Volver a todas las publicaciones
Publicado el · por Renaud Deraison

Cuando la tienda es la amenaza: 108 extensiones de Chrome maliciosas, un C2, 20 000 instalaciones

Un solo operador colocó 108 extensiones maliciosas en la Chrome Web Store bajo cinco editores falsos, acumuló unas 20 000 instalaciones y lo encaminó todo hacia un único servidor de mando y control. El modelo de revisión no lo detectó. Esto explica por qué un navegador con prioridad de seguridad tiene que tomar una postura más dura.

Una extensión de navegador es un programa que instalas y que puede leer cada página que visitas, leer cada token que guarda tu navegador y hacer cosas en tu nombre. La Chrome Web Store promete revisar esos programas. En abril de 2026, un solo operador publicó 108 de ellos, cosechó unas 20 000 instalaciones y lo encauzó todo por un único servidor. La tienda no lo advirtió.

El 14 de abril, la empresa de seguridad de aplicaciones Socket reveló una campaña coordinada de extensiones maliciosas en la Chrome Web Store. El investigador Kush Pandya encontró 108 extensiones publicadas bajo cinco identidades de editor falsas —Yana Project, GameGen, SideGames, Rodeo Games e InterAlt— todas apuntando a un mismo servidor de mando y control (C2) en 144.126.135[.]238. Entre todas, las extensiones habían sido instaladas unas 20 000 veces. The Hacker News corroboró las cifras el mismo día.

Las extensiones no eran una simple molestia de URL rota ni un poco de fraude publicitario pegado a software real. Eran un kit de herramientas:

  • 54 extensiones robaban la identidad de Google del usuario conectado raspando el token Bearer OAuth2 —la cadena efímera que Chrome envía para identificarte ante los servicios de Google— en el momento en que cargaba la pestaña.
  • 45 extensiones llevaban lo que Socket describe como una puerta trasera universal: abrían URL arbitrarias al arrancar el navegador, según comandos obtenidos del C2. Esa es una primitiva para fraude de clics, descargas drive-by o navegación silenciosa hacia una página de exploit.
  • Otras inyectaban HTML controlado por el atacante en sitios reales, despojaban las cabeceras de seguridad HTTP para que el contenido inyectado pudiera ejecutarse de verdad, secuestraban sesiones de Telegram Web con un reloj de 15 segundos, canalizaban solicitudes de traducción a través del atacante o envolvían páginas de YouTube y TikTok con superposiciones de apuestas.

El código llevaba comentarios en ruso en las rutas de autenticación y robo de sesión. El investigador señala que la identidad del operador es desconocida; la infraestructura estaba alojada en un VPS de Contabo, con subdominios divididos por función (recolección de identidad, ejecución de comandos, monetización, secuestro de sesión).

En el momento en que estalló la noticia, ninguna de las 108 extensiones había sido retirada de la Web Store.

Qué es realmente una extensión, y por qué esto no es solo otra historia de malware.

La mayoría de la gente instala extensiones de navegador como instala tipografías: encuentra una que parece útil, hace clic en el botón azul y se olvida. El diálogo de «permisos» que a veces aparece es un vestigio de tiempos más tempranos y más claros. En el modelo actual de extensiones de Chrome, una fracción muy grande de extensiones reales pide algo cercano a lo siguiente, y el usuario no tiene ninguna forma significativa de decir que no a medias:

Extensión«Cursor Tails»1348 usuariosCada pestaña que abresleer + modificar la páginaCookies + almacenamientopara cualquier sitio que visitesSolicitudes de redinspeccionar + reescribir cabecerasTokens OAuth de Googletu identidad conectadaArranque del navegadorejecutar código en cada inicioUn único clic en Instalar concede todo lo anterior. El navegador no vuelve a preguntar.
Lo que una extensión de navegador puede hacer, en lenguaje llano, en cuanto el usuario ha pulsado Instalar. No es un error ni un abuso: es el modelo. Las extensiones son programas que viven dentro de tu navegador, y el trabajo del navegador es ejecutarlas.

Las extensiones están por encima de la política de mismo origen que mantiene las pestañas aisladas entre sí. Ese es precisamente su propósito: un bloqueador de anuncios no funcionaría si no pudiera leer el anuncio en cada sitio, y un gestor de contraseñas no funcionaría si no pudiera mirar cada formulario de inicio de sesión. El navegador, con toda razón, no distingue en tiempo de ejecución entre «bloqueador de anuncios leyendo la página para ocultar un banner» y «extensión maliciosa leyendo la página para robar tu token de sesión». Es la misma capacidad, concedida por razones distintas.

Lo que hicieron las 108 extensiones de Socket no es, por tanto, algún elusión ingeniosa de la seguridad de Chrome. Es el comportamiento normal y documentado de la plataforma de extensiones, apuntado al servidor de un operador en lugar de al beneficio del usuario.

Cinco editores falsos, un servidor, 20 000 instalaciones.

Lo que importa es la forma de la campaña. Un solo actor, un puñado de cuentas de editor marioneta, un catálogo construido para parecer superficialmente diverso —tragaperras y keno, «potenciadores» de YouTube y TikTok, utilidades de barra lateral de Telegram, herramientas de traducción, decoraciones del cursor—, todas enrutando a la misma IP. Tomadas individualmente, cualquiera de estas extensiones parece basura de baja calidad. Tomadas en conjunto, son una cosecha industrializada.

CINCO EDITORES FALSOSYana ProjectGameGenSideGamesRodeo GamesInterAlt108 EXTENSIONES · 20 000 INSTALACIONES54 raspan OAuth de Google · 45 abren URL al arrancar78 inyectan HTML del atacante · robo de sesión Telegram cada 15 sC2144.126.135.238Socket detectó el patrón. La Web Store no.
108 extensiones, cinco nombres de editor, un único servidor de mando y control. El sistema de revisión aprobó cada cuenta y cada extensión por separado. No hay ninguna capa del proceso actual que mire el patrón.

Cinco editores no son el límite exterior del patrón; son su superficie. Paralelamente a la divulgación de Socket, la firma LayerX Security publicó una ampliación de lo que llaman la campaña GhostPoster, rastreando extensiones maliciosas relacionadas en Chrome, Firefox y Edge, con descargas acumuladas en los cientos de miles y orígenes que se remontan a 2020. La conclusión no es que se haya pillado a una banda concreta. La conclusión es que el modelo de tienda de extensiones —el usuario confía en la tienda, la tienda revisa al enviar, la tienda después confía sobre todo en la identidad del editor— lleva años fallando en silencio, a gran escala.

La respuesta de Bromure: no permitir extensiones en absoluto.

Bromure es un navegador con prioridad de seguridad. Cada pestaña se ejecuta dentro de una VM Linux desechable (máquina virtual: su propia computadora separada, borrada cuando se cierra la ventana) en tu Mac. Dentro de esa VM instalamos Chromium con una política reducida. Dos líneas de esa política importan para esta historia:

  • chrome://extensions está bloqueado.
  • chromewebstore.google.com está bloqueado.

No hay un flujo de «avisar al usuario y dejar que continúe», ni «ajustes avanzados para permitirlo igualmente», ni excepción por modo desarrollador por la que una página de phishing pueda guiarte. El usuario no puede alcanzar la Web Store desde una sesión de Bromure, y aunque ya tuviera el archivo .crx en disco, la página de extensiones no está disponible para cargarlo. La superficie de ataque en la que se apoya la campaña GhostPoster no existe aquí.

Navegador tradicionalchromewebstore.google.comFormula Rushde Rodeo GamesInstalarTeleside Webde GameGenInstalarKeno Plusde SideGamesInstalarCursor Tailsde Yana ProjectInstalarUn clic por extensión.Lectura/escritura total en cada pestaña a partir de ahí.Actualización automática silenciosa y programada.Bromurechromewebstore.google.comBLOQUEADOPOLÍTICA DEL NAVEGADOR"URLBlocklist": ["chrome://extensions","chromewebstore.google.com","chrome.google.com/webstore"]Sin página de instalación.Sin tienda.
La misma tienda, las mismas 108 extensiones, los mismos 20 000 usuarios que las habrían instalado. En un navegador tradicional, «Instalar» es un botón azul. En Bromure, no hay tienda que abrir.

Esto, para que quede claro, es una decisión de diseño deliberada, no un descuido. La postura de Bromure es que cualquier navegador que permita extensiones instalables por el usuario es estructuralmente vulnerable a campañas como esta. No «vulnerable si la tienda se relaja». Estructuralmente vulnerable. La revisión de la tienda es lo único que se interpone entre el usuario y un programa con acceso a toda la página, y «la revisión de la tienda» acaba de fallar públicamente a escala industrial, en una campaña con nombre, con infraestructura de operador con nombre, con 20 000 instalaciones. Pedirle al usuario que juzgue mejor que el equipo revisor de Google no es un modelo de seguridad.

La versión dura de esta postura —la versión de Bromure— es eliminar la capacidad. Nada de extensiones instalables por el usuario. Nada de interruptor avanzado. Nada de «extensiones no listadas, cargadas desde un .crx, para usuarios avanzados». El atacante no puede explotar una capacidad que el navegador no ofrece.

Lo que cuesta y por qué el compromiso es honesto.

Siendo honestos: es una concesión real, y merece nombrarse con claridad.

Sin uBlock Origin

Bromure incluye su propia capa de filtrado de contenido a nivel de VM y de red, pero si usabas uBlock Origin específicamente, no lo tendrás aquí. Puedes leer nuestro artículo aparte sobre cómo Bromure gestiona los anuncios; en resumen, el bloqueo de anuncios sale del navegador y se traslada a la infraestructura que hay debajo.

Sin extensión de 1Password, Bitwarden o LastPass

La extensión de navegador de tu gestor de contraseñas no se instala en Bromure. Los gestores de contraseñas funcionan perfectamente como apps nativas en tu Mac, y la mayoría copian y pegan o escriben automáticamente en el navegador desde fuera sin problema. Es un cambio de flujo de trabajo, no una pérdida de la herramienta.

Sin Grammarly, sin React DevTools, sin monedero Web3

La categoría de «extensiones que añaden una función a tu navegación» y la categoría de «extensiones que guardan las llaves de tu vida digital» desaparecen las dos. Para la mayoría de los usuarios, la primera categoría es una pequeña pérdida. Para desarrolladores o usuarios de cripto, es mayor. Si esa pérdida es un freno absoluto, Bromure no es tu navegador principal, y esa es una respuesta justa.

Lo que obtienes a cambio

108 extensiones maliciosas no pueden aterrizar en tu Mac, porque no existe canal para instalarlas. Cinco editores falsos no pueden engañar a un proceso de revisión que no existe, porque no se te invita a confiar en revisores en primer lugar. La superficie de ataque de esta historia —la central— queda cerrada.

Un matiz merece decirse sin rodeos. Bromure sí carga, dentro de la VM, un pequeño número de extensiones propias: un puente de credenciales para hablar con el gestor de contraseñas de tu Mac, un bloqueador de WebRTC para los casos de fuga de IP sobre los que ya hemos escrito, y un par de ayudantes de instrumentación. Forman parte de la propia arquitectura del navegador, grabadas en la imagen de disco, y no son algo que una sesión en ejecución pueda añadir o reemplazar. No son un resquicio por el que instalar extensiones de usuario; son el navegador siendo el navegador. Llamarlas «extensiones» es nombrar honestamente el mecanismo, no una tienda secreta.

El modelo de revisión es lo que está roto.

Es tentador leer la historia de las 108 extensiones como una historia específicamente sobre Google. No lo es. Según el rastreo más amplio de LayerX, la tienda de complementos de Mozilla y la tienda de Edge de Microsoft han albergado campañas relacionadas durante años, en algunos casos originándose en Edge y extendiéndose después a Chrome. El factor común no es un equipo revisor concreto. Es el modelo: enviar, aprobar, publicar y luego empujar actualizaciones automáticas a los usuarios instalados con supervisión continua mínima. Cualquier programa que vaya a ejecutarse en millones de máquinas bajo ese modelo acabará, tarde o temprano, atrayendo a gente dispuesta a industrializar la brecha.

Este es un navegador más pequeño debido a esa decisión. Ese es el sentido. Un navegador con prioridad de seguridad que sigue diciendo que sí a cada extensión de la Web Store no es un navegador con prioridad de seguridad; es un navegador cualquiera con otro logo. Cuando la tienda es la amenaza, la única respuesta honesta es no aceptar extensiones de la tienda. En nuestra opinión, tu Mac acabará más seguro.

Si quieres lo que hace Bromure, instálalo y pruébalo como predeterminado para la mitad arriesgada de tu navegación: los enlaces que clicaste en chats de grupo, los resultados de búsqueda de los que no estás muy seguro, los adjuntos de los correos de trabajo que siempre parecen abrir «una página». Si el operador de GhostPoster sigue ahí fuera y las próximas 108 extensiones aterrizan mañana, una sesión de Bromure no se enterará.