### Campaña de secuestro de extensiones en Chrome y Edge pone en jaque la confianza en los marketplaces

#### Introducción

A comienzos de diciembre de 2025, un grupo de investigadores de seguridad destapó una de las campañas de cibercrimen más sofisticadas y prolongadas jamás vistas dirigida contra los navegadores Google Chrome y Microsoft Edge. La operación, atribuida al grupo denominado “ShadyPanda”, supone un antes y un después en la percepción de seguridad de las extensiones de navegador, tras revelarse que millones de usuarios y organizaciones han estado expuestos, sin sospecharlo, a una amenaza latente durante años. Este incidente no solo afecta a usuarios finales, sino que también plantea serios retos para equipos de ciberseguridad corporativos, responsables de proteger activos críticos en entornos donde la confianza en los add-ons era hasta ahora inquebrantable.

#### Contexto del Incidente

ShadyPanda, un grupo hasta ahora poco documentado, ha invertido siete años en una estrategia de infiltración silenciosa: crear, adquirir y mantener extensiones aparentemente benignas y populares en los marketplaces oficiales de Chrome Web Store y Microsoft Edge Add-ons. Estas extensiones, tras años de funcionamiento inofensivo acumulando millones de instalaciones —se estima que han superado los 15 millones de usuarios en total—, fueron súbitamente modificadas en sus últimas actualizaciones para incorporar cargas maliciosas. El cambio de comportamiento, conocido en el sector como “extension flipping”, ha permitido a los atacantes eludir los controles automatizados y la supervisión manual de los marketplaces durante un periodo prolongado.

#### Detalles Técnicos

La investigación ha identificado al menos 15 extensiones comprometidas, afectando a versiones de Chrome desde la 93 hasta la más reciente (121), y Edge desde la 94 en adelante. Los atacantes se han apoyado en técnicas de ataque recogidas en el framework MITRE ATT&CK, específicamente T1190 (Exploit Public-Facing Application) y T1204 (User Execution: Malicious Link).

Los vectores de ataque principales han sido:

– Inyección de scripts maliciosos mediante actualizaciones automáticas de las extensiones, aprovechando los permisos excesivos solicitados durante su fase “benigna”.
– Exfiltración de cookies de sesión, credenciales y tokens OAuth a través de canales cifrados hacia infraestructuras controladas por ShadyPanda en dominios .tk y .ru.
– Redirección de tráfico web y manipulación de formularios para interceptar datos sensibles y realizar ataques de phishing dirigidos.

Los Indicadores de Compromiso (IoC) identificados incluyen los hash SHA256 de las versiones maliciosas, direcciones IP de C2 (Command & Control) en Europa del Este y patrones específicos en URLs de actualización. Se ha observado la explotación de exploits customizados, así como la integración de payloads basados en frameworks como Metasploit y Cobalt Strike, facilitando movimientos laterales en redes corporativas.

#### Impacto y Riesgos

El alcance de la campaña es global, afectando tanto a usuarios particulares como a empresas. Diversos analistas estiman que al menos el 60% de las instalaciones activas pertenecen a entornos empresariales. Entre los riesgos más relevantes destacan:

– Robo de credenciales corporativas y personales, permitiendo acceso no autorizado a sistemas internos y servicios cloud.
– Filtración de información confidencial, violando regulaciones como el GDPR y la directiva NIS2.
– Posible utilización de los equipos comprometidos para lanzar ataques de ransomware y cadenas de supply chain.

El coste potencial de la campaña, en términos de fuga de datos y recuperación, ya se cifra en decenas de millones de euros, sin contar el daño reputacional para las empresas afectadas.

#### Medidas de Mitigación y Recomendaciones

Ante esta amenaza, los equipos de seguridad deben:

– Auditar inmediatamente todas las extensiones instaladas en sus flotas de navegadores y desinstalar aquellas no imprescindibles o vinculadas a los IoC publicados.
– Forzar la actualización de todos los endpoints y aplicar políticas restrictivas que limiten la instalación de extensiones a una lista blanca validada.
– Implementar herramientas de monitorización EDR capaces de detectar comportamientos anómalos relacionados con navegadores y tráfico hacia dominios sospechosos.
– Revisar logs de acceso y actividad web en busca de patrones coincidentes con los TTP identificados.
– Informar y formar a los usuarios sobre el riesgo de confiar ciegamente en extensiones populares.

#### Opinión de Expertos

Carlos Gutiérrez, CISO de una multinacional del IBEX 35, subraya: “Este incidente demuestra que la seguridad no termina en el perímetro de la red ni en el endpoint tradicional. El ecosistema de extensiones es un vector de ataque crítico y, como tal, debe ser gestionado bajo los mismos estándares de control y auditoría que cualquier otro activo”. Por su parte, Alejandra Ruiz, analista SOC, destaca la necesidad de “reforzar la colaboración entre la industria y los proveedores de navegadores para establecer mecanismos de alerta y respuesta más ágiles ante cambios sospechosos en el comportamiento de las extensiones”.

#### Implicaciones para Empresas y Usuarios

La campaña de ShadyPanda evidencia las limitaciones de los actuales procesos de revisión en los marketplaces de extensiones y la necesidad de adoptar una aproximación Zero Trust también en este ámbito. Las empresas deben revisar sus políticas de endpoint, reforzar la educación de sus empleados y, sobre todo, considerar las extensiones de navegador como potenciales riesgos de supply chain. Para los usuarios particulares, la lección es clara: la popularidad o las buenas reseñas no garantizan seguridad.

#### Conclusiones

La exposición prolongada y masiva generada por el secuestro de extensiones en Chrome y Edge marca un punto de inflexión en la gestión de riesgos digitales. Es imprescindible que tanto proveedores como usuarios adopten un enfoque proactivo, priorizando la detección y limitación de permisos, y que las organizaciones integren la monitorización de extensiones en sus estrategias de ciberdefensa. Solo así será posible mitigar una amenaza que, lejos de ser anecdótica, anticipa el futuro del cibercrimen orientado a la manipulación de la cadena de confianza digital.

(Fuente: feeds.feedburner.com)