Incluso en plataformas estandarizadas podemos encontrarnos severos problemas de seguridad. Siempre que descarguemos extensiones de navegadores, tenemos que saber qué desarrollador las ha creado para evitar así software malicioso que pueda hacer estragos en nuestro PC. Google se ha visto envuelta, otra vez, en un caos similar.

Google ha eliminado más de 500 extensiones maliciosas en la Chrome Web Store, después de que una investigación realizada por el investigador de seguridad Jamila Kaya y el equipo de Cisco Duo Security descubrieran que se habían robado datos de usuarios a través de estas extensiones.

Estas inyectaban anuncios maliciosos (adware) dentro de las sesiones de navegación de los usuarios, para luego acabar en enlaces de afiliados y así conseguir ingresos. El enlace de destino, además, sería un enlace de descarga de malware o una página de phishing para robar datos a sus usuarios.

Chrome elimina extensiones que robaban datos

Según un informe de Duo Security, estas extensiones fueron parte de una operación basada en malware extremadamente grande, que ha estado activa en la web de Chrome durante al menos 2 años. El grupo que creó este plan, según cree el equipo de Cisco, podría venir de mucho antes, del año 2020. La investigadora aseguró a ZDNet en una entrevista que descubrió estas extensiones durante una búsqueda de amenazas rutinarias.

Descubrió que se realizaban visitas a sitios maliciosos que tenían un patrón de URL común. Usando CRXcavator, un servicio para analizar extensiones de Chrome, Kaya descubrió en un inicio un grupo de extensiones que se ejecutaban sobre una base de código casi idéntica, usando por el camino varios nombres genéricos. No daban demasiados datos acerca de su uso. "Individualmente identifiqué más de una docena de extensiones que formaban un patrón. [...] Pudimos identificarlos rápidamente con la base de datos de CRXcavator y descubrir toda la red.

El impacto de esta red de extensiones maliciosas es bastante grande; Duo cuantifica un total de 1.7 millones de instalaciones de estas extensiones por parte de los usuarios. Google, según explica la misma Kaya, también accedió a colaborar y ha eliminado incluso más extensiones de las que Kaya descubrió, eliminando por el camino más de 500. Sin datos oficiales de descargas, se estima que las instalaciones de estas extensiones se cuantificaron por millones.

No es algo nuevo

Estas redes no son en absoluto algo nuevo; son grupos organizados que generalmente se dedican a inyectar adware dentro de las sesiones de navegación de los usuarios. Además de los links afiliados ya mencionados, estos datos consiguen que los creadores de estas extensiones obtengan ingresos al mostrar anuncios. Además, se camuflan; son muy poco intrusivas para así evitar que el usuariio las detecte.

La verdadera sorpresa en este caso fue el uso de redireccionamientos para secuestrar a los usuarios lejos de sus destinos web. Mientras se camuflaban, en un momento dado estas extensiones se lanzaban al ataque y sacaban al usuario de su navegación habitual, dejando atrás todo intento de camuflaje. Sorprendentemente, ningún usuario entrevistado por Kaya o por el equipo de Cisco "informó que el asunto de los redireccionamientos era molesto".

Además de borrar las extensiones, Google desactivó todas estas extensiones de los navegadores de los usuarios marcándolas como maliciosas. Así los usuarios serían conscientes de qué llevan en sus navegadores y así podrían eliminarlas en vez de reactivarlas.