Hace unos días se detectó un caso que vuelve a recordar lo frágil que puede ser el ecosistema de extensiones de navegador: una extensión para Chrome llamada "QuickLens - Search Screen with Google Lens" fue retirada de la Chrome Web Store después de que una actualización maliciosa comenzara a distribuir código diseñado para robar credenciales y asaltar billeteras de criptomonedas.
QuickLens nació como una herramienta práctica para realizar búsquedas con Google Lens directamente desde el navegador y llegó a reunir algunos miles de usuarios; incluso llegó a aparecer destacada en la tienda de Chrome. Sin embargo, tras un cambio de manos en su propiedad —la extensión fue puesta a la venta en un mercado de terceros y, según investigadores, pasó a estar gestionada por una cuenta vinculada al correo [email protected] bajo un nombre comercial poco convincente—, una versión posterior incorporó código hostil que transformó la extensión en un vector de ataque.
El primer análisis público sobre esta maniobra lo publicó el equipo de seguridad de Annex, que documentó cómo la actualización introdujo permisos nuevos y peligrosos, y cómo se añadió un archivo de reglas que eliminaba cabeceras de seguridad de los sitios (entre ellas Content-Security-Policy, X-Frame-Options y X-XSS-Protection). Puedes leer el informe técnico de Annex aquí: annex.security/blog/pixel-perfect/.
La combinación de permisos ampliados y la supresión de esas cabeceras permitió que scripts recibidos desde un servidor de mando y control se ejecutaran prácticamente en cualquier página que visitaran las víctimas. Según la investigación, la extensión generaba un identificador persistente para cada navegador infectado, obtenía información sobre el país del usuario (utilizando puntos finales públicos) y consultaba al servidor malicioso cada cinco minutos en busca de instrucciones.
Un análisis periodístico posterior por parte de BleepingComputer describió con más detalle los tipos de carga maliciosa que la extensión descargaba y ejecutaba. Uno de los trucos empleados fue insertar una imagen de 1x1 píxel cuyo evento onload ejecutaba código inline en la página —una técnica que, combinada con la eliminación de CSP, permitía sortear controles que normalmente bloquean scripts inyectados.
Entre las cargas que distribuía el servidor malicioso había una que contactaba con un dominio que simulaba ser una actualización de Google y mostraba un aviso falso de “Google Update”. Ese aviso no era sólo publicidad molesta: al pulsar sobre él el usuario recibía instrucciones para ejecutar una especie de “verificación” que, en realidad, desembocaba en la descarga de un ejecutable para Windows llamado googleupdate.exe. El fichero llegó a analizarse en plataformas como VirusTotal, donde quedó registrado su artefacto.
Ese binario, según las trazas encontradas, lanzaba comandos de PowerShell en segundo plano que intentaban recuperar un segundo componente desde otra URL y ejecutarlo directamente en memoria, una técnica clásica para evitar dejar rastros en disco. Por otra parte, otro script entregado por el servidor de mando y control estaba específicamente orientado a consumidores de criptomoneda: detectaba extensiones y carteras populares (MetaMask, Phantom, Coinbase Wallet, Trust Wallet, entre otras), con la intención de capturar frases semillas, claves privadas y actividad para vaciar billeteras.
El alcance no se limitaba a criptodivisas: se reportaron módulos destinados a extraer correos, datos de cuentas publicitarias en Facebook y hasta información de canales de YouTube. En la ficha de la extensión se mencionaba además un posible objetivo sobre macOS mediante un infostealer conocido como AMOS, aunque esa parte no pudo confirmarse de forma independiente según los reportes.
Frente a la evidencia, Google retiró QuickLens de la tienda y Chrome empezó a deshabilitar automáticamente la extensión en los navegadores afectados. Aun así, quienes la instalaron deben asumir que su equipo pudo haber quedado comprometido.
Si instalaste QuickLens, hay pasos concretos que debes hacer cuanto antes. Primero, elimina la extensión desde la gestión de extensiones de Chrome —Google publica instrucciones sobre cómo hacerlo en su soporte oficial: support.google.com/chrome/answer/187443. Después, realiza un análisis completo con un antivirus o antimalware de confianza; herramientas como Malwarebytes suelen ofrecer escaneos capaces de detectar artefactos de este tipo de campañas. Cambia las contraseñas que almacenabas en el navegador y activa la verificación en dos pasos en tus cuentas más sensibles.
Si eras usuario de alguna de las carteras señaladas, considera que la frase semilla podría haber sido comprometida. Lo más prudente es trasladar los fondos a nuevas direcciones generadas por un monedero que no haya usado las claves comprometidas, preferiblemente empleando una cartera física (hardware wallet) si la cantidad lo justifica. Consulta las recomendaciones de seguridad del proveedor de tu cartera para los pasos exactos a seguir; por ejemplo, MetaMask mantiene guías de seguridad que pueden ayudarte a recuperar la protección de tus activos: metamask.io - seguridad.
Este incidente vuelve a poner de manifiesto varios problemas estructurales: la facilidad con la que extensiones legítimas pueden cambiar de propietario, la venta de extensiones en mercados secundarios y la elevada potencia que tienen los permisos del navegador cuando se usan con fines maliciosos. En muchos casos, los atacantes no necesitan romper criptografía sofisticada: basta con engañar al usuario para que ejecute una actualización fraudulenta o para que entregue su frase semilla.
Para reducir el riesgo en el futuro conviene revisar con más cuidado las extensiones que instalas, limitar su número y privilegiar aquellas de desarrolladores con reputación conocida. También es recomendable revisar periódicamente los permisos que cada extensión solicita y eliminar las que piden acceso amplio sin una razón clara. Las políticas del Chrome Web Store existen para proteger al usuario, pero no son infalibles: la vigilancia y la prudencia individual siguen siendo esenciales.
En resumen, QuickLens pasó de ser una herramienta útil a un peligro real tras un cambio de control y una actualización maliciosa. La eliminación por parte de Google y los análisis públicos han detenido la campaña en cierta medida, pero las consecuencias para los usuarios afectados pueden ser graves. Si fuiste usuario de la extensión: elimínala, escanea tu equipo, cambia contraseñas y, si manejas criptomonedas, asume la posibilidad de que las claves estén comprometidas y mueve tus fondos a una cartera segura.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...
PinTheft el exploit público que podría darte root en Arch Linux
Un nuevo exploit público ha llevado a la superficie otra vez la fragilidad del modelo de privilegios en Linux: el equipo de V12 Security bautizó la falla como PinTheft y publicó...