Investigadores descubren la campaña “AiFrame”, un conjunto de 30 extensiones maliciosas que prometen resumir webs y escribir correos, pero en realidad roban tus emails, contraseñas y graban tus conversaciones.
La fiebre por la Inteligencia Artificial tiene un lado oscuro. Hoy 12 de febrero de 2026, que cientos de miles de usuarios de Chrome han instalado voluntariamente spyware disfrazado de asistentes de IA.
Bajo nombres atractivos como “Gemini AI Sidebar”, “ChatGPT Translate” o “AI Assistant”, estas herramientas acumulan más de 300,000 descargas. Aunque prometen integrar la potencia de GPT-4 o Gemini en tu navegador, su verdadero propósito es exfiltrar cada dato que pasa por tu pantalla hacia servidores controlados por los atacantes.
La Trampa del “AiFrame”
Lo que hace a esta campaña única es su arquitectura perezosa pero efectiva.
- Sin IA Real: Las extensiones no contienen ningún modelo de IA. Simplemente abren un marco (iframe) que carga contenido desde un dominio remoto (tapnetic.pro).
- Control Total: Al cargar la lógica desde un servidor externo en lugar de tenerla en el código de la extensión, los atacantes pueden cambiar el comportamiento del malware en cualquier momento sin pasar por una nueva revisión de seguridad de Google. Hoy puede ser un traductor inofensivo; mañana, un ladrón de tarjetas de crédito.
Espionaje en Gmail y Micrófono
El análisis revela capacidades de robo de datos alarmantes:
- Lectura de Correos: 15 de estas extensiones están diseñadas específicamente para atacar Gmail. Inyectan scripts en mail.google.com que leen el contenido de tus correos, hilos de conversación e incluso borradores no enviados, enviando todo el texto a los servidores de los atacantes.
- Escucha Activa: Utilizan la API de reconocimiento de voz del navegador (Web Speech API) no para recibir comandos de voz, sino para grabar el audio del entorno y enviar las transcripciones a los operadores.
- Robo de Cookies: Extraen cookies de sesión y contenido de páginas de autenticación, permitiendo el secuestro de cuentas.
Lista de Extensiones Peligrosas (Aún Activas)
Aunque Google ha eliminado algunas (como la popular Gemini AI Sidebar con 80k usuarios), muchas siguen disponibles en la Chrome Web Store al momento de escribir esto. Si tienes alguna de estas instalada, bórrala inmediatamente:
- AI Sidebar (ID: gghdfkafnhfpaooiolhncejnlgglhkhe) – 70,000 usuarios.
- AI Assistant (ID: nlhpidbjmmffhoogcennoiopekbiglbp) – 60,000 usuarios.
- ChatGPT Translate (ID: acaeafediijmccnjlokgcdiojiljfpbe) – 30,000 usuarios.
- AI GPT (ID: kblengdlefjpjkekanpoidgoghdngdgl) – 20,000 usuarios.
- Google Gemini (ID: fdlagfnfaheppaigholhoojabfaapnhb) – 10,000 usuarios.
¿Qué hacer si estás infectado?
- Desinstala: Ve a chrome://extensions y elimina cualquier extensión de IA que no provenga de un desarrollador verificado (como OpenAI o Google oficial).
- Cambia Contraseñas: Asume que tus cuentas de correo y servicios logueados han sido comprometidos. Cambia tus claves y cierra sesiones activas.
- Revoca Permisos: Revisa en tu cuenta de Google qué aplicaciones tienen acceso a tus datos.
