En las últimas semanas han salido a la luz casos preocupantes de extensiones para Google Chrome que, tras ser cambiadas de manos, se transformaron en vectores de ataque capaces de ejecutar código malicioso y robar datos de los usuarios. Dos de las piezas afectadas —QuickLens (ID: kdenlnncndfnhkognokgfpabgkgehodd) y ShotBird (ID: gengfhhkjekmlejbhmmopegofnoifnjp)— ilustran a la perfección un problema creciente: la cadena de suministro de extensiones del navegador puede convertirse en una puerta trasera si un proyecto legítimo es vendido o transferido a un actor malintencionado.
Investigadores independientes y firmas de seguridad han documentado cómo, después de la transferencia de propiedad, se introdujeron actualizaciones que mantenían las funciones visibles de las extensiones pero añadían mecanismos para inyectar y ejecutar cargas útiles remotas. John Tuckner de Annex Security publicó un análisis técnico que muestra, en el caso de QuickLens, la capacidad de la extensión para eliminar cabeceras de seguridad en las respuestas HTTP (por ejemplo, X-Frame-Options) y así facilitar que scripts inyectados hagan peticiones arbitrarias sorteando políticas como Content Security Policy. Su investigación completa se puede leer en el blog de Annex Security (annex.security).
El método de entrega empleado es particularmente sigiloso: la extensión consulta periódicamente un servidor de mando y control (C2) para descargar fragmentos de JavaScript, que no aparecen en el código fuente estático del paquete. En QuickLens esos fragmentos se guardan en el almacenamiento local del navegador y se ejecutan en cada carga de página mediante la inserción de una imagen oculta 1×1 cuyo atributo onload dispara el código. Como explica Tuckner, el código malicioso existe sólo en tiempo de ejecución, no en los ficheros visibles de la extensión, lo que complica su detección por análisis estático.
ShotBird, por su parte, adopta una estrategia similar pero con matices: según el análisis de monxresearch-sec (monxresearch-sec), el complemento descarga directamente JavaScript que crea una falsa notificación de actualización de Chrome. Si el usuario cae en el engaño, se le conduce a una página que le instruye para abrir el cuadro Ejecutar de Windows, lanzar cmd.exe y pegar un comando de PowerShell que termina descargando un ejecutable llamado “googleupdate.exe”. Ese binario abre la puerta a un compromiso a nivel de sistema.
Una vez activa en el navegador o en el equipo, la cadena de abuso no se queda sólo en redirecciones o en pop-ups: el malware engancha elementos de formularios (input, textarea, select) para capturar lo que el usuario escribe, desde contraseñas hasta números de tarjeta o identificadores gubernamentales. Además, puede acceder a datos almacenados por Chrome —contraseñas, historial, información de otras extensiones— ampliando el alcance de la fuga de información. Como resumen práctico, esto combina control remoto del navegador con pivoteos hacia ejecución en el host, elevando el riesgo desde robo de credenciales hasta la posible toma total del equipo.
Los patrones técnicos y la infraestructura observada llevan a los investigadores a atribuir ambas campañas al mismo actor: uso de la misma arquitectura C2, señuelos tipo ClickFix inyectados en las páginas y la transferencia de propiedad de las extensiones como punto de entrada. El fenómeno no es aislado. En paralelo, Microsoft advirtió sobre extensiones basadas en Chromium que se hacen pasar por asistentes de IA y extraen historiales de chats y datos de navegación (Microsoft Defender blog), y otros equipos, como los de Palo Alto Networks Unit 42, han publicado rastros de campañas donde extensiones actúan como troyanos de acceso remoto o realizan secuestro del navegador a gran escala (Unit 42).
También se han detectado extensiones que suplantan servicios legítimos para robar frases semillas de criptobilleteras mediante redirecciones a páginas de phishing, como documentó Socket en el caso que imitaba a imToken (Socket). El entramado muestra que, además del incentivo económico directo, muchos de estos proyectos forman parte de esquemas de afiliación o de campañas coordinadas que reutilizan infraestructura y técnicas.
¿Qué pueden hacer los usuarios y las organizaciones frente a este tipo de riesgo? Lo primero y más urgente es comprobar si tienen instaladas las extensiones afectadas y, en caso afirmativo, desinstalarlas de inmediato. Google ofrece instrucciones para administrar y quitar complementos en su ayuda oficial (soporte de Chrome). A nivel de buenas prácticas, conviene evitar instalar extensiones fuera de la tienda oficial o de desarrolladores desconocidos, revisar los permisos que solicita una extensión antes de aprobarlos, y reducir al mínimo las extensiones en el navegador. Si existe sospecha de que un malware descargó código en el sistema, se recomienda ejecutar un análisis con un antivirus actualizado, cambiar las contraseñas desde un dispositivo limpio y activar la autenticación multifactor allá donde sea posible.
Para empresas y administradores, resulta recomendable aplicar políticas de control centralizado sobre qué extensiones se pueden instalar (listas blancas), auditar y bloquear instalaciones no autorizadas y monitorizar telemetría de navegación. Google proporciona herramientas de administración empresarial para gestionar y restringir extensiones en entornos corporativos; valen la pena cuando se trabaja con datos sensibles o se conectan equipos a redes corporativas.
El episodio de QuickLens y ShotBird pone de manifiesto una lección clara: un complemento popular y verificado puede dejar de ser benigno en el momento en que cambia de propietario. La tienda admite transferencias y, salvo que exista un control adicional, los nuevos dueños pueden publicar actualizaciones que conviertan una utilidad en un mecanismo de intrusión masiva. Mientras las plataformas y los reguladores refuerzan sus controles, la responsabilidad inmediata recae en usuarios, equipos de seguridad y administradores para inspeccionar y limpiar sus navegadores con criterio.
Si quieres profundizar, aquí tienes algunos recursos con análisis técnicos y seguimiento de indicadores: el informe de Annex Security sobre QuickLens (annex.security), el estudio de monxresearch-sec sobre ShotBird (monxresearch-sec), la alerta de Microsoft Defender sobre extensiones maliciosas de IA (Microsoft), y el repositorio de Unit 42 que documenta campañas y listas de IOCs (Unit 42).
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...
PinTheft el exploit público que podría darte root en Arch Linux
Un nuevo exploit público ha llevado a la superficie otra vez la fragilidad del modelo de privilegios en Linux: el equipo de V12 Security bautizó la falla como PinTheft y publicó...