Los ciberdelincuentes nunca dejan de innovar. Esta vez, lograron lo impensado: infectar extensiones de Google Chrome legítimas para robar información sin que los usuarios lo notaran. ¿El resultado? Millones de personas podrían haber sido víctimas de un ataque silencioso.
¿Cómo comenzaron los ataques?
Todo empezó con una campaña de phishing dirigida a los desarrolladores de extensiones. Los atacantes enviaron correos electrónicos suplantando a Google, alertando que las extensiones infringían las políticas de la Chrome Web Store. El correo, muy bien diseñado, incluía un botón para «revisar las políticas». Al hacer clic, los desarrolladores eran redirigidos a un flujo de autorización aparentemente legítimo, pero en realidad otorgaban acceso a un recurso malicioso llamado Privacy Policy Extension.
El acceso obtenido por los atacantes les permitió modificar más de 30 extensiones, incluyendo algunas pertenecientes a Cyberhaven, una empresa dedicada a la seguridad de datos. Esto demuestra que nadie está a salvo, ni siquiera las empresas que se especializan en ciberseguridad.
¿Qué buscaban los ciberdelincuentes?
El objetivo principal de estos ataques era robar cuentas comerciales de Facebook. Aunque muchos consideren que esta red social ya no es tan relevante, sigue siendo clave para campañas de marketing digital. Además, está conectada con otras plataformas de Meta, como Instagram y WhatsApp.
Los ciberdelincuentes recopilaban información como el token de acceso a Facebook, el ID de usuario y las cookies. Con esos datos, podían tomar el control de las cuentas y, en algunos casos, incluso publicarlas en sitios de venta clandestinos.
¿Por qué estas extensiones pasaron desapercibidas?
Una de las razones es la confianza que los usuarios tienen en las extensiones descargadas desde la Chrome Web Store. Es común pensar que, si algo está en una tienda oficial, es seguro. Pero este incidente demuestra que los ataques dirigidos a los desarrolladores pueden comprometer la seguridad de todos los usuarios.
Cyberhaven, la misma compañía afectada, explicó que los atacantes utilizaron un método muy sofisticado para evitar sospechas. Todo parecía un proceso estándar de Google, por lo que muchos desarrolladores no vieron ninguna alerta roja.
¿Cómo protegerse de este tipo de ataques?
- Verificar siempre los correos electrónicos: Desconfía de los mensajes que pidan acciones urgentes o amenacen con eliminar tu cuenta.
- Revisar los permisos de las extensiones: Evita otorgar permisos innecesarios, especialmente los que permiten administrar otras extensiones.
- Mantener las extensiones actualizadas: Los desarrolladores suelen parchear vulnerabilidades una vez detectadas.
Como dijo Cyberhaven: «Los ataques sofisticados no solo comprometen a las víctimas directas, sino que ponen en riesgo a miles de usuarios».
¿Qué podemos esperar a futuro?
Este incidente es un recordatorio de que la seguridad en línea debe tomarse en serio. La amenaza de extensiones comprometidas seguirá siendo una preocupación, especialmente porque los navegadores son una puerta de entrada a nuestros datos.
Entonces, la próxima vez que instales una extensión, pregúntate: ¿puedo confiar realmente en ella?
Si considerás que la información del blog es útil, te propongo apoyar mi trabajo de la siguiente mantera:
Y si estás en el exterior, lo podés hacer a través de:
