26 de enero de 2025

Durante la temporada navideña, una ola de ataques de phishing comprometió a varios desarrolladores de extensiones para el navegador Google Chrome, con consecuencias alarmantes. Sin saberlo, los desarrolladores otorgaron acceso a los atacantes al código fuente de sus aplicaciones en la Chrome Web Store, lo que permitió a los ciberdelincuentes lanzar nuevas versiones maliciosas de estas extensiones. Como resultado, los datos confidenciales de usuarios de alrededor de 2,6 millones de dispositivos estuvieron en peligro.

Según un análisis realizado por la consultora de seguridad informática Anexo, al menos 29 extensiones de Chrome fueron afectadas por este ataque, aunque algunos medios, como Ars Technica, reportan que el número asciende a 33. Es posible que estas cifras sigan aumentando, ya que la campaña de phishing, que comenzó a principios de 2023, aún está siendo investigada. Mientras los expertos en seguridad analizaban un ataque dirigido contra el desarrollador de la extensión «Cyberhaven», se descubrió que otras extensiones también habían sido comprometidas.

Acceso a datos sensibles

Los atacantes parecían estar especialmente interesados en obtener acceso a los datos de inicio de sesión de cuentas de redes sociales y aplicaciones de inteligencia artificial. En el caso de Cyberhaven, se descubrió que los atacantes intentaron acceder a las credenciales de usuarios de ChatGPT, aunque aparentemente no tuvieron éxito. A pesar de ello, la consultora Anexo recomienda que los usuarios afectados cambien sus contraseñas de Facebook y verifiquen si la versión maliciosa de la extensión aún está instalada, actualizándola si es necesario.

En el incidente relacionado con Cyberhaven, un empleado de la empresa cayó en un ataque de phishing en el que los atacantes se hicieron pasar por representantes de Google. Como resultado, sin saberlo, permitió que los ciberdelincuentes subieran una nueva versión maliciosa de la extensión a la Chrome Web Store. Cyberhaven, una extensión diseñada para prevenir la filtración accidental de información sensible en correos electrónicos o sitios web, fue utilizada para propagar el ataque.

Una descarga automática peligrosa

La versión maliciosa de Cyberhaven, identificada como la versión 24.10.4, estuvo disponible en la Chrome Web Store desde la madrugada del 25 de diciembre hasta la mañana del 26 de diciembre. Cualquier usuario que tuviera instalada la extensión y navegara por Chrome durante ese período descargó automáticamente la versión comprometida. Tras descubrirse el incidente, el equipo de Cyberhaven actuó rápidamente y lanzó una versión actualizada, la 24.10.5, seguida poco después por la versión 24.10.6.

Sin embargo, este ataque no se limitó a Cyberhaven. La investigación de Anexo reveló que al menos otras 28 extensiones de Chrome también fueron comprometidas, y sus versiones maliciosas seguían en circulación en algunos casos. Aunque algunas de estas extensiones se actualizaron a versiones seguras o fueron eliminadas de la Chrome Web Store, otras todavía están disponibles con su versión maliciosa sin cambios.

¿Qué deben hacer los usuarios afectados?

Los usuarios que tengan instaladas las extensiones afectadas deben actuar con urgencia. Se recomienda comprobar si están utilizando una versión maliciosa y, en caso afirmativo, actualizar a una versión segura o eliminar la extensión completamente. Además, es crucial cambiar las contraseñas y revisar otros datos de acceso que puedan haber sido comprometidos durante el ataque.

Este incidente subraya la importancia de estar alerta ante posibles intentos de phishing y de mantener las extensiones del navegador actualizadas para proteger la seguridad personal en línea.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *