Las extensiones del navegador son sencillas soluciones prácticas que hacen nuestra vida más fácil: elegir colores, traducir textos, identificar tipografía… Sin embargo, una reciente investigación de la firma de ciberseguridad Koi Security, publicada en Medium y en Bleeping Computer, ha destapado una operación coordinada que pone en duda la confianza en estas herramientas. Varias extensiones disponibles en las tiendas de Chrome y Edge, muchas de ellas verificadas y con miles de descargas, estaban en realidad espiando a los usuarios.
Una útil herramienta que se convirtió en caballo de Troya
Una de las extensiones maliciosad de Google
Todo empezó con una extensión aparentemente inofensiva: Color Picker, Eyedropper — Geco colorpick. Un selector de colores como tantos otros, con más de 100.000 usuarios, reseñas positivas y el distintivo de verificado por parte de Google. Pero según Koi Security, tras una actualización silenciosa, esta herramienta comenzó a registrar las páginas web visitadas por los usuarios y enviarlas a servidores remotos.
La sorpresa fue aún mayor cuando los analistas descubrieron que no se trataba de un caso aislado. El código malicioso de esta extensión actuaba como puerta de entrada a una infraestructura más amplia: la llamada campaña RedDirection. Mediante análisis de comportamiento, coincidencias en el código y dominios comunes, se descubrió que al menos otras 17 extensiones operaban bajo el mismo modus operandi.
Todas ellas ofrecían funciones útiles. Algunas simulaban teclados de emojis, otras prometían desbloquear servicios como TikTok o Discord mediante VPNs, o ajustar la velocidad de reproducción de vídeos. La apariencia era convincente, y en muchos casos, las herramientas funcionaban realmente bien.
A diferencia de otras formas de malware, estas extensiones no mostraban alertas ni ralentizaban el equipo. Funcionaban normalmente. Pero en segundo plano, registraban cada nueva página visitada. Cada URL era capturada y enviada junto con un identificador único a servidores como admitclick.net o click.videocontrolls.com, desde donde los atacantes podían redirigir al usuario a otras webs, en algunos casos, copias falsas de servicios reales como Zoom o bancos online.
El código no estaba desde el principio, se introdujo en actualizaciones posteriores, cuando las extensiones ya contaban con la confianza de los usuarios. Esa estrategia evitó los filtros automáticos de las tiendas y permitió que la amenaza se extendiera sin levantar sospechas. Solo en Chrome y Edge, más de 2,3 millones de personas se vieron afectadas. El sistema está diseñado para aplicar las nuevas versiones de forma automática y sin interacción del usuario.
Extensiones implicadas en la campaña RedDirection
1
Color Picker, Eyedropper — Geco colorpick
2
Emoji keyboard online — copy&paste your emoji
3Free Weather Forecast
4Video Speed Controller — Video manager
5Unlock Discord — VPN Proxy to Unblock Discord Anywhere
6Unblock TikTok — Seamless Access with One-Click Proxy
7Unlock YouTube VPN
8
Dark Theme — Dark Reader for Chrome
9
Volume Max — Ultimate Sound Booster
10
Web Sound Equalizer
11
Flash Player — games emulator
12
Header Value
13
Volume Booster — Increase your sound
Lee también
Algunas ya han sido retiradas, pero otras siguen activas, según los investigadores. Google y Microsoft otorgaron distintivos de confianza a extensiones que terminaron siendo vehículos de espionaje digital. Por ello hay que revisar regularmente las extensiones instaladas, eliminar las innecesarias y no confiar ciegamente en los distintivos de verificación.