Campaña Maliciosa de 7 Años: Backdoors en Extensiones de Chrome y Edge
Hola HaWkers, un descubrimiento alarmante de seguridad fue revelado: investigadores identificaron una campaña maliciosa que operó por 7 años, instalando backdoors en extensiones populares de Chrome y Edge. Millones de usuarios pueden haber sido afectados.
¿Sabes exactamente lo que cada extensión instalada en tu navegador hace? Este caso muestra por qué necesitamos ser más cuidadosos con los permisos que concedemos.
Lo Que Fue Descubierto
Investigadores de seguridad de la empresa ReasonLabs descubrieron una red sofisticada de extensiones maliciosas que operó silenciosamente desde 2018. Las extensiones parecían legítimas y ofrecían funcionalidades útiles, pero incluían código malicioso oculto.
Escala del Ataque
Números Impresionantes:
- 7 años de operación
- 30+ extensiones comprometidas
- 4+ millones de instalaciones activas
- Datos de millones de usuarios expuestos
Navegadores Afectados:
- Google Chrome
- Microsoft Edge
- Otros navegadores basados en Chromium
Cómo Funcionaba
1. Adquisición de Extensiones Legítimas:
Los atacantes compraban extensiones populares de desarrolladores que querían vender sus proyectos. La extensión llegaba con base de usuarios ya establecida.
2. Actualizaciones Maliciosas:
Después de la adquisición, actualizaciones eran liberadas gradualmente, agregando código malicioso en pequeñas dosis para evitar detección.
3. Exfiltración de Datos:
El backdoor colectaba:
- Historial de navegación completo
- Credenciales guardadas
- Datos de formularios
- Cookies de sesión
- Información de pago
4. Comunicación con C2:
Datos eran enviados para servidores de comando y control, enmascarados como tráfico legítimo de analytics.
Extensiones Comprometidas
Investigadores divulgaron una lista parcial de extensiones afectadas:
Extensiones Identificadas
Categoría Productividad:
- PDF Converter Pro
- Screenshot Tool Plus
- Quick Notes Extension
- Tab Manager Ultimate
Categoría Utilitarios:
- Weather Now Widget
- Currency Converter Fast
- Download Manager Plus
- Video Downloader HD
Categoría Customización:
- Dark Mode for Web
- Font Changer Pro
- Custom New Tab
- Theme Switcher Plus
⚠️ Atención: Esta es una lista parcial. La investigación aún está en andamiento y más extensiones pueden ser identificadas.
Cómo Verificar Si Fuiste Afectado
Sigue estos pasos para verificar y proteger tu navegador:
1. Revisar Extensiones Instaladas
En Chrome:
- Accede
chrome://extensions/ - Revisa cada extensión instalada
- Verifica el origen y última actualización
- Desconfía de extensiones que no recuerdas instalar
En Edge:
- Accede
edge://extensions/ - Sigue el mismo proceso de revisión
2. Verificar Permisos
Extensiones maliciosas generalmente piden permisos excesivos:
Permisos Sospechosos:
- "Leer y alterar todos tus datos en todos los sitios"
- "Gestionar tus descargas"
- "Gestionar tus apps, extensiones y temas"
- Acceso a historial de navegación
Cómo Verificar:
- Haz clic en los detalles de cada extensión
- Revisa la sección "Permisos"
- Cuestiona si la extensión realmente necesita esos permisos
3. Monitorear Tráfico de Red
Para usuarios técnicos:
// Verificar conexiones de extensiones en DevTools
// Abre DevTools (F12) > Network
// Filtrar por requests de extensiones
// Busca por dominios sospechosos o patrones incomunes
// Indicadores de compromiso (IOCs):
// - Dominios con nombres aleatorios
// - Conexiones para IPs en países incomunes
// - Tráfico encriptado para endpoints desconocidos
// - Requests en intervalos regulares (beaconing)Cómo Protegerse
Prácticas de Seguridad Para Extensiones
1. Principio del Mínimo Necesario:
- Instala apenas extensiones esenciales
- Remueve extensiones que no usas
- Prefiere funcionalidades nativas del navegador
2. Verificación Antes de Instalar:
- Investiga sobre el desarrollador
- Lee reviews con atención (busca críticas, no solo elogios)
- Verifica hace cuánto tiempo la extensión existe
- Confiere el número de usuarios y tendencia
3. Monitoreo Continuo:
- Revisa tus extensiones mensualmente
- Esté atento a cambios de comportamiento
- Verifica actualizaciones y changelogs
Configuraciones de Seguridad
// Chrome: Restringir extensiones a sitios específicos
// 1. Accede chrome://extensions/
// 2. Haz clic en "Detalles" de la extensión
// 3. En "Acceso al sitio", selecciona "En sitios específicos"
// 4. Agrega apenas los sitios donde necesitas la extensión
// Esto limita el alcance de daño de extensiones comprometidasAlternativas Más Seguras
Para Funcionalidades Comunes:
| Funcionalidad | En Vez de Extensión | Usa |
|---|---|---|
| Bloqueo de Anuncios | Extensiones variadas | uBlock Origin (auditado) |
| Gestor de Contraseñas | Extensiones desconocidas | Bitwarden, 1Password |
| Captura de Pantalla | Extensiones variadas | Herramienta nativa del SO |
| Conversores online | Navegador nativo | |
| Dark Mode | Extensiones de tema | Preferencias del navegador |
El Problema Mayor: Seguridad de Extensiones
Este caso expone fallas sistémicas en el ecosistema de extensiones:
Problemas Identificados
1. Falta de Verificación Adecuada:
- Chrome Web Store no detectó el malware por 7 años
- Revisiones automáticas son insuficientes
- Actualizaciones maliciosas pasan desapercibidas
2. Modelo de Permisos Falso:
- Permisos son "todo o nada"
- Usuarios no entienden lo que conceden
- No hay granularidad suficiente
3. Cadena de Suministros:
- Compra de extensiones legítimas es fácil
- No hay notificación a los usuarios sobre cambio de propietario
- Reputación transferida automáticamente
Lo Que Debería Cambiar
Para Google/Microsoft:
- Auditorías más rigurosas
- Notificación de cambio de propiedad
- Permisos más granulares
- Análisis comportamental de extensiones
Para Desarrolladores:
- No vendas extensiones para compradores anónimos
- Documenta código y prácticas de seguridad
- Responde a reports de seguridad rápidamente
Para Usuarios:
- Sé escéptico con extensiones
- Revisa permisos periódicamente
- Reporta comportamientos sospechosos
Impacto y Consecuencias
Para Usuarios Afectados
Si tenías extensiones comprometidas instaladas:
Acciones Inmediatas:
- Remueve las extensiones sospechosas
- Cambia todas las contraseñas importantes
- Activa 2FA en todas las cuentas
- Monitorea extractos bancarios
- Considera resetear el navegador
Largo Plazo:
- Esté atento a intentos de phishing
- Monitorea tu score de crédito
- Considera congelamiento de crédito si necesario
Para la Industria
Este incidente probablemente resultará en:
- Mayor escrutinio sobre extensiones
- Nuevas políticas de seguridad
- Posibles regulaciones
- Herramientas de detección mejoradas
Conclusión
El descubrimiento de esta campaña de 7 años es un recordatorio serio sobre los riesgos de extensiones de navegador. Incluso extensiones aparentemente legítimas pueden esconder código malicioso, especialmente después de cambios de propiedad.
La recomendación es clara: sé extremadamente selectivo con extensiones, revisa permisos regularmente, y prefiere funcionalidades nativas cuando posible. La conveniencia de una extensión no vale el riesgo de comprometer tus datos.
Si quieres aprender más sobre seguridad en el desarrollo, te recomiendo echar un vistazo a otro artículo: Vulnerabilidad Crítica en React y Next.js donde vas a descubrir cómo proteger tus aplicaciones.
¡Vamos a por ello! 🦅
📚 ¿Quieres Profundizar Tus Conocimientos en JavaScript?
Este artículo cubrió seguridad de navegadores, pero entender programación es fundamental para comprender cómo estos ataques funcionan.
Desarrolladores que invierten en conocimiento sólido y estructurado tienden a tener más oportunidades en el mercado.
Material de Estudio Completo
Si quieres dominar JavaScript de lo básico a lo avanzado, preparé una guía completa:
Opciones de inversión:
- 1x de R$9,90 en tarjeta
- o R$9,90 al contado
💡 Material actualizado con las mejores prácticas del mercado