Una extensión de Chrome con más de 100,000 instalaciones y una insignia verificada en el Chrome Web Store ha sido expuesta por investigadores por tomar capturas de pantalla de las pantallas de los usuarios y filtrarlas a servidores remotos.
FreeVPN.One, la extensión VPN en cuestión, ha estado capturando silenciosamente capturas de pantalla completas de los navegadores de los usuarios, registrando datos visuales sensibles como mensajes personales, paneles financieros y fotos privadas, y subiéndolos al dominio aitd[.]one, registrado por el desarrollador de la extensión.
La vigilancia oculta detrás de la protección VPN
Una investigación forense de Koi Security reveló que el mecanismo de vigilancia se activa automáticamente, en cuestión de segundos después de cargar cualquier página web. Utilizando la API privilegiada chrome.tabs.captureVisibleTab() de Chrome, las capturas de pantalla se toman silenciosamente en segundo plano y se empaquetan con metadatos que incluyen URL de páginas, IDs de pestañas e identificadores únicos de usuario. Esta información se transmite luego al servidor controlado por el atacante aitd.one/brange.php, sin interacción del usuario o indicación visible.
El comportamiento de espionaje funciona mediante una arquitectura de dos etapas:
- Un script de contenido inyectado en cada sitio visitado usando coincidencias (
http://*/*,https://*/*). - Un service worker en segundo plano que escucha un mensaje interno
captureViewporte inicia la captura de pantalla.
La extensión también promociona una función de «Detección de amenazas con IA» que, cuando se hace clic, captura otra captura de pantalla y la envía a aitd.one/analyze.php. Sin embargo, el verdadero problema radica en el hecho de que las capturas de pantalla se están tomando mucho antes de que los usuarios interactúen con esta función, convirtiendo la interfaz de usuario en un señuelo.
Cifrado para ocultar las evidencias
Koi Security explica además que la última versión de la extensión, v3.1.4, introdujo cifrado AES-256-GCM con wrapping de claves RSA para ofuscar los datos filtrados, haciendo más difícil su detección o análisis con herramientas de monitoreo de red.
Los investigadores presentaron la siguiente cronología del desarrollo de FreeVPN.One que la transformó de una herramienta de protección de privacidad a un riesgo para la privacidad:
- Abril 2025 (v3.0.3): La extensión solicita permisos que amplían las capacidades de vigilancia, pero aún no hay espionaje.
- Junio 2025 (v3.1.1): Introducción de la marca «Detección de amenazas con IA»; los scripts de contenido se expanden a todos los sitios web; se agrega permiso de scripting.
- 17 de julio de 2025 (v3.1.3): El spyware se activa. Comienzan las capturas de pantalla, rastreo de ubicación y fingerprinting de dispositivos.
- 25 de julio de 2025 (v3.1.4): La filtración se cifra, evadiendo herramientas de detección.
El desarrollador rechaza las acusaciones
El desarrollador de la extensión afirmó a Koi Security que la funcionalidad de captura de pantalla en segundo plano es parte de un «escaneo de seguridad» destinado a detectar amenazas. Sin embargo, Koi Security encontró que la herramienta capturaba indiscriminadamente datos de sitios seguros y comúnmente utilizados como Google Sheets, portales bancarios y galerías de fotos.
El desarrollador también afirmó que las capturas de pantalla no se almacenan, sino que simplemente son analizadas por herramientas de IA, pero no ofreció forma verificable de confirmar esto.
Un escrutinio adicional del editor no reveló presencia legítima de empresa, según Koi Security. El dominio phoenixsoftsol.com, vinculado al correo electrónico de contacto del desarrollador, lleva a una página Wix de nivel gratuito desprovista de cualquier detalle corporativo o transparencia.
Después de responder inicialmente a las preguntas, el desarrollador cesó la comunicación con los investigadores.
La extensión sigue disponible
FreeVPN.One sigue listada y disponible en el Chrome Web Store al momento de esta publicación, manteniendo su estado verificado.
BZDNews también se puso en contacto con el editor para solicitar comentarios, pero no ha recibido respuesta hasta el momento de la publicación. Por lo tanto, no pudimos verificar sus intenciones y si hay malicia real o simplemente implementaron un sistema de seguridad de manera riesgosa.
Recomendaciones de seguridad
En cualquier caso, sería aconsejable:
- Cambiar contraseñas para cualquier servicio al que se haya accedido a través de Chrome mientras la extensión estaba activa en el navegador
- Considerar usar proveedores VPN auditados independientemente con políticas de privacidad transparentes y prácticas de manejo de datos claras
- Revisar las extensiones instaladas y eliminar aquellas que no sean esenciales o de fuentes no confiables
Esta revelación subraya la importancia de la verificación rigurosa de extensiones de navegador, especialmente aquellas que manejan datos sensibles como las herramientas VPN. Los usuarios deben permanecer vigilantes ante las extensiones que solicitan permisos excesivos o provienen de desarrolladores con poca transparencia corporativa.
