Si tienes alguna de estas extensiones instalada en el navegador, deberías borrarla cuanto antes: puede robar tus datos

Un equipo de investigadores de la firma de ciberseguridad Koi Security ha destapado una masiva campaña de malware, bautizada como "RedDirection", que ha afectado a más de 2,3 millones de usuarios a través de 18 extensiones aparentemente inofensivas para los navegadores Google Chrome y Microsoft Edge. El método de ataque es especialmente peligroso porque se aprovecha de la confianza que los usuarios depositan en las tiendas oficiales, llegando incluso a promocionar extensiones que contenían código malicioso con la insignia de "verificado".

La investigación comenzó al analizar una popular extensión de selector de color llamada "Color Picker, Eyedropper — Geco colorpick", que a pesar de funcionar perfectamente para lo que prometía, escondía un troyano en su interior. Tirando del hilo, los investigadores descubrieron que formaba parte de una red coordinada de 18 extensiones que, aunque parecían diferentes y de distintos creadores, compartían la misma infraestructura de ataque.

El engaño perfecto: extensiones que funcionaron bien durante años

Lo que hace que esta campaña sea tan retorcida es su método. Los atacantes no crearon extensiones maliciosas desde el principio. En su lugar, publicaron herramientas útiles y funcionales (teclados de emojis, previsión del tiempo, controladores de velocidad de vídeo, etc.) que funcionaron de manera legítima durante meses, e incluso años. De esta forma, consiguieron acumular cientos de miles de instalaciones y cientos de reseñas positivas, ganándose la confianza de los usuarios y de las propias plataformas.

Una vez que la extensión estaba instalada en millones de navegadores, los atacantes lanzaban una actualización automática y silenciosa que introducía el código malicioso. Sin que el usuario hiciera nada, sin ningún tipo de phishing o ingeniería social, su extensión de confianza se convertía en un software espía.

¿Qué hacen estas extensiones y cómo pueden robarte los datos?

El malware implementa un sofisticado sistema de secuestro del navegador (browser hijacking). Cada vez que navegas a una nueva página, la extensión captura la dirección URL y la envía a un servidor remoto controlado por los atacantes. Desde ese servidor, los ciberdelincuentes pueden dar la orden de redirigir tu navegador a otra página sin que te des cuenta.

Los riesgos de esto son enormes. Por ejemplo, podrías intentar entrar en la web de tu banco, y la extensión te redirigiría a una réplica exacta pero falsa, donde, al introducir tus credenciales, se las estarías entregando directamente a los ladrones. O podrían redirigirte a una página que te pida descargar una "actualización crítica" de un programa legítimo, que en realidad es otro tipo de malware más destructivo.

La lista de extensiones maliciosas que debes borrar ya

Los investigadores han publicado la lista completa de las 18 extensiones afectadas, que se habían descargado cerca de 2,3 millones de veces. Si tienes instalada alguna de ellas, la recomendación es eliminarla de inmediato.

Para Google Chrome:

• Emoji keyboard online

• Free Weather Forecast

• Video Speed Controller — Video manager

• Unlock Discord — VPN Proxy

• Dark Theme — Dark Reader for Chrome

• Volume Max — Ultimate Sound Booster

• Unblock TikTok — One-Click Proxy

• Unlock YouTube VPN

• Color Picker, Eyedropper — Geco colorpick

• Weather

Para Microsoft Edge:

• Unlock TikTok

• Volume Booster — Increase your sound

• Web Sound Equalizer

• Header Value

• Flash Player — games emulator

• Youtube Unblocked

• SearchGPT — ChatGPT for Search Engine

• Unlock Discord

Después de eliminar las extensiones, se recomienda limpiar los datos de navegación y realizar un escaneo completo de malware en tu ordenador para asegurarte de que no haya infecciones adicionales, además de vigilar tus cuentas por si detectas alguna actividad sospechosa.