas en esta ronda, muchas de ellas con nombres que imitan funciones legítimas como traductores, bloqueadores de anuncios o herramientas para descargar imágenes y vídeos. LayerX encontró que algunos de estos complementos llevan años en los repositorios oficiales, con presencia documentada desde 2020, lo que sugiere una operación de larga duración que ha sabido mantenerse bajo el radar. Puedes leer el análisis de LayerX en su sitio oficial en layerx.ai, donde explican la evolución técnica de GhostPoster.
Entre las novedades técnicas que destaca LayerX está la evolución hacia una ejecución en varias fases más robusta: además de esconder código en iconos, los atacantes empezaron a empaquetar la carga maliciosa dentro de imágenes incluidas en la extensión y a desplazar la lógica de preparación al script de fondo (background script) de la propia extensión. En tiempo de ejecución, ese script lee los bytes crudos de la imagen buscando un delimitador concreto (el informe menciona una secuencia como “>>>>”), extrae los datos ocultos, los almacena temporalmente y más tarde los decodifica de Base64 para ejecutarlos como JavaScript. Este mecanismo incrementa el tiempo de latencia antes de la activación y complica la detección por herramientas que analizan sólo el contenido visible o los ficheros más evidentes.
El propósito de esa carga útil es variado y dañino: seguimiento persistente de las páginas que visitas, redirección o manipulación de enlaces de afiliado para robar comisiones, y la inserción invisible de iframes que generan impresiones y clics fraudulentos. Todas esas acciones no sólo afectan la privacidad de la víctima, sino que también pueden provocar pérdidas económicas a usuarios, comercios y redes de publicidad. LayerX subraya que la modularidad y el sigilo del nuevo patrón permiten mayor dormancia y resistencia frente a filtros tanto estáticos como dinámicos.
Las plataformas oficiales han reaccionado: según reportes periodísticos, Mozilla y Microsoft ya han retirado las extensiones identificadas de sus tiendas, y Google confirmó la eliminación de las versiones afectadas de la Chrome Web Store. BleepingComputer cubrió la retirada y las comunicaciones con Google; su portal es una buena referencia para seguir el desenlace y ver qué extensiones concretas fueron quitadas: bleepingcomputer.com. Aun así, eliminar una extensión de la tienda no elimina su presencia en los navegadores de quienes ya la instalaron, por lo que el riesgo persiste entre usuarios con instalaciones previas.
Si te preocupa haber instalado alguna de estas extensiones o cualquier otra comportamiento extraño en el navegador, hay acciones concretas y útiles que puedes tomar de inmediato. Primero, revisa la lista de extensiones instaladas y elimina cualquier complemento que no reconozcas o que no necesites. Los navegadores ofrecen páginas de gestión de extensiones con guías paso a paso: para Chrome consulta la ayuda de Google en support.google.com, para Firefox la documentación de Mozilla en support.mozilla.org, y para Edge las instrucciones de Microsoft en support.microsoft.com. Tras eliminar la extensión, es recomendable borras datos locales vinculados a extensiones (si el navegador lo permite), limpiar caché y cookies, y, si sospechas que datos sensibles pudieron verse comprometidos, rotar contraseñas y revisar accesos asociados a cuentas importantes.
En escenarios más graves, también conviene ejecutar un análisis antimalware actualizado, revisar transacciones y actividad inusual en servicios vinculados a tu navegación (cuentas en tiendas online, programas de afiliación, etc.), y, si la extensión tenía permisos amplios, considerar crear un nuevo perfil de navegador o incluso migrar datos a una instalación limpia para evitar restos persistentes. Los equipos y administradores deberían auditar las extensiones instaladas en dispositivos corporativos, forzar políticas que limiten la instalación solo a complementos verificados y vigilar logs de red en busca de comunicaciones con dominios sospechosos utilizados para descargar cargas ofuscadas.
El caso GhostPoster pone de manifiesto dos lecciones importantes: por un lado, la conveniencia de no bajar la guardia ante extensiones aparentemente inocuas —un traductor o un descargador de imágenes pueden convertirse en vectores de ataque— y, por otro, la necesidad de mejoras continuas en la vigilancia de las tiendas de extensiones y en las defensas que detectan código oculto en binarios e imágenes. Si quieres profundizar en el modus operandi y en las recomendaciones técnicas, los informes públicos de Koi Security y LayerX son un buen punto de partida, y los medios especializados como BleepingComputer ofrecen seguimiento de la remediación en las tiendas.
La invitación final es simple: revisa tus extensiones con calma, elimina lo innecesario y mantén tu navegador actualizado. Las extensiones nos hacen la vida más fácil, pero también abren una puerta de entrada si no las gestionamos con cautela.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...
PinTheft el exploit público que podría darte root en Arch Linux
Un nuevo exploit público ha llevado a la superficie otra vez la fragilidad del modelo de privilegios en Linux: el equipo de V12 Security bautizó la falla como PinTheft y publicó...