Durante mĆ”s de siete aƱos, una red de extensiones maliciosas logrĆ³ campar a sus anchas en navegadores como Chrome y Edge, afectando tambiĆ©n a otros como Firefox y Opera sin levantar sospechas en millones de usuarios. Lo que parecĆa ser un ecosistema relativamente seguro en las tiendas oficiales de complementos se ha destapado ahora como uno de los incidentes de seguridad mĆ”s prolongados y masivos de los Ćŗltimos tiempos.
La investigaciĆ³n, revelada recientemente por la firma de ciberseguridad Koi.ai, detalla cĆ³mo un grupo organizado, bautizado como DarkSpectre, consiguiĆ³ introducir y mantener activo un entramado de alrededor de 300 extensiones fraudulentas. Estas herramientas, instaladas por unos 8,8 millones de usuarios en todo el mundo, estuvieron activas desde 2018 hasta finales de 2025, robando datos, espiando la actividad en lĆnea y explotando la confianza de las tiendas oficiales.
Un ataque silencioso en Chrome, Edge y otros navegadores
El nĆŗcleo del ataque se apoyĆ³ en extensiones presentadas como herramientas aparentemente Ćŗtiles: bloqueadores de anuncios, utilidades de productividad, traductores o complementos para personalizar el navegador. Muchas de ellas estaban disponibles en catĆ”logos oficiales de Google Chrome, Microsoft Edge, Mozilla Firefox y Opera, lo que dio a los usuarios una sensaciĆ³n de seguridad que, con el tiempo, se demostrĆ³ infundada.
SegĆŗn los datos hechos pĆŗblicos, DarkSpectre fue perfeccionando sus mĆ©todos desde 2018, de forma que las extensiones maliciosas lograban pasar los filtros automatizados y las revisiones periĆ³dicas. La clave estuvo en que buena parte del cĆ³digo peligroso se activaba solo tras alcanzar un volumen relevante de instalaciones o mediante actualizaciones posteriores que modificaban el comportamiento original del complemento.
En la prĆ”ctica, esto significaba que una extensiĆ³n podĆa llegar a las tiendas como una herramienta legĆtima, acumular descargas y valoraciones, y solo despuĆ©s, mediante una actualizaciĆ³n silenciosa, incorporar el componente malicioso. El ataque consiguiĆ³ aprovechar asĆ uno de los puntos dĆ©biles del modelo de confianza en los repositorios oficiales, donde se tiende a asumir que las actualizaciones son mejoras rutinarias.
Koi.ai subraya que la mayorĆa de las vĆctimas utilizaron navegadores basados en Chromium, especialmente Chrome y Edge, por su enorme cuota de mercado en Europa y el resto del mundo. No obstante, la campaƱa tambiĆ©n alcanzĆ³ a usuarios de Firefox y Opera, lo que evidencia que el objetivo no era un Ćŗnico navegador, sino el ecosistema de extensiones al completo.
MƩtodos de engaƱo: reseƱas falsas y actualizaciones encubiertas
Para escalar el alcance del ataque, DarkSpectre recurriĆ³ a tĆ©cnicas de reputaciĆ³n artificial. Muchas de las extensiones afectadas aparecĆan en las tiendas con puntuaciones elevadas y reseƱas positivas generadas de forma automatizada o coordinada, lo que las colocaba entre las recomendaciones destacadas y aumentaba su visibilidad de cara a nuevos usuarios.
AdemĆ”s, el grupo desplegĆ³ un sistema de actualizaciones encubiertas que cambiaban gradualmente la funcionalidad del complemento. Durante los primeros meses de vida de una extensiĆ³n, el comportamiento podĆa ser casi irreprochable, limitĆ”ndose a la funciĆ³n prometida. Una vez conseguida una base sĆ³lida de instalaciones, se aƱadĆan mĆ³dulos ocultos orientados a robar datos, manipular el trĆ”fico web o insertar publicidad invasiva sin el consentimiento del usuario.
En algunos casos documentados, estas extensiones funcionaban como autĆ©nticos ācaballos de Troyaā en el navegador. Al menos una treintena de complementos populares āentre ellos falsos bloqueadores de anuncios y herramientas de personalizaciĆ³nā incluĆan cĆ³digo preparado para capturar credenciales bancarias, contraseƱas de redes sociales y datos de autocompletado. Toda esta informaciĆ³n se enviaba en tiempo real a servidores controlados por los atacantes.
Junto al robo directo de datos, se detectĆ³ tambiĆ©n un componente orientado a la inyecciĆ³n de publicidad y la redirecciĆ³n a pĆ”ginas de phishing. Es decir, el usuario podĆa ver cĆ³mo sus bĆŗsquedas se desviaban hacia webs fraudulentas o cĆ³mo aparecĆan anuncios de procedencia dudosa, generando ingresos para la red criminal y abriendo la puerta a estafas adicionales.
Este modelo hĆbrido āmezcla de fraude econĆ³mico, robo de informaciĆ³n y manipulaciĆ³n del trĆ”ficoā permitiĆ³ que el ataque fuera rentable mientras seguĆa pasando desapercibido para la mayorĆa de sistemas de detecciĆ³n y, sobre todo, para los propios afectados.
Tres campaƱas principales: ShadyPanda, GhostPoster y Zoom Stealer
La operaciĆ³n orquestada por DarkSpectre se dividiĆ³ en tres grandes lĆneas de actuaciĆ³n, cada una con objetivos y mĆ©todos distintos, pero con un denominador comĆŗn: aprovechar la confianza de los usuarios en las tiendas de extensiones y exprimir los permisos concedidos al navegador.
La primera gran fase, conocida como ShadyPanda, se centrĆ³ en extensiones que simulaban ser utilidades inofensivas. MĆ”s de un centenar de estos complementos llegaron a infectar a unos 5,6 millones de usuarios, sobre todo en navegadores basados en Chromium. Mientras mantuvieron un perfil bajo, ofrecĆan las funciones prometidas, pero una vez alcanzado un volumen crĆtico de instalaciones, se activaron capacidades ocultas para:
- Cometer fraudes en compras en lĆnea, modificando o interceptando formularios y pasarelas de pago.
- Robar datos sensibles, desde credenciales de acceso hasta informaciĆ³n de tarjetas y direcciones de envĆo.
- Manipular enlaces legĆtimos en grandes portales de comercio electrĆ³nico, redirigiendo al usuario a sitios clonados o modificando el destino final de ciertas transacciones.
La segunda campaƱa, bautizada como GhostPoster, afectĆ³ a mĆ”s de 1 millĆ³n de usuarios, con especial incidencia en Firefox y Opera. Su rasgo mĆ”s llamativo fue el uso de esteganografĆa, una tĆ©cnica que permite ocultar cĆ³digo malicioso dentro de imĆ”genes aparentemente normales. De esta manera, las extensiones podĆan descargar y ejecutar instrucciones remotas o nuevos mĆ³dulos de malware sin levantar sospechas en los sistemas de anĆ”lisis tradicionales.
En el marco de GhostPoster se descubriĆ³ un caso especialmente preocupante: una versiĆ³n manipulada de la popular extensiĆ³n de āGoogle Translateā para Opera. Esta variante incluĆa un iframe invisible que instalaba una backdoor, desactivaba mecanismos antifraude del navegador y enviaba informaciĆ³n a servidores asociados a DarkSpectre. El usuario, mientras tanto, seguĆa viendo el traductor funcionando con aparente normalidad.
La tercera y Ćŗltima gran ofensiva se conociĆ³ como Zoom Stealer y se desplegĆ³ a finales de 2025, cuando el uso de herramientas de videoconferencia ya estaba plenamente asentado en el entorno laboral europeo. Esta campaƱa utilizĆ³ 18 extensiones especĆficas para plataformas como Zoom, Microsoft Teams y Google Meet, llegando a comprometer a unos 2,2 millones de usuarios, entre ellos empleados de empresas y administraciones pĆŗblicas.
Zoom Stealer estaba orientada al espionaje corporativo y a la obtenciĆ³n de inteligencia de negocio. Las extensiones lograban acceso a reuniones confidenciales, recopilaban enlaces de invitaciĆ³n, credenciales de acceso e incluso datos asociados a calendarios corporativos. Con ello, los atacantes pudieron elaborar bases de datos con informaciĆ³n profesional, documentos compartidos y detalles estratĆ©gicos de alto valor econĆ³mico.
Impacto en usuarios y empresas europeas
El efecto acumulado de estas campaƱas fue notable. Millones de usuarios se vieron sometidos a vigilancia constante, robo de datos personales y exposiciĆ³n a estafas financieras, en muchos casos sin ser conscientes del origen del problema. Recibir cargos sospechosos, notar cambios sutiles en las bĆŗsquedas o sufrir redirecciones extraƱas podĆan atribuirse a fallos puntuales, cuando en realidad respondĆan a la actividad de estas extensiones.
En el Ć”mbito corporativo, especialmente en EspaƱa y el resto de Europa, las consecuencias fueron aĆŗn mĆ”s delicadas. La combinaciĆ³n de ShadyPanda y Zoom Stealer abriĆ³ puertas tanto al fraude directo como al espionaje empresarial: acceso a reuniones estratĆ©gicas, filtraciĆ³n de documentos compartidos por pantalla, capturas de chats internos y recopilaciĆ³n de informaciĆ³n sobre proyectos, clientes y proveedores.
Empresas con sedes en la UniĆ³n Europea, sujetas a regulaciones como el Reglamento General de ProtecciĆ³n de Datos (RGPD), se enfrentan ahora al reto de evaluar el alcance real de la fuga de informaciĆ³n. No se trata solo de datos personales de empleados y clientes, sino tambiĆ©n de secretos comerciales, hojas de ruta de productos y acuerdos confidenciales que pudieron quedar expuestos durante aƱos.
La propia naturaleza de las extensiones hace que el impacto sea difĆcil de medir: muchas se instalaban en equipos de teletrabajo, portĆ”tiles personales y dispositivos mĆ³viles utilizados para conectarse a redes corporativas. Esto difumina las fronteras entre lo domĆ©stico y lo profesional, complicando tanto la investigaciĆ³n forense como la respuesta organizativa.
En paralelo, el ataque ha reavivado el debate en Europa sobre la responsabilidad de los grandes proveedores de navegadores y tiendas de aplicaciones a la hora de filtrar y supervisar contenidos. Aunque existen procesos de revisiĆ³n, el caso DarkSpectre evidencia que los sistemas actuales no han sido suficientes para detener una operaciĆ³n de largo recorrido tan bien planificada.
CĆ³mo se mantuvo oculto durante tantos aƱos
Uno de los aspectos que mĆ”s llama la atenciĆ³n en este ciberataque es su duraciĆ³n inusualmente prolongada. No estamos ante un incidente puntual, sino ante una operaciĆ³n que evolucionĆ³ durante mĆ”s de siete aƱos, adaptĆ”ndose a cambios en los navegadores, polĆticas de las tiendas y herramientas de anĆ”lisis de seguridad.
DarkSpectre empleĆ³ una estructura modular, con infraestructuras de mando y control distribuidas y dominios que se iban rotando para dificultar su seguimiento. En muchos casos, el cĆ³digo malicioso se activaba solo bajo determinadas condiciones āpor ejemplo, al visitar ciertos sitios de comercio electrĆ³nico, iniciar sesiĆ³n en servicios bancarios o unirse a una videollamadaā, reduciendo asĆ el ruido que podĆa llamar la atenciĆ³n de herramientas de seguridad.
Otro elemento clave fue el uso de tĆ©cnicas de ofuscaciĆ³n y carga diferida de componentes. En lugar de incluir todo el malware en el propio paquete de la extensiĆ³n, parte de la lĆ³gica daƱina se descargaba mĆ”s tarde desde servidores remotos o se escondĆa en recursos aparentemente inocuos, como imĆ”genes. Esto hacĆa que los anĆ”lisis estĆ”ticos ālos que se realizan sobre el archivo antes de su instalaciĆ³nā fueran menos eficaces.
AdemĆ”s, la operaciĆ³n se beneficiĆ³ de la fragmentaciĆ³n del ecosistema de seguridad. Mientras algunas extensiones podĆan ser detectadas o reportadas en un navegador o regiĆ³n concreta, otras variantes seguĆan activas en diferentes tiendas o bajo nombres ligeramente modificados. Esta capacidad para reinventarse con pequeƱos cambios ayudĆ³ a que la campaƱa se mantuviera viva pese a las bajas puntuales.
Los investigadores seƱalan tambiĆ©n la falta de conciencia generalizada sobre el riesgo real de las extensiones. Muchos usuarios conceden permisos amplios sin revisar quĆ© acceso estĆ”n otorgando: lectura y modificaciĆ³n de todos los datos en las pĆ”ginas visitadas, acceso a pestaƱas, historial de navegaciĆ³n o integraciĆ³n con otros servicios. Estas autorizaciones, en manos de grupos como DarkSpectre, se convierten en la puerta de entrada ideal para la exfiltraciĆ³n masiva de informaciĆ³n.
Recomendaciones para usuarios de Chrome y Edge
A raĆz de la publicaciĆ³n de la investigaciĆ³n, expertos en ciberseguridad han insistido en la necesidad de que usuarios y organizaciones revisen a fondo las extensiones instaladas en sus navegadores, especialmente en Chrome y Edge, donde se ha concentrado una parte sustancial del ataque.
Como primer paso, se aconseja realizar una auditorĆa manual de todos los complementos presentes en el navegador. Conviene eliminar cualquier extensiĆ³n que no se reconozca, que no se utilice de forma habitual o cuya procedencia no sea claramente identificable. En entornos corporativos, lo recomendable es establecer una lista blanca de extensiones permitidas y bloquear la instalaciĆ³n de nuevas herramientas sin supervisiĆ³n del departamento de TI.
TambiĆ©n es esencial asegurarse de que el navegador estĆ” actualizado a la versiĆ³n mĆ”s reciente. Los principales proveedores han ido incorporando parches y mejoras especĆficas para bloquear cadenas de ataque como la utilizada por DarkSpectre, por lo que seguir utilizando versiones desfasadas incrementa innecesariamente el riesgo.
En el supuesto de haber instalado alguna extensiĆ³n sospechosa en los Ćŗltimos aƱos, es prudente proceder a un cambio preventivo de contraseƱas, empezando por cuentas de correo, bancos, redes sociales y servicios crĆticos. Siempre que sea posible, se recomienda activar la autenticaciĆ³n de dos factores (2FA), que aƱade una capa extra de protecciĆ³n incluso si las credenciales se han visto comprometidas.
Por Ćŗltimo, tanto a nivel domĆ©stico como profesional, conviene reforzar las polĆticas de formaciĆ³n y concienciaciĆ³n en seguridad digital. Entender que no todas las extensiones con buenas valoraciones son fiables, revisar con calma los permisos solicitados y limitar al mĆ”ximo la instalaciĆ³n de herramientas prescindibles puede marcar la diferencia entre mantener el control de los datos o exponerlos a operaciones como la de DarkSpectre.
Todo lo descubierto en torno a este ciberataque prolongado deja claro que, aunque las tiendas oficiales de Chrome, Edge y otros navegadores siguen siendo el canal mĆ”s razonable para instalar extensiones, la confianza no puede ser ciega ni automĆ”tica. La combinaciĆ³n de campaƱas como ShadyPanda, GhostPoster y Zoom Stealer demuestra hasta quĆ© punto un complemento aparentemente inocente puede transformarse en un vector de espionaje, fraude y filtraciĆ³n masiva de informaciĆ³n, afectando tanto a usuarios particulares como a empresas e instituciones en toda Europa.