### Detectada extensión maliciosa de Chrome que suplantaba a Perplexity AI y capturaba búsquedas de usuarios
#### Introducción
Un reciente hallazgo por parte del equipo de ciberseguridad de Microsoft ha puesto en alerta a la comunidad profesional: se ha identificado una extensión de Chrome maliciosa que se hacía pasar por el motor de búsqueda basado en IA, Perplexity. Esta extensión, disponible en la Chrome Web Store hasta su retirada, interceptaba y exfiltraba silenciosamente todas las búsquedas y entradas de los usuarios, exponiendo datos sensibles y comprometiendo la privacidad de quienes la instalaban. El caso subraya los riesgos inherentes al uso de extensiones de navegador no verificadas, así como la necesidad de una vigilancia continua por parte de los equipos de seguridad corporativos.
#### Contexto del incidente
El incidente fue detectado durante tareas rutinarias de threat hunting por parte de los analistas de Microsoft Threat Intelligence. La extensión, cuyo nombre exacto no se ha divulgado públicamente para evitar nuevos intentos de distribución, se presentaba como una herramienta oficial de Perplexity AI, un buscador basado en inteligencia artificial que ha ganado popularidad en los últimos meses tanto en entornos profesionales como entre usuarios generales.
La extensión maliciosa logró evadir los mecanismos de seguridad iniciales de Chrome Web Store, permaneciendo activa durante un periodo aún no concretado, pero suficiente para comprometer a un número indeterminado de usuarios. Tras la notificación responsable por parte de Microsoft, Google procedió a su retirada inmediata del repositorio oficial.
#### Detalles técnicos
La extensión operaba mediante la técnica de «man-in-the-middle» local, interceptando cada carácter tecleado en la barra de direcciones (omnibox) y todas las consultas realizadas a través del motor de búsqueda Perplexity. Utilizaba scripts en JavaScript para capturar la entrada de usuario y, a continuación, redirigir dicha información a un servidor controlado por los atacantes antes de presentar los resultados legítimos al usuario final.
– **CVE asociado:** Hasta la fecha, no se ha registrado un CVE específico para este incidente, ya que la vulnerabilidad se basa en la ingeniería social y abuso de permisos de la API de extensiones de Chrome.
– **Vectores de ataque:** Descarga e instalación desde Chrome Web Store; explotación del permiso «webRequest» para interceptar tráfico.
– **TTP (MITRE ATT&CK):** T1557 (Man-in-the-Middle), T1086 (PowerShell/Scripting), T1212 (Exploitation for Credential Access).
– **Indicadores de compromiso (IoC):** Dominios y direcciones IP asociados al servidor de exfiltración, hashes de la extensión maliciosa y patrones de tráfico HTTP(s) anómalos salientes tras la instalación.
Según los análisis, la extensión no sólo capturaba consultas completas, sino también fragmentos de texto conforme el usuario escribía, lo que permitía la recolección de información parcial, incluyendo posibles credenciales o datos internos filtrados accidentalmente.
#### Impacto y riesgos
El impacto potencial de este incidente es significativo. Al interceptar todo el tráfico de búsqueda, los atacantes podían acceder a información sensible, incluyendo consultas internas de organizaciones, investigaciones de mercado, términos confidenciales y, en escenarios extremos, contraseñas o tokens introducidos accidentalmente en la barra de búsqueda.
Para organizaciones sujetas a normativas como GDPR o NIS2, la exposición de datos personales o información corporativa crítica constituye un riesgo legal considerable, con posibles sanciones económicas que pueden alcanzar hasta el 4% del volumen de negocio anual global.
#### Medidas de mitigación y recomendaciones
Microsoft y Google han procedido a la eliminación de la extensión maliciosa, pero se recomienda a los equipos de TI y seguridad:
– Realizar auditorías periódicas de extensiones instaladas en navegadores corporativos.
– Restringir la instalación de extensiones a repositorios verificados mediante políticas de grupo (GPO).
– Monitorizar el tráfico saliente para identificar patrones de exfiltración asociados a extensiones.
– Formar a los usuarios sobre los riesgos de instalar extensiones no oficiales.
– Aplicar herramientas de gestión y monitorización de endpoints (EDR) para detectar cambios inusuales en el comportamiento del navegador.
#### Opinión de expertos
Analistas de Microsoft destacan la sofisticación creciente de las amenazas basadas en extensiones de navegador: «Estamos observando una tendencia al alza en el abuso de la cadena de suministro de software en el entorno web, especialmente en extensiones que simulan ser utilidades legítimas», señala Amy Hogan-Burney, directora de la Digital Crimes Unit de Microsoft.
Por su parte, consultores independientes recomiendan la integración de herramientas de análisis de comportamiento en navegadores y la adopción de Zero Trust para el acceso a recursos críticos desde endpoints potencialmente comprometidos.
#### Implicaciones para empresas y usuarios
Para los CISOs y responsables de seguridad, este incidente refuerza la necesidad de considerar el navegador como un vector de ataque prioritario en los planes de defensa. Las organizaciones deben actualizar sus políticas de seguridad para contemplar la gestión y control de extensiones, incluso en entornos BYOD o de teletrabajo.
Los usuarios, tanto corporativos como particulares, deben extremar la precaución al instalar extensiones, revisando los permisos solicitados y la procedencia de la herramienta. El uso de navegadores con capacidades de sandboxing y el refuerzo de la autenticación multifactor son medidas adicionales recomendadas.
#### Conclusiones
El caso de la extensión maliciosa que suplantaba a Perplexity AI evidencia la sofisticación de las amenazas actuales en el ecosistema web y la importancia de la vigilancia activa sobre los componentes añadidos a los navegadores. La cooperación entre proveedores, como Microsoft y Google en este caso, resulta clave para la rápida identificación y neutralización de estas amenazas. Las empresas deben adoptar un enfoque proactivo, reforzando la formación, la monitorización y la gestión centralizada de extensiones para minimizar el riesgo y cumplir con la normativa vigente.
(Fuente: feeds.feedburner.com)
