Google Chrome domina el mercado de navegadores con más del 60% de participación global, lo que lo convierte en un objetivo prioritario para los ciberdelincuentes. Su popularidad, combinada con la confianza que los usuarios depositan en sus extensiones, ha abierto una puerta peligrosa: la instalación de complementos maliciosos que simulan ser herramientas de seguridad.
En este contexto, ESET Latinoamérica ha identificado una amenaza crítica que afecta a usuarios de Windows a través de Chrome. Se trata de una extensión fraudulenta que roba información bancaria, manipula visualmente sitios web financieros y desvía fondos sin que el usuario lo perciba. Este artículo responde a las preguntas más frecuentes sobre ciberseguridad en Chrome, como: ¿cómo pueden acceder los atacantes a mis datos?, ¿cómo detectar extensiones peligrosas?, y ¿qué medidas de protección son efectivas?
¿Cómo funciona el robo de información en Chrome?
La amenaza detectada por ESET, clasificada como JS/Spy.Banker.CV, es un tipo de malware conocido como infostealer. Su objetivo principal es recolectar datos sensibles del usuario, como credenciales bancarias, información de billeteras virtuales y detalles de pagos. Lo alarmante es su capacidad para operar de forma silenciosa, manipulando el entorno visual del navegador para presentar formularios falsos que imitan a la perfección los originales.
Este malware se propaga principalmente en México mediante correos electrónicos que simulan ser comunicaciones oficiales de bancos reconocidos. Los archivos adjuntos comprimidos contienen la extensión maliciosa, que una vez instalada, se camufla como una herramienta de seguridad legítima.
Manipulación visual: el truco detrás del engaño
Una de las técnicas más sofisticadas que emplea esta extensión es la modificación del DOM (Document Object Model) de las páginas web. Cuando detecta que el usuario accede a un sitio financiero, el malware altera la estructura visual del sitio para insertar formularios falsos. Estos formularios recopilan la información ingresada y la envían directamente a servidores controlados por los atacantes.
Durante el análisis, ESET identificó patrones comunes en sitios bancarios como “CPF”, “CNPJ” y “valor”, que son utilizados para activar la lógica maliciosa. El malware busca estos términos en el contenido del <body> de la página y, al encontrarlos, inyecta código que reemplaza los datos legítimos por los del atacante.
Sustitución de datos: el desvío invisible de fondos
Además de robar información, el malware tiene la capacidad de sustituir datos bancarios y de criptomonedas por los del ciberdelincuente. Esto significa que, al realizar una transferencia o depósito, el usuario podría estar enviando dinero directamente al atacante sin darse cuenta. Esta técnica es especialmente peligrosa en entornos donde se manejan grandes volúmenes de transacciones digitales.
Según Mario Micucci, investigador de seguridad informática de ESET Latinoamérica, “estamos ante un infostealer con capacidades avanzadas para modificar wallets y datos de pago, lo que demuestra que el objetivo principal de los atacantes es obtener beneficios financieros. Esta amenaza trasciende fronteras y se aprovecha de la reputación de instituciones financieras en toda la región”.
Persistencia y evasión: el malware que no se va
Una vez instalada, la extensión maliciosa persiste en el sistema y se ejecuta cada vez que el navegador es utilizado. ESET descubrió que la amenaza opera de forma modular: mientras un componente recolecta datos, otro manipula visualmente el entorno del usuario. Esta sincronización permite una operación más eficiente y difícil de detectar.
Los archivos JavaScript incluidos en la extensión tienen capacidades para exfiltrar información hacia servidores de Comando y Control (C2), lo que permite a los atacantes mantener el control remoto sobre los datos robados. Además, la extensión utiliza técnicas de evasión para evitar ser detectada por soluciones de seguridad tradicionales.
¿Cómo protegerse de extensiones maliciosas en Chrome?
Ante este panorama, es fundamental que los usuarios tomen medidas proactivas para proteger su información. Aquí algunas recomendaciones clave:
- Verifica la fuente de las extensiones: Instala únicamente extensiones desde la Chrome Web Store oficial y revisa los comentarios y calificaciones.
- Revisa las extensiones instaladas: Accede a chrome://extensions y elimina cualquier complemento que no reconozcas o que tenga permisos excesivos.
- Activa la Navegación Segura: Esta función de Chrome alerta sobre sitios peligrosos, extensiones maliciosas y posibles ataques de phishing.
- Mantén el navegador actualizado: Las actualizaciones automáticas incluyen parches de seguridad que protegen contra nuevas amenazas.
- Utiliza gestores de contraseñas seguros: Chrome puede alertarte si tus credenciales han sido comprometidas en una brecha de datos.
- Evita abrir archivos adjuntos sospechosos: Especialmente si provienen de correos que simulan ser de bancos u otras instituciones financieras.
La sofisticación de las amenazas actuales exige una mayor conciencia por parte de los usuarios. Las extensiones maliciosas en Chrome representan un riesgo real, especialmente en contextos financieros. Detectarlas a tiempo y adoptar buenas prácticas de seguridad puede marcar la diferencia entre mantener tus datos protegidos o convertirte en víctima de un ciberataque.
La recomendación de los expertos es clara: verifica cada extensión antes de instalarla, mantén tu navegador actualizado y no subestimes el poder del phishing. En el mundo digital, la prevención es la mejor defensa.