Los atacantes han encontrado la forma perfecta de eludir las defensas corporativas: comprar herramientas de productividad ya instaladas en tu navegador y convertirlas en armas de espionaje.
La seguridad en la navegación web se enfrenta a un desafío invisible pero masivo. Este 9 de marzo de 2026, la publicación sobre una agresiva ola de ataques a la cadena de suministro, donde extensiones legítimas de Google Chrome están siendo compradas por actores de amenazas para inyectar malware a miles de usuarios desprevenidos.
El método de infiltración abusa del ecosistema de la Chrome Web Store. Los desarrolladores originales venden sus extensiones exitosas (las cuales a menudo ostentan la codiciada insignia de “Destacada”) a compradores anónimos. Inmediatamente después, estos nuevos propietarios empujan actualizaciones silenciosas que transforman las herramientas en mecanismos de robo de datos.
De la Utilidad al Robo de Datos: QuickLens y ShotBird
El reporte técnico detalla dos casos recientes que ilustran la gravedad de esta amenaza:
- QuickLens (7,000 usuarios): Tras cambiar de manos en febrero de 2026, la extensión recibió una actualización diseñada para evadir las políticas de seguridad de contenido (CSP) del navegador. Logra esto inyectando un GIF oculto de 1×1 píxel en cada página web, el cual detona código JavaScript malicioso almacenado directamente en la memoria local, haciendo casi imposible su detección estática.
- ShotBird (800 usuarios): Esta herramienta para tomar capturas de pantalla utiliza la peligrosa técnica ClickFix para mostrar una falsa alerta de actualización de Chrome. Si la víctima interactúa, es engañada para ejecutar un comando de PowerShell que descarga un archivo llamado googleupdate.exe en Windows. Este ejecutable captura cualquier dato ingresado por el usuario, desde credenciales y PINs, hasta información de tarjetas bancarias.
IA y Criptomonedas en la Mira
El problema documentado va mucho más allá de esos dos complementos y afecta a diversas áreas de interés:
- Secuestro de Inteligencia Artificial: Extensiones como Chrome MCP Server se hacen pasar por herramientas de automatización de IA (usando el protocolo MCP), pero en realidad actúan como troyanos de acceso remoto (RAT). Otras, como Urban VPN, fueron sorprendidas extrayendo secretamente los historiales de chat de plataformas como ChatGPT, Claude y Gemini.
- Robo de Billeteras Cripto: Una extensión llamada lmΤoken Chromophore se disfraza hábilmente como un simple selector de color hexadecimal. Sin embargo, al instalarse, redirige al usuario a sitios web clonados con el único propósito de robar la frase semilla (seed phrase) de 12 o 24 palabras de sus billeteras criptográficas.
- Secuestro de Búsquedas: Campañas masivas están forzando la instalación de extensiones como OmniBar AI Chat and Search, las cuales alteran la página de inicio y el motor de búsqueda predeterminado para inyectar enlaces de afiliados y rastrear la actividad de navegación.
Frente a esta epidemia de “confianza traicionada”, los investigadores aconsejan auditar inmediatamente los navegadores y eliminar cualquier extensión que no sea estrictamente esencial para el trabajo.
