Extensiones de navegador: más peligrosas de lo que imaginas

Explicamos qué pasa después de instalar una extensión de navegador usando como ejemplo a las familias más comunes de extensiones maliciosas.

Es probable que todos hayamos instalado algún tipo de extensión de navegador alguna vez: un bloqueador de anuncios, un traductor online, un corrector ortográfico o cualquier extensión de otro tipo. No obstante, pocos nos detenemos a pensar: ¿Es seguro? Desgraciadamente, estas miniaplicaciones que parecen inofensivas pueden ser mucho más peligrosas de lo que reflejan a simple vista. Veamos qué puede pasar. Para ello, utilizaremos datos de un informe reciente realizado por nuestros expertos sobre las familias más comunes de extensiones de navegador maliciosas.

¿Qué son las extensiones y qué hacen?

Empecemos por la definición básica e identifiquemos la raíz del problema. Una extensión de navegador es un complemento que agrega a este alguna función extra. Por ejemplo, una funcionalidad puede ser: bloquear anuncios en las páginas web, tomar notas, revisar la ortografía, etc. Para los navegadores más populares, existen tiendas de extensiones oficiales que te ayudan a seleccionar, comparar e instalar los complementos que necesitas. Pero las extensiones también pueden ser instaladas desde fuentes no oficiales.

Es importante tomar en cuenta que, para que una extensión funcione de forma adecuada, necesitará permiso para leer y cambiar el contenido de las páginas web que el navegador visita. Sin este acceso, es probable que no sirva para nada.

En el caso de Google Chrome, las extensiones necesitan poder leer y cambiar todos tus datos en todas las páginas que visites. Esto no es poco, ¿cierto? No obstante, hasta las tiendas oficiales le prestan poca atención a ello.

Por ejemplo, en la Chrome Web Store oficial, la sección de Prácticas de privacidad de la popular extensión del Traductor de Google, indica que recopila información sobre la ubicación, la actividad del usuario y el contenido de la página web, pero el hecho de que necesite acceso a todos los datos de todos los sitios web para funcionar no es revelado al usuario hasta que la extensión fue instalada.

La extensión del Traductor de Google solicita permiso para "Leer y cambiar todos tus datos en todos los sitios web" que visitas

La extensión del Traductor de Google solicita permiso para “Leer y cambiar todos tus datos en todos los sitios web” que visitas

Muchos, quizá la mayoría de los usuarios, ni siquiera leerán este mensaje y dan clic de forma automática en Añadir extensión para comenzar a usarla cuanto antes. Esto permita que los ciberdelincuentes puedan distribuir adware e incluso malware aparentando ser extensiones inofensivas.

En cuanto a las extensiones de adware, el derecho a modificar el contenido mostrado permite mostrar anuncios en los sitios web que visitas. En este caso, los creadores de la extensión ganan dinero con los clics que realizan los usuarios en enlaces trackeados de afiliados que llevan a los sitios web de los anunciantes. Para ofrecerte un contenido publicitario más acorde con tu perfil, también llegan a analizar tus búsquedas y otros datos.

Las cosas se ponen peor si hablamos de extensiones maliciosas. El acceso al contenido de todos los sitios web visitados permite a un atacante robar los datos de tarjetas bancarias, cookies y otros tipos de información sensible. Veamos algunos ejemplos:

Herramientas falsas para archivos de Office

En años recientes, los ciberdelincuentes han propagado extensiones de adware maliciosas de WebSearch de manera activa. Los miembros de esta familia suelen disfrazarse de herramientas para archivos de Office como, por ejemplo, para la conversión de archivos de Word a PDF.

La mayoría de ellos incluso realizan las funciones que prometen, pero luego, tras la instalación, reemplazan la página de inicio habitual del navegador por un microsite con una barra de búsqueda y enlaces de afiliados trackeados que llevan a páginas web de terceros, como AliExpress o Farfetch.

Página de inicio del navegador tras descargar una de las extensiones de la familia WebSearch

Página de inicio del navegador tras descargar una de las extensiones de la familia WebSearch

Una vez instalada, la extensión también cambia el motor de búsqueda predeterminado a algo llamado search.myway. Esto permite a los ciberdelincuentes guardar y analizar las consultas de búsqueda de los usuarios y proporcionarles enlaces más relevantes según sus intereses.

Actualmente, las extensiones de WebSearch ya no están disponibles en la tienda oficial de Chrome, pero todavía pueden ser descargadas desde páginas de terceros.

Una extensión de adware que no te dejará tranquilo

Los miembros de DealPly, otra familia común de extensiones de adware, suelen infiltrarse en las computadoras de las personas al descargar contenido pirateado de páginas web de dudosa procedencia. Estas funcionan más o menos de la misma forma que las extensiones de WebSearch.

Las extensiones de DealPly también reemplazan la página de inicio del navegador por un microsite con enlaces de afiliados a plataformas digitales populares y, como suele pasar con las extensiones maliciosas de WebSearch, reemplazan el motor de búsqueda predeterminado y analizan las consultas de los usuarios para crear anuncios más personalizados.

Página de inicio del navegador tras descargar una de las extensiones de la familia DealPly

Página de inicio del navegador tras descargar una de las extensiones de la familia DealPly

Además, es muy difícil deshacerse de los miembros de la familia DealPly. Aunque el usuario elimine la extensión del adware, este se volverá a instalar en su dispositivo cada vez que se abra el navegador.

AddScript reparte cookies no deseadas

Las extensiones de la familia AddScript suelen hacerse pasar por herramientas útiles para descargar música y vídeos de redes sociales o por administradores de servidores proxy. No obstante, además de estas funciones, infectan el dispositivo de la víctima con código malicioso. Después, los atacantes utilizan este código para ver vídeos en segundo plano, sin que el usuario se dé cuenta, y obtener ingresos aumentando el número de visitas.

Otra fuente de ingresos de los ciberdelincuentes es la descarga de cookies en el dispositivo de la víctima. En pocas palabras, las cookies se almacenan en el dispositivo del usuario cuando este visita un sitio web y se pueden utilizar como un tipo de marcador digital. En una situación normal, los sitios afiliados prometen llevar a los clientes a un sitio legítimo. Para ello, atraen a los usuarios a su propio sitio, lo que, una vez más, en una situación normal, se hace mediante contenidos interesantes o útiles. Luego, almacenan una cookie en la computadora del usuario y la envían al sitio de destino con un enlace. Con esta cookie, el sitio sabe de dónde proviene el nuevo cliente y paga un importe al socio, a veces por la redirección en sí, otras, se trata de un porcentaje por las compras realizadas y, otras más, por realizar una acción determinada, como el registro de usuarios.

Los operadores de AddScript emplean una extensión maliciosa para abusar de estos casos. En lugar de enviar visitantes reales del sitio web a los socios, descargan varias cookies en los dispositivos infectados. Estas cookies sirven como marcadores para el programa de socios de los estafadores y los operadores de AddScript reciben un pago. De hecho, no atraen a ningún cliente nuevo y su actividad de “socio” consiste en infectar equipos mediante estas extensiones maliciosas.

FB Stealer: un ladrón de cookies

FB Stealer, otra familia de extensiones maliciosas, funciona de forma diferente. A diferencia de AddScript, los miembros de esta familia no descargan “extras” al dispositivo, sino que roban cookies importantes. Funcionan de la siguiente manera:

La extensión FB Stealer llega a los dispositivos de los usuarios junto al troyano NullMixer, que las víctimas suelen recoger cuando intentan descargar un instalador de software pirateado. Una vez instalado, el troyano modifica el archivo utilizado para almacenar la configuración del navegador Chrome, incluida la información sobre las extensiones.

Después, tras de la activación, FB Stealer suplanta a la extensión del Traductor de Google, para que los usuarios bajen la guardia. La extensión parece oficial, el único inconveniente para los atacantes es que el navegador advierte que la tienda oficial no contiene información sobre ella.

Un navegador advirtiendo que la tienda oficial no contiene información sobre esta extensión

Un navegador advirtiendo que la tienda oficial no contiene información sobre esta extensión

Los miembros de esta familia también sustituyen al buscador predeterminado del navegador, pero eso no es lo peor de estas extensiones. La función principal de FB Stealer es robar las cookies de sesión de los usuarios de la red social más grande del mundo: Facebook, de ahí su nombre. Estas son las mismas cookies que te permiten omitir el proceso de inicio de sesión cada vez que visitas la página, y también permiten que los atacantes ingresen sin una contraseña. De esta manera, al tomar una de las cuentas, pueden, por ejemplo, enviar mensajes a los amigos y familiares de la víctima para pedirles dinero.

Cómo mantenerse a salvo

Las extensiones del navegador son herramientas útiles, pero es importante tener precaución y consciencia del peligro que pueden suponer al no ser tan inofensivas como pensamos. Por ello, te recomendamos tomar las siguientes medidas de seguridad:

  • Descarga extensiones solo de fuentes oficiales. Recuerda que esto no es una garantía de seguridad a prueba de fuego: las extensiones maliciosas a veces también logran introducirse en las tiendas oficiales, pero estas plataformas suelen preocuparse por la seguridad del usuario y, finalmente, logran eliminar las extensiones maliciosas.
  • No instales demasiadas extensiones y revisa la lista de forma periódica. Si ves algo que no has instalado, es una señal clara de que algo está pasando.
  • Utiliza una solución de seguridad confiable.
Consejos