Una campaña de malware operada durante años convirtió extensiones aparentemente seguras de Chrome y Microsoft Edge en herramientas de espionaje capaces de recopilar enormes cantidades de información personal sin que los usuarios lo notaran. El informe, elaborado por Koi Security, identifica la operación como ShadyPanda, un esquema que afectó a 4.3 millones de personas mediante actualizaciones silenciosas que añadieron código malicioso a extensiones previamente legítimas.

Las extensiones comenzaron como simples fondos de pantalla o utilidades de productividad que no generaban sospechas. Pero, cinco años después, sus desarrolladores —o actores que habían tomado control de ellas— introdujeron actualizaciones invisibles para el usuario, aprovechándose del sistema de actualización automática de los navegadores.

Transformación lenta y encubierta

La operación incluyó 20 extensiones de Chrome y 125 de Microsoft Edge, distribuidas sin señales de alarma desde 2018. No hubo correos de phishing ni ventanas engañosas: los cambios llegaron mediante actualizaciones escalonadas, aprobadas por los propios mecanismos de seguridad de las tiendas oficiales.

Una vez activadas, las extensiones comenzaron a:

  • Inyectar código para secuestrar búsquedas y redirigir consultas.
  • Registrar historiales de navegación, cookies, términos de búsqueda y pulsaciones de teclas.
  • Extraer huellas digitales, movimientos del ratón y datos persistentes del dispositivo.
  • Generar ingresos mediante enlaces adulterados con seguimiento.
  • Activar una puerta trasera que permitía a los atacantes ejecutar código remoto cada hora, dándoles control total del navegador.

ShadyPanda también modificaba su comportamiento para evitar ser detectada: si el usuario abría las herramientas de desarrollador, las extensiones se volvían temporalmente inofensivas.

Eliminadas por Google y Microsoft

Google confirmó que ninguna de las extensiones mencionadas sigue activa en la Chrome Web Store. Microsoft, por su parte, informó que eliminó todas las extensiones maliciosas detectadas en Edge y que actúa inmediatamente cuando identifica violaciones a sus políticas.

Entre las extensiones más difundidas dentro de la campaña se encuentran Clean Master, WeTab e Infinity V Plus, presentadas como herramientas útiles pero alteradas con mecanismos de vigilancia encubiertos.

Cómo comprobar si fuiste afectado

Los usuarios pueden verificar manualmente sus navegadores siguiendo estos pasos:

En Chrome:

  1. Escribe chrome://extensions en la barra de direcciones.
  2. Entra a Detalles de cada extensión.
  3. Revisa el Extension ID y compáralo con la lista publicada por Koi Security.
  4. Si coincide, elimínala de inmediato.

En Microsoft Edge:

  1. Escribe edge://extensions.
  2. Abre Detalles de cada extensión.
  3. Revisa el ID y compáralo con los identificadores de ShadyPanda.
  4. Si coincide, elimínala y reinicia el navegador.

Qué hacer si instalaste alguna de las extensiones comprometidas

  • Elimina la extensión y reinicia el navegador.
  • Cambia tus contraseñas, preferentemente con un gestor confiable.
  • Comprueba si tu correo ha aparecido en filtraciones recientes.
  • Considera usar un servicio de eliminación de datos expuestos en bases de corredores.
  • Refuerza la seguridad con un antivirus de buena reputación y evita extensiones desconocidas.

Un recordatorio del riesgo constante

ShadyPanda demuestra que incluso las extensiones instaladas desde tiendas oficiales pueden convertirse en spyware mediante actualizaciones silenciosas. La recomendación de los expertos es clara: usar pocas extensiones, revisar sus permisos y estar atentos a cualquier comportamiento extraño del navegador.

La operación, que pasó desapercibida durante años, es considerada una de las campañas de espionaje digital más persistentes y sofisticadas que se han detectado en plataformas de extensiones.

Shares: