Investigadores de seguridad han descubierto una campaña de espionaje que comprometió la privacidad de más de 2.3 millones de personas mediante 18 extensiones de navegador disponibles en las tiendas oficiales de Google Chrome y Microsoft Edge.

Estas extensiones aparentaban ofrecer funciones útiles —como teclados de emojis, pronósticos del clima, temas oscuros y mejoras de volumen—, contaban con buenas reseñas, insignias de verificación, e incluso estaban destacadas en los listados oficiales. Pero tras ganar la confianza de los usuarios, algunas fueron actualizadas con código malicioso que les permitía monitorear el comportamiento en línea de quienes las usaban.

¿Qué hacían estas extensiones?

Una vez activadas, estas extensiones ejecutaban un mecanismo de secuestro del navegador, que se disparaba cada vez que el usuario navegaba a una nueva página web. El código malicioso podía:

• Capturar la URL de cada sitio visitado.
• Enviarla a un servidor remoto junto con un ID único para rastrear al usuario.
• Recibir instrucciones de redirección desde un servidor de comando y control (C&C).
• Redirigir automáticamente al usuario a páginas fraudulentas si así lo ordenaba el servidor.

Un ejemplo de los investigadores muestra cómo al hacer clic en un enlace legítimo de una reunión de Zoom, la extensión redirige al usuario a una página falsa que le pide descargar una “actualización crítica”, instalando en realidad malware en el equipo.

Aunque muchas de estas extensiones ya han sido retiradas de las tiendas oficiales, la amenaza alcanzó a millones, demostrando que ni siquiera los entornos oficiales están completamente libres de riesgos.

¿Por qué es importante?

Este caso demuestra que no todas las extensiones en tiendas oficiales son seguras, incluso si cuentan con reseñas positivas o insignias de verificación. Muchas fueron inicialmente desarrolladas como herramientas limpias y funcionales, para luego ser “activadas” como agentes dormidos mediante actualizaciones maliciosas.

¿Qué debes hacer?

Si usas Chrome o Edge, revisa si tienes instaladas algunas de estas extensiones:

Extensiones de Chrome:

• Emoji keyboard online
• Free Weather Forecast
• Unlock Discord
• Dark Theme
• Volume Max
• Unblock TikTok
• Unlock YouTube VPN
• Geco colorpick
• Weather

Extensiones de Edge:

• Unlock TikTok
• Volume Booster
• Web Sound Equalizer
• Header Value
• Flash Player
• Youtube Unblocked
• SearchGPT
• Unlock Discord

Recomendaciones de seguridad:

1. Desinstala de inmediato cualquier extensión sospechosa.
2. Borra los datos de navegación: cookies, historial, archivos en caché.
3. Restablece tu navegador a los valores predeterminados para deshacer cambios no deseados.
4. Cambia tus contraseñas, especialmente si accediste a sitios sensibles como banca en línea.
5. Activa la autenticación en dos pasos (2FA) siempre que sea posible.
6. Monitorea tus cuentas por si detectas actividad inusual.
7. Actualiza tu navegador y extensiones restantes.
8. Realiza un análisis completo con un antivirus confiable, como Malwarebytes, para detectar otras posibles infecciones.

Consejo final

Si una extensión solicita nuevos permisos después de una actualización, detente a revisar cuidadosamente qué permisos está pidiendo y si realmente los necesita. Si no parece lógico, es mejor eliminarla.

En Nubetia, te ayudamos a anticiparte a este tipo de amenazas. Protege tu organización desde el navegador hasta la infraestructura con nuestras soluciones integrales de ciberseguridad, software y cumplimiento.

🔒 Conoce más en www.nubetia.com

Fuente: https://www.malwarebytes.com/blog/news/2025/07/millions-of-people-spied-on-by-malicious-browser-extensions-in-chrome-and-edge