Una nueva variante de malware demuestra que ni siquiera los muros de seguridad más recientes de Google son impenetrables cuando se abusa de las herramientas legítimas del sistema.
Las defensas más recientes de Google acaban de ser burladas con una técnica alarmantemente sigilosa. Este 20 de marzo de 2026, se revela que una nueva variante del infostealer VoidStealer ha logrado lo que parecía imposible: eludir la Encriptación Vinculada a la Aplicación (ABE, por sus siglas en inglés) de Google Chrome sin necesidad de inyectar código malicioso ni escalar a privilegios de sistema (SYSTEM-level).
El Muro de ABE y el Enfoque “Debugger”
Google introdujo ABE en julio de 2024 (a partir de la versión 127 de Chrome) para bloquear el robo de contraseñas y cookies, vinculando fuertemente la clave de cifrado a un servicio de Windows con los máximos privilegios.
Sin embargo, la versión 2.0 de VoidStealer (lanzada recientemente el 13 de marzo de 2026 en foros de la dark web) ha logrado saltarse esta protección utilizando un enfoque completamente novedoso adaptado del proyecto de código abierto ElevationKatz.
La técnica es brillante precisamente por su invisibilidad, ya que abusa de las API de depuración estándar de Windows:
- El malware inicia un proceso del navegador (afecta tanto a Chrome como a Edge) de forma oculta y suspendida, para luego adjuntarse inmediatamente a él como si fuera un depurador legítimo del sistema.
- VoidStealer escanea la memoria del navegador buscando la sección de código exacta donde la clave maestra (v20_master_key) aparece brevemente en texto plano durante el proceso de descifrado.
- En lugar de modificar la memoria (lo cual es ruidoso y dispararía las alarmas de los antivirus), establece “puntos de interrupción” (breakpoints) de hardware directamente en los registros del procesador.
- Cuando el navegador procesa la clave, el malware congela la acción, extrae la clave maestra con una simple lectura de memoria y huye con el botín.
El Peligro de Operar Bajo el Radar
Dado que no requiere inyectar código malicioso ni escalar privilegios de administrador, VoidStealer v2.0 tiene una huella de detección inusualmente baja y opera bajo el radar de la mayoría de las herramientas de seguridad estándar. El indicador de compromiso (IoC) conocido para rastrear esta variante específica es el hash f783fde5cf7930e4b3054393efadd3675b505cbef8e9d7ae58aa35b435adeea4.
Los defensores deben encender las alarmas de sus sistemas EDR si detectan procesos de terceros adjuntando depuradores a los navegadores web de forma autónoma, o si detectan navegadores lanzados con la directiva oculta SW_HIDE.
