Más de 100 extensiones de Chrome han estado vinculadas a una campaña extensa que recopiló datos de identidad, abrió comportamientos tipo backdoor de navegador y, en un caso, extrajo datos en tiempo real de sesiones web de Telegram. Los investigadores vincularon 108 complementos a la misma red de control, con unas 20.000 instalaciones registradas en la Chrome Web Store cuando se publicaron los resultados.
Lo que hace que este golpe sea más fuerte es el alcance. Las extensiones aparecieron como herramientas de Telegram, juegos de tragaperras y Keno, utilidades de traducción, ayudas para YouTube y TikTok, y herramientas básicas de página, lo que ayudó a que la operación se integrara con el tipo de cosas que la gente instala sin mucho pensamiento.
Consulta la lista completa aquí.
Los investigadores dijeron que las prórrogas seguían activas cuando se publicó el informe y que ya se habían presentado solicitudes de retirada. Eso le da a esta historia una ventaja muy práctica para los usuarios de Chrome que no han revisado sus complementos en un tiempo.
El peor comportamiento no era del todo igual
El daño no se limitaba a un solo truco. La investigación reveló que 54 extensiones recopilaban los datos de identidad de la cuenta de Google después de que un usuario pulsara un botón de inicio, mientras que una extensión centrada en Telegram exfiltraba los datos activos de las sesiones web de Telegram cada 15 segundos. Otros 45 incluían una rutina que podía abrir URLs arbitrarias cada vez que Chrome se iniciaba, incluso si el usuario nunca abría la extensión ese día.
Otros complementos eliminaron las protecciones de seguridad de sitios como Telegram, YouTube y TikTok antes de insertar superposiciones, anuncios o scripts en las páginas. Una herramienta de traducción también enrutaba el texto enviado a través del servidor del operador, convirtiendo un simple asistente en un riesgo de vigilancia.
Por qué esto debería preocupar a los usuarios habituales de Chrome
El problema más grande es lo normal que parecía el cebo. No eran solo herramientas poco conocidas para usuarios avanzados. La lista incluía juegos, ayudantes para el navegador, clientes en la barra lateral y complementos de traducción, exactamente el tipo de extras que la gente coge porque la página de la tienda parece pulida y la función parece útil.
Las extensiones también tienden a desvanecerse en segundo plano una vez instaladas. En este caso, los investigadores rastrearon la actividad de esa mezcla de herramientas hasta la misma infraestructura backend, que convirtió un montón aleatorio de complementos en una sola operación con varias formas de recopilar datos o modificar la experiencia de navegación.
Revisa tus extensiones ahora
El siguiente paso más inteligente es auditar lo que está instalado en Chrome, especialmente cualquier cosa relacionada con Telegram, juegos ligeros, traducción o utilidades de barra lateral que pidan acceso a iniciar sesión sin una razón clara. La investigación enumera 108 extensiones por nombre e identificación, y recomienda eliminar cualquier coincidencia inmediatamente.
El caso de mayor riesgo parece ser la extensión de Telegram, que filtró repetidamente los datos de las sesiones web. Cualquiera que lo haya utilizado mientras estaba conectado a Telegram Web debe terminar otras sesiones de Telegram desde la aplicación móvil, y los usuarios que hayan iniciado sesión en alguna de las extensiones vinculadas a Google deben revisar el acceso a la cuenta y revocar cualquier cosa desconocida.
