Investigadores desmantelan una operación criminal doble: una red de “Adware” que inyecta enlaces de afiliados ilegales y una flota de herramientas falsas de IA diseñadas para suplantar tu identidad.
Tu navegador es el nuevo campo de batalla. Hoy 30 de enero de 2026, el descubrimiento de múltiples clusters de extensiones maliciosas en la Chrome Web Store que, bajo la apariencia de herramientas útiles para compras y productividad, estaban ejecutando operaciones de fraude y robo de datos a gran escala.
Grupo 1: El Fraude de “10Xprofit”
El primer grupo, identificado por Socket, consta de 29 extensiones enfocadas en el comercio electrónico.
- El Gancho: Se promocionan como “Bloqueadores de Anuncios para Amazon”, “Rastreadores de Precios de AliExpress” o herramientas para vendedores (FBA).
- El Engaño: Aunque cumplen su función básica, su verdadero propósito es el secuestro de enlaces de afiliados.
- Cuando visitas Amazon, Best Buy, Walmart o Shein, la extensión escanea silenciosamente la URL.
- Si encuentra un código de afiliado de otro creador de contenido (a quien legítimamente le correspondería la comisión), lo borra y lo reemplaza por el del atacante (10xprofit-20).
- Si no hay código, inyecta el suyo.
- El Impacto: Esto no solo roba ingresos a creadores legítimos, sino que viola las políticas de Google al realizar inyecciones sin consentimiento del usuario. Además, algunas variantes exfiltran datos de navegación a servidores externos (app.10xprofit.io).
Grupo 2: Ladrones de IA
El segundo hallazgo, reportado por LayerX, es aún más peligroso para la seguridad corporativa. Se trata de 16 extensiones que dicen ofrecer “Mods” o mejoras para ChatGPT (como descargar notas de voz o gestionar carpetas).
- El Objetivo: Robar los Tokens de Autenticación de ChatGPT.
- El Mecanismo: Al instalarse, inyectan un script en chatgpt.com que captura la sesión activa del usuario.
- El Riesgo: Con este token, el atacante tiene acceso total a la cuenta de la víctima: puede leer todo el historial de chats (que a menudo contiene código propietario o datos sensibles de empresas) e incluso usar la cuenta para generar contenido malicioso a nombre de la víctima.
La Amenaza “Stanley”
El reporte también conecta estos hallazgos con la aparición de un nuevo kit de malware-as-a-service llamado “Stanley”.
- Vendido en foros rusos por hasta $6,000, este kit garantiza que las extensiones maliciosas pasarán los filtros de seguridad de Google.
- Permite a los atacantes desplegar páginas de phishing (como un login falso de banco) dentro de un iframe sobre una web legítima, manteniendo la barra de direcciones intacta para engañar incluso a usuarios expertos.
Limpieza Inmediata
Revisa tu navegador ahora mismo. Si tienes instalada alguna extensión con nombres genéricos como:
- Amazon Ads Blocker
- AliExpress Invoice Generator
- ChatGPT Mods (cualquiera de sus variantes)
- Good Tab o Stock Informer
Desinstálalas inmediatamente. Además, si usabas alguna extensión relacionada con ChatGPT, cierra sesión en la plataforma, cambia tu contraseña y revoca sesiones activas para invalidar cualquier token robado.
