En un ataque cuidadosamente coordinado, al menos cinco extensiones de Google Chrome fueron comprometidas para incluir código malicioso diseñado para robar información sensible de los usuarios. Este incidente destaca la creciente sofisticación de los atacantes en el ecosistema de extensiones de navegador.
El Ataque a la Extensión de Cyberhaven
Una de las extensiones afectadas pertenece a Cyberhaven, una empresa de prevención de pérdida de datos. La brecha fue detectada el 24 de diciembre tras un ataque de phishing exitoso que comprometió la cuenta de un administrador en la tienda de Google Chrome.
Los atacantes aprovecharon esta cuenta para publicar una versión maliciosa (v24.10.4) de la extensión de Cyberhaven. Esta versión incluía código capaz de extraer cookies y sesiones autenticadas, enviándolas al dominio del atacante (cyberhavenext[.]pro).
La extensión comprometida fue retirada por el equipo interno de seguridad de Cyberhaven en menos de una hora tras ser detectada. Una versión limpia, v24.10.5, se publicó el 26 de diciembre.
Recomendaciones para Usuarios de Cyberhaven
Si usas la extensión de Cyberhaven, es fundamental:
- Actualizar a la versión 24.10.5 o posterior.
- Revocar contraseñas no compatibles con FIDOv2.
- Rotar todos los tokens API.
- Revisar los registros del navegador para detectar actividad maliciosa.
Otras Extensiones Afectadas
Investigaciones adicionales identificaron más extensiones comprometidas que contenían el mismo código malicioso. Entre ellas destacan:
- Internxt VPN: VPN gratuito y cifrado con 10,000 usuarios.
- VPNCity: VPN con enfoque en privacidad, 50,000 usuarios.
- Uvoice: Servicio basado en recompensas, 40,000 usuarios.
- ParrotTalks: Herramienta de búsqueda de información, 40,000 usuarios.
También se confirmaron inyecciones maliciosas en otras extensiones, incluyendo Bookmark Favicon Changer, Wayin AI, VidHelper, ChatGPT Assistant, TinaMind, y más, acumulando casi 380,000 descargas en conjunto.
Extensiones adicionales comprometidas, como Visual Effects for Google Meet, Bard AI Chat, y Reader Mode, han sido eliminadas de la tienda de Chrome.
Medidas de Seguridad para Usuarios de Extensiones de Chrome
Si usas alguna de estas extensiones o sospechas que tu navegador pudo estar afectado:
- Desinstala la extensión afectada o actualízala a una versión segura publicada después del 26 de diciembre.
- Resetea contraseñas importantes y habilita autenticación en dos pasos.
- Borra los datos del navegador y restablece su configuración a los valores predeterminados.
- Monitorea tus cuentas en busca de actividades inusuales.
Conclusión: Vigilancia Constante ante Amenazas Crecientes
Este incidente subraya la importancia de mantener la seguridad en las extensiones de navegador, un vector de ataque cada vez más utilizado por ciberdelincuentes. Los usuarios deben ser cautelosos al instalar extensiones, verificar su legitimidad y estar atentos a actualizaciones o advertencias de seguridad de los desarrolladores.
La seguridad en línea no es estática. Mantenerse informado y proactivo es esencial para proteger tus datos y dispositivos en un entorno digital cada vez más hostil.