Extensiones de navegador: son más peligrosas de lo que piensas

Explicamos qué puede ocurrir tras instalar una extensión de navegador poniendo de ejemplo las familias más comunes de extensiones maliciosas.

Probablemente todos hayamos instalado alguna vez algún tipo de extensión de navegador: un bloqueador de anuncios, un traductor online, un corrector ortográfico u otro tipo de extensión. Sin embargo, pocos nos paramos a pensar: ¿Es seguro? Por desgracia, estas miniaplicaciones aparentemente inofensivas pueden ser mucho más peligrosas de lo que parecen a simple vista. Veamos qué puede ocurrir. Para ello, utilizaremos datos de un informe reciente realizado por nuestros expertos sobre las familias más comunes de extensiones de navegador maliciosas.

¿Qué son las extensiones y qué hacen?

Comencemos por la definición básica e identifiquemos la raíz del problema. Una extensión de navegador es un complemento que agrega una funcionalidad a tu navegador. Por ejemplo, una funcionalidad puede ser: bloquear anuncios en las páginas web, tomar notas, revisar la ortografía, etc. Para los navegadores más populares, existen tiendas de extensiones oficiales que te ayudan a seleccionar, comparar e instalar los complementos que necesitas. Pero las extensiones también se pueden instalar desde fuentes no oficiales.

Es importante tener en cuenta que, para que una extensión funcione de forma adecuada, necesitará permiso para leer y cambiar el contenido de las páginas web que ve en el navegador. Sin este acceso, probablemente no servirá de nada.

En el caso de Google Chrome, las extensiones requieren poder leer y cambiar todos tus datos en todas las webs que visites. Esto no es poca cosa, ¿verdad? Sin embargo, incluso las tiendas oficiales le prestan poca atención a ello.

Por ejemplo, en la Chrome Web Store oficial, la sección de Prácticas de privacidad de la popular extensión del Traductor de Google,  indica que recopila información sobre la ubicación, la actividad del usuario y el contenido del sitio web, pero el hecho de que necesite acceso a todos los datos de todos los sitios web para funcionar no se revela al usuario hasta que este instala la extensión.

La extensión del Traductor de Google solicita permiso para "Leer y cambiar todos tus datos en todos los sitios web" que visitas

La extensión del Traductor de Google solicita permiso para “Leer y cambiar todos tus datos en todos los sitios web” que visitas

Muchos, probablemente la mayoría de los usuarios, ni siquiera leerán este mensaje y harán clic automáticamente en Añadir extensión para comenzar a usarla inmediatamente. Esto da a los ciberdelincuentes la oportunidad de distribuir adware e incluso malware aparentando ser extensiones inofensivas.

En cuanto a las extensiones de adware, el derecho a modificar el contenido mostrado permite mostrar anuncios en los sitios web que visitas. En este caso, los creadores de la extensión ganan dinero con los clics que realizan los usuarios en enlaces de afiliados trackeados que llevan a los sitios web de los anunciantes. Para ofrecerte un contenido publicitario más orientado en tu perfil, también pueden analizar tus búsquedas y otros datos.

Las cosas están aún peor si hablamos de extensiones maliciosas. El acceso al contenido de todos los sitios web visitados permite a un atacante robar los datos de tarjetas bancarias, cookies y otros tipos de información sensible. Veamos algunos ejemplos:

Herramientas falsas para archivos de Office

En los últimos años, los ciberdelincuentes han estado propagando activamente extensiones de adware maliciosas de WebSearch. Los miembros de esta familia suelen disfrazarse de herramientas para archivos de Office como, por ejemplo, para la conversión de archivos de Word a PDF.

La mayoría de ellos incluso realizan las funciones que prometen, pero luego, después de la instalación, reemplazan la página de inicio habitual del navegador por un microsite con una barra de búsqueda y enlaces de afiliados trackeados que llevan a páginas web de terceros, como AliExpress o Farfetch.

Página de inicio del navegador tras descargar una de las extensiones de la familia WebSearch

Página de inicio del navegador tras descargar una de las extensiones de la familia WebSearch

Una vez instalada, la extensión también cambia el motor de búsqueda predeterminado a algo llamado search.myway. Esto permite a los ciberdelincuentes guardar y analizar las consultas de búsqueda de los usuarios y proporcionarles enlaces más relevantes según sus intereses.

Actualmente, las extensiones de WebSearch ya no están disponibles en la tienda oficial de Chrome, pero aún se pueden descargar desde páginas de terceros.

Una extensión de adware que no te dejará tranquilo

Los miembros de DealPly, otra familia común de extensiones de adware, suelen infiltrarse en los ordenadores de las personas al descargar contenido pirateado de páginas web de dudosa fiabilidad. Estas funcionan más o menos de la misma forma que las extensiones de WebSearch.

Las extensiones de DealPly también reemplazan la página de inicio del navegador por un microsite con enlaces de afiliados a plataformas digitales populares y, como ocurre con las extensiones maliciosas de WebSearch, reemplazan el motor de búsqueda predeterminado y analizan las consultas de búsqueda de los usuarios para crear anuncios más personalizados.

Página de inicio del navegador tras descargar una de las extensiones de la familia DealPly

Página de inicio del navegador tras descargar una de las extensiones de la familia DealPly

Además, es muy difícil deshacerse de los miembros de la familia DealPly. Aunque el usuario elimine la extensión del adware, este se volverá a instalar en su dispositivo cada vez que se abra el navegador.

AddScript reparte cookies no deseadas

Las extensiones de la familia AddScript suelen hacerse pasar por herramientas útiles para descargar música y vídeos de redes sociales o por administradores de servidores proxy. Sin embargo, además de tener estas funcionalidades, infectan el dispositivo de la víctima con código malicioso. Luego, los atacantes usan este código para ver vídeos en segundo plano, sin que el usuario se dé cuenta, y obtener ingresos aumentando el número de visitas.

Otra fuente de ingresos de los ciberdelincuentes es la descarga de cookies en el dispositivo de la víctima. En términos generales, las cookies se almacenan en el dispositivo del usuario cuando este visita un sitio web y se pueden utilizar como una especie de marcador digital. En una situación normal, los sitios afiliados prometen llevar a los clientes a un sitio legítimo. Para ello, atraen a los usuarios a su propio sitio, lo que, de nuevo, en una situación normal, se hace mediante contenidos interesantes o útiles. Luego, almacenan una cookie en el ordenador del usuario y la envían al sitio de destino con un enlace. Con esta cookie, el sitio sabe de dónde proviene el nuevo cliente y paga un importe al socio, a veces por la redirección en sí misma, otras veces se trata de un porcentaje por las compras realizadas y, otras veces, por la realización de una determinada acción, como el registro de usuarios.

Los operadores de AddScript emplean una extensión maliciosa para abusar de esta situación. En lugar de enviar visitantes reales del sitio web a los socios, descargan varias cookies en los dispositivos infectados. Estas cookies sirven como marcadores para el programa de socios de los estafadores y los operadores de AddScript reciben un pago. De hecho, no atraen a ningún cliente nuevo y su actividad de “socio” consiste en infectar ordenadores mediante estas extensiones maliciosas.

FB Stealer: un ladrón de cookies

FB Stealer, otra familia de extensiones maliciosas, funciona de manera diferente. A diferencia de AddScript, los miembros de esta familia no descargan “extras” al dispositivo, sino que roban cookies importantes. Así es como funciona:

La extensión FB Stealer llega a los dispositivos de los usuarios junto al troyano NullMixer, que las víctimas suelen recoger cuando intentan descargar un instalador de software pirateado. Una vez instalado, el troyano modifica el archivo utilizado para almacenar la configuración del navegador Chrome, incluida la información sobre las extensiones.

Luego, después de la activación, FB Stealer se hace pasar por la extensión del Traductor de Google, para que los usuarios bajen la guardia. La extensión parece oficial, el único inconveniente para los atacantes es que el navegador advierte que la tienda oficial no contiene información sobre ella.

Un navegador advirtiendo que la tienda oficial no contiene información sobre esta extensión

Un navegador advirtiendo que la tienda oficial no contiene información sobre esta extensión

Los miembros de esta familia también sustituyen al buscador predeterminado del navegador, pero eso no es lo peor de estas extensiones. La función principal de FB Stealer es robar las cookies de sesión de los usuarios de la red social más grande del mundo: Facebook, de donde viene su nombre. Estas son las mismas cookies que te permiten omitir el proceso de inicio de sesión cada vez que visitas la página, y también permiten que los atacantes ingresen sin una contraseña. De esta forma, al hacerse con una de las cuentas, pueden, por ejemplo, enviar mensajes a los amigos y familiares de la víctima para pedirles dinero.

Cómo mantenerse a salvo

Las extensiones del navegador son herramientas útiles, pero es importante tener precaución y ser conscientes del peligro que pueden suponer al no ser tan inofensivas como se suele pensar. Por ello, te recomendamos tomar las siguientes medidas de seguridad:

• Descarga extensiones solo de fuentes oficiales. Recuerda que esto no es una garantía de seguridad a prueba de fuego: las extensiones maliciosas a veces también logran introducirse en las tiendas oficiales, pero estas plataformas suelen preocuparse por la seguridad del usuario y, finalmente, logran eliminar las extensiones maliciosas.

• No instales demasiadas extensiones y revisa la lista de forma periódica. Si ves algo que no has instalado, es una clara señal de que algo pasa.

• Utiliza una solución de seguridad fiable.

Consejos