De útiles a peligrosas: cómo se fraguó la amenaza
El engaño parte de extensiones que inicialmente funcionaban como se esperaba, proporcionando servicios útiles que iban desde seleccionar colores en pantalla hasta ofrecer pronósticos del tiempo o actuar como potenciadores de volumen. Estas extensiones acumulaban valoraciones positivas y estaban presentes en las listas destacadas de las tiendas de Chrome y Edge, lo que generaba confianza entre los usuarios.
La campaña, conocida como RedDirection, se basó en liberar una actualización que incluía código malicioso, sin alterar la funcionalidad principal de las extensiones. De esta forma, las extensiones comenzaron a operar en segundo plano, monitoreando la actividad de navegación y enviando datos a servidores externos sin que el usuario notara ningún cambio.
Extensiones implicadas y alcance de la infección
Las investigaciones realizadas han identificado 18 extensiones para Chrome y Edge involucradas en esta campaña, sumando más de 2,3 millones de descargas a nivel mundial. Algunas de las extensiones más reconocidas afectadas por esta campaña son:
- Color Picker, Eyedropper — Geco colorpick
- Emoji keyboard online — copy&paste your emoji
- Free Weather Forecast
- Video Speed Controller — Video manager
- Unlock Discord — VPN Proxy to Unblock Discord Anywhere
- Dark Theme — Dark Reader for Chrome
- Volume Max — Ultimate Sound Booster
- Unblock TikTok — Seamless Access with One-Click Proxy
- Unlock YouTube VPN
- Weather
El ataque aprovechó la API chrome.webRequest, una interfaz legítima utilizada para ciertas funciones de red, que el código malicioso utilizaba para espiar cada pestaña nueva y las solicitudes de red del usuario. Además, las instrucciones de la infraestructura de comando de los atacantes permitían que la extensión redirigiera al usuario a sitios fraudulentos, como imitaciones de plataformas bancarias, para robar credenciales o instalar malware adicional.
Por qué era tan difícil detectarlas
Un aspecto especialmente inquietante es que estas extensiones no mostraban comportamientos maliciosos en su lanzamiento original. Funcionaron correctamente durante un tiempo prolongado, acumulando reseñas positivas y reconocimiento en las tiendas oficiales. El cambio hacia la actividad maliciosa se produjo con una actualización silenciosa que se aplicó automáticamente, sin alertar al usuario.
Ni siquiera los mecanismos de seguridad de Chrome y Edge, como la verificación de reseñas, lograron prevenir este ataque. Algunas extensiones comprometidas continuaron marcadas como seguras o destacadas, lo que incrementó su alcance y la confianza de los usuarios.
Consecuencias: secuestro del navegador y robo de datos
Lo más alarmante de esta campaña es su capacidad para espiar en tiempo real la actividad del usuario, registrando las URL visitadas y, si así lo dictaban los atacantes, redirigir al usuario a sitios falsos para robar información personal. Esta técnica de secuestro convierte a la extensión en una herramienta de espionaje sofisticada, tipo man-in-the-middle, que no deja rastro visible.
Por ejemplo, un usuario que intenta acceder a su banco en línea podría ser redirigido a una página idéntica a la real, donde al ingresar sus datos, estos serían capturados por los atacantes.
Qué hacer si tienes alguna de estas extensiones
La recomendación principal es eliminar de inmediato cualquier extensión listada por Koi Security en Chrome y Microsoft Edge. Además, es importante revisar las configuraciones de seguridad y las extensiones instaladas en el navegador para protegerse de futuras amenazas.
- Borrar los datos de navegación para eliminar rastros y posibles identificadores generados por el malware.
- Ejecutar un análisis a fondo del equipo con un antivirus fiable para descartar infecciones adicionales.
- Revisar la actividad en cuentas bancarias, emails y servicios sensibles ante posibles accesos no autorizados.
- Extremar la cautela al instalar nuevas extensiones, verificando siempre el origen, los permisos solicitados y evitando aquellas con nombres genéricos o promesas milagrosas.
Es fundamental comprobar periódicamente la lista de complementos instalados y mantener una actitud de desconfianza saludable incluso hacia extensiones con buena reputación, ya que la amenaza puede aparecer en cualquier actualización y pasar desapercibida durante meses.
Este caso de la campaña RedDirection ha puesto de manifiesto la vulnerabilidad de los sistemas de validación en las tiendas de extensiones y la importancia de revisar continuamente lo que tenemos instalado en nuestros navegadores. La única forma de protegerse de forma efectiva en un entorno cada vez más sofisticado es la precaución, el seguimiento de las alertas de la comunidad de ciberseguridad y mantenerse informado acerca de las últimas amenazas.
No se encontró ninguna palabra clave en este post.
Jul 12 2025
Alarma por una campaña de extensiones maliciosas: millones de usuarios de Chrome y Edge expuestos
De útiles a peligrosas: cómo se fraguó la amenaza
El engaño parte de extensiones que inicialmente funcionaban como se esperaba, proporcionando servicios útiles que iban desde seleccionar colores en pantalla hasta ofrecer pronósticos del tiempo o actuar como potenciadores de volumen. Estas extensiones acumulaban valoraciones positivas y estaban presentes en las listas destacadas de las tiendas de Chrome y Edge, lo que generaba confianza entre los usuarios.
La campaña, conocida como RedDirection, se basó en liberar una actualización que incluía código malicioso, sin alterar la funcionalidad principal de las extensiones. De esta forma, las extensiones comenzaron a operar en segundo plano, monitoreando la actividad de navegación y enviando datos a servidores externos sin que el usuario notara ningún cambio.
Extensiones implicadas y alcance de la infección
Las investigaciones realizadas han identificado 18 extensiones para Chrome y Edge involucradas en esta campaña, sumando más de 2,3 millones de descargas a nivel mundial. Algunas de las extensiones más reconocidas afectadas por esta campaña son:
El ataque aprovechó la API chrome.webRequest, una interfaz legítima utilizada para ciertas funciones de red, que el código malicioso utilizaba para espiar cada pestaña nueva y las solicitudes de red del usuario. Además, las instrucciones de la infraestructura de comando de los atacantes permitían que la extensión redirigiera al usuario a sitios fraudulentos, como imitaciones de plataformas bancarias, para robar credenciales o instalar malware adicional.
Por qué era tan difícil detectarlas
Un aspecto especialmente inquietante es que estas extensiones no mostraban comportamientos maliciosos en su lanzamiento original. Funcionaron correctamente durante un tiempo prolongado, acumulando reseñas positivas y reconocimiento en las tiendas oficiales. El cambio hacia la actividad maliciosa se produjo con una actualización silenciosa que se aplicó automáticamente, sin alertar al usuario.
Ni siquiera los mecanismos de seguridad de Chrome y Edge, como la verificación de reseñas, lograron prevenir este ataque. Algunas extensiones comprometidas continuaron marcadas como seguras o destacadas, lo que incrementó su alcance y la confianza de los usuarios.
Consecuencias: secuestro del navegador y robo de datos
Lo más alarmante de esta campaña es su capacidad para espiar en tiempo real la actividad del usuario, registrando las URL visitadas y, si así lo dictaban los atacantes, redirigir al usuario a sitios falsos para robar información personal. Esta técnica de secuestro convierte a la extensión en una herramienta de espionaje sofisticada, tipo man-in-the-middle, que no deja rastro visible.
Por ejemplo, un usuario que intenta acceder a su banco en línea podría ser redirigido a una página idéntica a la real, donde al ingresar sus datos, estos serían capturados por los atacantes.
Qué hacer si tienes alguna de estas extensiones
La recomendación principal es eliminar de inmediato cualquier extensión listada por Koi Security en Chrome y Microsoft Edge. Además, es importante revisar las configuraciones de seguridad y las extensiones instaladas en el navegador para protegerse de futuras amenazas.
Es fundamental comprobar periódicamente la lista de complementos instalados y mantener una actitud de desconfianza saludable incluso hacia extensiones con buena reputación, ya que la amenaza puede aparecer en cualquier actualización y pasar desapercibida durante meses.
Este caso de la campaña RedDirection ha puesto de manifiesto la vulnerabilidad de los sistemas de validación en las tiendas de extensiones y la importancia de revisar continuamente lo que tenemos instalado en nuestros navegadores. La única forma de protegerse de forma efectiva en un entorno cada vez más sofisticado es la precaución, el seguimiento de las alertas de la comunidad de ciberseguridad y mantenerse informado acerca de las últimas amenazas.
By Roger Casadejús Pérez • Blog 0