Extensiones maliciosas en Chrome: robo de tokens de ChatGPT y secuestro de enlaces de afiliados

Introducción

Recientemente, investigadores en ciberseguridad han alertado sobre la proliferación de extensiones maliciosas para Google Chrome que, bajo la apariencia de herramientas benignas, ejecutan actividades de alto riesgo para la seguridad empresarial y la privacidad de los usuarios. Entre las capacidades observadas destacan el secuestro de enlaces de afiliados, el robo de datos sensibles y, especialmente preocupante para el sector profesional, la obtención de tokens de autenticación de cuentas de OpenAI ChatGPT. Este tipo de amenazas representa un vector de ataque emergente con implicaciones técnicas y legales significativas para organizaciones que dependen de plataformas SaaS y herramientas de inteligencia artificial.

Contexto del Incidente

La extensión identificada como “Amazon Ads Blocker” (ID: pnpchphmplpdimbllknjoiopmfphellj) fue detectada en la Chrome Web Store haciéndose pasar por una utilidad para eliminar contenido patrocinado en Amazon. Sin embargo, tras su instalación, desplegaba comportamientos anómalos orientados al fraude y la exfiltración de información. Este hallazgo se enmarca en una tendencia creciente: el abuso de extensiones de navegador como vector de ataque, aprovechando la confianza que los usuarios depositan en el ecosistema Chrome y la dificultad de inspeccionar a fondo el código fuente de estos complementos antes de su instalación.

Detalles Técnicos

La extensión “Amazon Ads Blocker” implementaba diferentes técnicas maliciosas:

– Secuestro de enlaces de afiliados: mediante la manipulación del DOM y la inyección de scripts, la extensión sustituía los enlaces legítimos de afiliados de Amazon por otros controlados por los atacantes, redirigiendo las comisiones.
– Robo de tokens de autenticación: se detectó la captura activa de cookies y tokens JWT asociados a sesiones de usuario en servicios como OpenAI ChatGPT. Estos artefactos eran exfiltrados mediante peticiones HTTP POST cifradas a servidores bajo control del atacante.
– Recolección de datos: además de los tokens, la extensión recopilaba historiales de navegación, datos de formularios y credenciales almacenadas en el navegador.

Según el análisis de TTPs (Tácticas, Técnicas y Procedimientos) y su alineación con el framework MITRE ATT&CK, destacan las siguientes referencias:

– T1056 – Input Capture (Captura de entradas)
– T1086 – PowerShell (Ejecución de scripts en sistemas Windows)
– T1114 – Email Collection (Recolección de datos de correo electrónico)
– T1566 – Phishing (para la distribución de la extensión)

Los Indicadores de Compromiso (IoC) incluyen el ID de extensión mencionado, dominios de C2 (command and control) como hxxps://api-data[.]info y patrones específicos de tráfico anómalo en el navegador.

Impacto y Riesgos

El impacto de este tipo de ataques es relevante tanto desde el punto de vista financiero como de seguridad de la información:

– Compromiso de cuentas corporativas de ChatGPT: El robo de tokens permite el acceso no autorizado a conversaciones, API keys y datos confidenciales tratados por la IA, con potenciales fugas de propiedad intelectual.
– Fraude de afiliados: Empresas y creadores de contenido ven mermados sus ingresos por la manipulación de los enlaces.
– Riesgo de escalada lateral: El acceso a tokens puede facilitar ataques posteriores a otras plataformas SaaS integradas.
– Cumplimiento normativo: La posible exposición de información personal puede derivar en sanciones bajo el Reglamento General de Protección de Datos (GDPR) y la futura directiva NIS2 para infraestructuras críticas.

Medidas de Mitigación y Recomendaciones

Para mitigar los riesgos asociados a extensiones maliciosas, los expertos recomiendan:

– Auditoría periódica de extensiones instaladas en navegadores corporativos.
– Restricción de instalación de extensiones a través de políticas de grupo (GPO) o soluciones MDM.
– Análisis forense de tokens y cookies en endpoints sospechosos.
– Implementación de controles de tráfico saliente para detectar comunicaciones con dominios de C2.
– Uso de herramientas como CRXcavator o Extension Police para escaneo automatizado de extensiones.
– Formación y concienciación del usuario sobre riesgos asociados a la instalación de software no validado.

Opinión de Expertos

Según Ana Hernández, CISO de una multinacional tecnológica, “las extensiones de navegador se están convirtiendo en uno de los eslabones más débiles en la cadena de seguridad corporativa. A menudo pasan desapercibidas en los controles tradicionales de seguridad, pero su impacto puede ser devastador, especialmente cuando se combinan con credenciales de acceso a plataformas de IA y servicios en la nube”.

Por su parte, el investigador Pablo González, colaborador habitual en equipos de Red Team, señala que “el uso de frameworks como Metasploit para automatizar la explotación de navegadores es ya una realidad en campañas de malware. Una vez obtenidos los tokens, los atacantes pueden pivotar hacia ataques más avanzados, incluyendo la suplantación de identidad y la exfiltración masiva de datos”.

Implicaciones para Empresas y Usuarios

La detección de este tipo de amenazas debe motivar una revisión profunda de las políticas de seguridad en endpoints. Las empresas deben considerar la extensión del perímetro de seguridad a los navegadores y no limitarse a la protección de servidores y redes. Los usuarios, tanto a nivel individual como corporativo, deben extremar la precaución y validar siempre la procedencia y permisos de cualquier extensión que instalen.

Conclusiones

El caso de la extensión “Amazon Ads Blocker” ilustra la sofisticación creciente de los vectores de ataque basados en navegadores. El secuestro de enlaces de afiliados y el robo de tokens de ChatGPT suponen riesgos críticos para empresas orientadas a la nube y la inteligencia artificial. La resiliencia frente a estas amenazas exige una combinación de tecnología, políticas restrictivas y formación continua, así como el seguimiento de buenas prácticas de higiene digital en el puesto de trabajo.

(Fuente: feeds.feedburner.com)