Esta semana los investigadores de seguridad han desentrañado una campaña de malvertising que usó una extensión falsa para Chrome y Edge llamada NexShield como caballo de Troya. A simple vista se vendía como un bloqueador de anuncios ligero y respetuoso con la privacidad, incluso mencionando al desarrollador legítimo de uBlock Origin como reclamo, pero su objetivo era mucho más siniestro: provocar el bloqueo del navegador para luego empujar al usuario a ejecutar comandos que descargan malware.
El comportamiento malicioso combinaba dos tácticas clásicas: forzar un fallo real del navegador y, cuando el usuario reiniciaba, mostrar una advertencia fraudulenta que pedía “arreglar” el problema pegando y ejecutando un comando en el Símbolo del sistema. Según el informe técnico publicado por los investigadores de Huntress, la extensión generaba conexiones de puerto mediante la API de extensiones (chrome.runtime) en un bucle infinito hasta agotar la memoria, lo que dejaba pestañas congeladas, uso elevado de CPU y, finalmente, un colapso total de Chrome o Edge. El análisis completo está disponible en el blog de Huntress: informe de Huntress.
Lo que diferencia a esta campaña de otras variantes de “ClickFix” es que aquí el fallo no es una simulación dentro del navegador: es un bloqueo real. Ese fallo legitima la emergencia que muestra la extensión al reiniciar el navegador y aumenta la probabilidad de que una víctima siga instrucciones precipitadas. El diálogo fraudulento copia automáticamente un comando al portapapeles y pide al usuario que lo pegue y ejecute en la consola de Windows. Esa cadena de comandos desencadena una secuencia que invoca PowerShell ofuscado para descargar y ejecutar código remoto.
El payload que Huntress halló en entornos corporativos fue un nuevo acceso remoto escrito en Python denominado ModeloRAT. En máquinas que forman parte de un dominio empresarial, ModeloRAT demuestra capacidades típicas de herramientas de acceso remoto: reconocimiento del sistema, ejecución de comandos PowerShell, modificación del Registro de Windows, descarga de cargas adicionales y actualización remota. En hosts domésticos, por ahora, el servidor de mando y control respondió con un mensaje de prueba, lo que sugiere que los operadores priorizan objetivos empresariales. Todos estos detalles están descritos con mayor profundidad en el análisis técnico de Huntress.
Que una extensión de navegador llegue a la Chrome Web Store con cientos o miles de instalaciones y que se presente fingiendo afinidad con proyectos legítimos no es nuevo, pero sí alarmante. El desarrollador de uBlock Origin, Raymond Hill (gorhill), es a menudo citado por los atacantes para dar apariencia de credibilidad; si quieres ver la página del proyecto legítimo, está en su repositorio: uBlock en GitHub. Mientras tanto, Google ya eliminó la extensión maliciosa de su tienda tras las detecciones.
La técnica utilizada aquí —provocar un fallo real y luego ofrecer una “solución” que ejecuta código— comparte la filosofía con otros fraudes de soporte técnico y vectores ClickFix reportados por la comunidad. Investigaciones anteriores han mostrado variantes que simulan pantallas de error o incluso un falso BSOD en modo a pantalla completa; en este caso, la interrupción es auténtica, lo que la hace más convincente. Para entender mejor cómo funcionan técnicamente las APIs que abusan los atacantes, la documentación oficial de extensiones de Chromium es un buen recurso: API runtime de Chrome.
¿Qué pueden hacer los usuarios y administradores? Ante todo, no pegar ni ejecutar comandos que lleguen por fuentes no verificadas, por muy urgente que parezcan. En entornos corporativos conviene auditar rápidamente los endpoints que pudieron verse expuestos: comprobar persistencias (tareas programadas, entradas en el Registro, servicios), revisar registros del EDR para conexiones de red sospechosas y señales de ejecución de PowerShell ofuscado, y buscar indicadores de compromiso que detalle la investigación de Huntress. Los usuarios particulares que instalaron NexShield deben entender que eliminar solo la extensión no garantiza la eliminación de todas las piezas maliciosas; se recomienda una limpieza completa del sistema usando herramientas de seguridad actualizadas y, si es posible, asistencia profesional.
A nivel preventivo, restringir la instalación libre de extensiones en equipos corporativos mediante políticas de grupo o listas blancas, educar a las plantillas sobre el riesgo de pegar comandos desde el portapapeles y mantener las soluciones de detección y respuesta actualizadas son medidas que reducen la superficie de ataque. Además, revisar y limitar los privilegios de cuentas y rotar credenciales si hay indicios de intrusión son pasos imprescindibles.
Esta campaña recuerda dos lecciones sencillas pero poderosas: la primera, que las extensiones del navegador pueden convertirse en vectores de compromiso tan efectivos como un adjunto malicioso; la segunda, que la prisa es el aliado del atacante. Si algo te pide ejecutar un comando para “arreglar” tu equipo, detente y consulta fuentes fiables antes de actuar. Para comprender mejor el tipo de engaños que se explotan aquí —las estafas de soporte técnico y el uso de mensajes alarmistas para forzar acciones inseguras— los recursos de Microsoft sobre cómo reconocer estafas de soporte técnico pueden ser útiles: guía de Microsoft.
La investigación de Huntress sitúa al actor tras esta campaña bajo el nombre “KongTuke” y sugiere un cambio hacia objetivos más lucrativos: las redes corporativas. Es una evolución preocupante, pero de la que se puede minimizar el impacto con políticas correctas, concienciación y detección temprana. Si tienes sospechas de haber sido afectado, consulta el informe técnico de Huntress y contacta con tu equipo de seguridad o con profesionales en respuesta a incidentes para realizar una limpieza integral.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...