Un grupo de investigadores descubrió una serie de extensiones maliciosas disponibles en la Chrome Web Store que han estado sustrayendo datos sensibles de millones de usuarios. Este incidente afectó al menos a 33 extensiones y compromete la seguridad de aproximadamente 2,6 millones de dispositivos. A continuación, se detalla cómo operaban estas extensiones, qué datos sustraían y cómo verificar si has sido afectado.
La extensión «Cyberhaven Security Extension V3» fue uno de los principales objetivos. Un ataque de phishing permitió a los atacantes subir una versión maliciosa de esta extensión. El 25 de diciembre de 2024, los desarrolladores de la extensión recibieron un correo electrónico falso, simulando ser de Google, que solicitaba acceso a una aplicación llamada «Privacy Policy Extension». Al otorgar permisos, los atacantes pudieron distribuir una versión infectada de la extensión, afectando a 400.000 usuarios antes de que se corrigiera el problema.
Esta versión maliciosa recolectaba cookies y credenciales de acceso de dominios como facebook.com y chatgpt.com. Además, se detectaron otros ataques similares que afectaron a más de 20 extensiones utilizando tácticas similares, lo que expuso a 1,46 millones de usuarios adicionales.
Algunas extensiones comprometidas utilizaban bibliotecas de código que, con el pretexto de monetización, recopilaban información sobre las actividades web de los usuarios. Un caso destacado fue el de «Reader Mode», que además de participar en esta campaña de phishing, estuvo involucrada en una operación previa desde abril de 2023. Estas prácticas han llevado a la exposición de datos sensibles de más de 1,14 millones de usuarios.
Las siguientes tablas enumeran las extensiones comprometidas, con información sobre las versiones afectadas y el número de usuarios expuestos.
Extensiones comprometidas en la campaña más reciente
| Nombre de la extensión | ID | Versión comprometida | Parche disponible | Usuarios afectados | Inicio | Fin |
|---|---|---|---|---|---|---|
| VPNCity | nnpnnpemnckcfdebeekibpiijlicmpom | 2.0.1 | No | 10,000 | 12/12/24 | 12/31/24 |
| Parrot Talks | kkodiihpgodmdankclfibbiphjkfdenh | 1.16.2 | Sí | 40,000 | 12/25/24 | 12/31/24 |
| Uvoice | oaikpkmjciadfpddlpjjdapglcihgdle | 1.0.12 | Sí | 40,000 | 12/26/24 | 12/31/24 |
| Internxt VPN | dpggmcodlahmljkhlmpgpdcffdaoccni | 1.1.1 | Sí | 10,000 | 12/25/24 | 12/29/24 |
| Bookmark Favicon Changer | acmfnomgphggonodopogfbmkneepfgnh | 4.00 | Sí | 40,000 | 12/25/24 | 12/31/24 |
| Castorus | mnhffkhmpnefgklngfmlndmkimimbphc | 4.40 | Sí | 50,000 | 12/26/24 | 12/27/24 |
| Wayin AI | cedgndijpacnfbdggppddacngjfdkaca | 0.0.11 | Sí | 40,000 | 12/19/24 | 12/31/24 |
| Search Copilot AI Assistant for Chrome | bbdnohkpnbkdkmnkddobeafboooinpla | 1.0.1 | Sí | 20,000 | 7/17/24 | 12/31/24 |
| VidHelper – Video Downloader | egmennebgadmncfjafcemlecimkepcle | 2.2.7 | Sí | 20,000 | 12/26/24 | 12/31/24 |
| Cyberhaven security extension V3 | pajkjnmeojmbapicmbpliphjmcekeaac | 24.10.4 | Sí | 400,000 | 12/24/24 | 12/26/24 |
Otras extensiones comprometidas desde 2023
| Nombre de la extensión | ID | Versión comprometida | Parche disponible | Usuarios afectados | Inicio | Fin |
|---|---|---|---|---|---|---|
| Reader Mode | llimhhconnjiflfimocjggfjdlmlhblm | 1.5.7 | No | 300,000 | 12/18/24 | 12/19/24 |
| Tackker – online keylogger tool | ekpkdmohpdnebfedjjfklhpefgpgaaji | 1.3 | Sí | 10,000 | 10/6/23 | 8/13/24 |
| AI Shop Buddy | epikoohpebngmakjinphfiagogjcnddm | 2.7.3 | Sí | 4,000 | 4/30/24 | |
| Rewards Search Automator | eanofdhdfbcalhflpbdipkjjkoimeeod | 1.4.9 | Sí | 100,000 | 5/4/24 | |
| Visual Effects for Google Meet | hodiladlefdpcbemnbbcpclbmknkiaem | 3.1.3 | Sí | 900,000 | 6/13/23 | 1/10/24 |
Recomendaciones de seguridad
- Eliminar extensiones comprometidas: Verifica si tienes alguna de las extensiones listadas y elimínalas de inmediato.
- Cambiar contraseñas: Si has utilizado alguna de estas extensiones, considera actualizar las credenciales de acceso a tus cuentas.
- Estar alerta: Los ataques de phishing son una táctica común. Verifica siempre la legitimidad de los correos electrónicos antes de interactuar con ellos.
- Dispositivos y software actualizados: Mantén actualizado tu navegador y verifica regularmente las extensiones instaladas para proteger tus datos y dispositivos.
