Los investigadores en ciberseguridad han descubierto una creciente campaña de extensiones maliciosas en Google Chrome que engañan a millones de usuarios para robar sus credenciales, secuestrar sesiones activas y acceder a información sensible sin su consentimiento. La amenaza ya ha afectado a cientos de miles de personas y sugiere que los ciberdelincuentes están aprovechando la popularidad de herramientas relacionadas con inteligencia artificial para camuflar malware en extensiones aparentemente útiles.
🕵️ 300 000 usuarios afectados por extensiones disfrazadas
Una red de al menos 30 extensiones maliciosas, agrupadas bajo campañas como AiFrame, se ha infiltrado en la Chrome Web Store haciéndose pasar por asistentes de IA (por ejemplo, supuestos complementos para ChatGPT o Gemini). Aunque prometen funciones atractivas como resúmenes de texto o traducción, su código en realidad actúa como spyware para interceptar datos de navegación y credenciales de acceso.
🔒 Robos más allá de contraseñas
No se trata únicamente de contraseñas. En algunos casos, las extensiones maliciosas han sido vinculadas a ataques dirigidos a plataformas corporativas, como Workday, NetSuite o SAP SuccessFactors, poniendo en riesgo no solo cuentas personales, sino también credenciales de empleados y datos empresariales.
🔄 Técnicas de sigilo y persistencia
Los delincuentes detrás de estas extensiones usan métodos sofisticados para operar en segundo plano y modificar su comportamiento tras la instalación, lo que dificulta la detección y eliminación por parte de los usuarios. Incluso extensiones inicialmente legítimas pueden ser secuestradas por atacantes tras un update malicioso.
📉 Más amenazas en el ecosistema de extensiones
Este fenómeno no es aislado. Estudios de seguridad han identificado otras campañas de extensiones maliciosas desde 2017, algunas capaces de interceptar tráfico, robar cookies de sesión o incluso insertar credenciales robadas en otros navegadores, facilitando el secuestro de cuentas sin necesidad de contraseña.
🛡️ Recomendaciones para protegerte
⚠️ Audita tus extensiones instaladas: revisa tu navegador y elimina cualquier complemento que no reconozcas o que tenga permisos excesivos.
🔐 Activa autenticación en dos pasos (2FA) en todos tus servicios críticos.
🧹 Mantén actualizado Chrome y el sistema operativo, y usa soluciones de seguridad que alerten sobre extensiones sospechosas.
📉 Evita extensiones ocultas o con pocos comentarios/descargas verificables.
🛑 Extensiones específicas que debes eliminar inmediatamente
Según múltiples informes de seguridad recientes:
🔎 Extensiones asociadas a campañas de robo de credenciales y secuestro de sesiones:
- DataByCloud Access Tool — se hizo pasar por una herramienta de acceso empresarial pero fue usada para robar tokens de sesión.
- Access 11 — otro complemento con el mismo propósito malicioso.
- DataByCloud 1 y DataByCloud 2 — extensiones impostoras enfocadas en plataformas corporativas.
- Software Access — falsa herramienta que permitía acceso remoto y exfiltración de datos.
- Phantom Shuttle (dos variantes) — prometía servicios de proxy o VPN, pero en realidad interceptaba tráfico y robaba credenciales.
Nota: estas extensiones ya han sido retiradas de la Chrome Web Store en muchos casos, pero si las instalaste antes, quedan en tu navegador hasta que las elimines manualmente.
🧹 Recomendaciones claras para asegurar tus navegadores
1️⃣ Haz limpieza total de extensiones
- Abre chrome://extensions y revisa cada complemento.
- Elimina todo lo siguiente de inmediato:
- DataByCloud Access Tool, Access 11, DataByCloud 1, DataByCloud 2, Software Access.
- Phantom Shuttle (todas las variantes detectadas).
- Si no estás 100% seguro del propósito de una extensión, bórrala. Las extensiones tienen acceso a toda tu actividad web, incluyendo credenciales y datos de sesión.
2️⃣ Revisa permisos extravagantes
- Si una extensión pide:
- Leer y cambiar todos tus datos en todos los sitios web.
- Acceder a cookies o credenciales almacenadas.
- Inyectar scripts en cada página visitada
… eso es un alerta rojo directo 🚨. Solo las extensiones de confianza deben tener estos permisos.
3️⃣ Actualiza contraseñas críticas
Después de quitar extensiones maliciosas:
- Cambia contraseñas de tus cuentas principales (correo, banca, redes sociales).
- Si usas gestores de contraseñas, genera contraseñas únicas y fuertes.
- Activa 2FA (autenticación de dos pasos) en los servicios que lo permitan (correo, bancos, etc.).
4️⃣ Usa herramientas de seguridad
- Instala antivirus/antimalware confiables para escanear tu sistema tras la eliminación.
- Usa escáner de extensiones (servicios como VirusTotal) para revisar archivos CRX sospechosos.
5️⃣ Evita instalar extensiones desde enlaces directos desconocidos
No instales extensiones solo porque:
- Aparecen en redes sociales.
- Prometen ventajas “milagrosas”.
- Tienen pocos comentarios o están ocultas en la tienda oficial.
📌 Recomendaciones corporativas (si gestionas equipos)
- Bloquea extensiones maliciosas a través de políticas de empresa (Chrome Enterprise).
- Mantén un inventario de extensiones permitidas.
- Haz auditorías periódicas en todos los navegadores de empleados.