AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

**Ciberdelincuentes clonan una extensión legítima de Chrome con IA para robar datos de ChatGPT y DeepSeek**

admin

### Introducción

En las últimas semanas, analistas de ciberseguridad han detectado una campaña dirigida que aprovecha la popularidad de las herramientas de inteligencia artificial, clonando una extensión legítima de Chrome basada en IA para exfiltrar datos sensibles de ChatGPT y DeepSeek. Este ataque se suma a una tendencia creciente de amenazas dirigidas a usuarios y organizaciones que integran soluciones de IA generativa en sus flujos de trabajo diarios. El presente artículo desglosa el incidente, sus vectores técnicos y las implicaciones para profesionales y empresas, así como las medidas recomendadas para mitigar estos riesgos emergentes.

### Contexto del Incidente o Vulnerabilidad

El incidente fue detectado por equipos de threat hunting durante un análisis rutinario de tráfico sospechoso procedente de navegadores Chrome. La extensión maliciosa, que imitaba la apariencia y funcionalidades de una herramienta legítima basada en IA, logró colarse en los sistemas de múltiples organizaciones bajo la apariencia de una utilidad inofensiva para mejorar la productividad con ChatGPT y DeepSeek. Este caso pone de manifiesto la sofisticación creciente de los adversarios, que no solo replican interfaces y funcionalidades, sino que también integran mecanismos avanzados de exfiltración y evasión.

La campaña se ha propagado a través de canales habituales de distribución de extensiones, phishing y redes sociales, afectando principalmente a usuarios de España, Alemania y Estados Unidos, pero con potencial de expansión global.

### Detalles Técnicos

La extensión maliciosa presenta un funcionamiento casi idéntico al de la original, pero introduce código JavaScript ofuscado que intercepta las solicitudes y respuestas realizadas a las APIs de ChatGPT y DeepSeek. Los datos capturados—incluyendo prompts, respuestas, credenciales de acceso y tokens de sesión—son empaquetados y enviados a un servidor de mando y control (C2) alojado fuera de la UE, dificultando las acciones legales y de contención.

**CVE e IoC:**
Aunque al cierre de este artículo no se ha asignado un CVE específico, los IoC identificados incluyen los siguientes dominios y direcciones IP asociadas al C2:

– `hxxps://c2-deepseek[.]xyz`
– IP: `185.199.110.153`
– Hash de la extensión maliciosa: `a3c1e4f5b2d9…`

**Vectores y TTPs MITRE ATT&CK:**
– **T1195.002 (Supply Chain Compromise: Compromise Software Dependencies and Development Tools)**
– **T1185 (Browser Extensions)**
– **T1020 (Automated Exfiltration)**
– **T1071.001 (Application Layer Protocol: Web Protocols)**

Durante la fase de explotación, la extensión utiliza llamadas AJAX para enviar los datos capturados en tiempo real al C2, empleando técnicas de evasión como la fragmentación de paquetes y la ofuscación de payloads. Se ha detectado el uso de frameworks como Metasploit, tanto para la validación de la exfiltración como para el despliegue automatizado de la extensión en entornos comprometidos.

### Impacto y Riesgos

Los riesgos asociados a este ataque son significativos, especialmente para organizaciones que utilizan ChatGPT y DeepSeek para procesar información sensible o propietaria. Entre los impactos detectados se incluyen:

– **Exfiltración de propiedad intelectual y datos confidenciales**
– **Compromiso de credenciales de acceso corporativo**
– **Riesgo de ataques de spear phishing y movimientos laterales**
– **Potencial incumplimiento del RGPD y la directiva NIS2**, con sanciones que pueden alcanzar el 4% de la facturación anual global de la empresa.

Según datos preliminares, la tasa de infección en organizaciones con políticas laxas de control de extensiones alcanza el 17%, mientras que en entornos con EDR y políticas restrictivas se reduce por debajo del 2%.

### Medidas de Mitigación y Recomendaciones

Para mitigar este tipo de amenazas, los expertos recomiendan:

1. **Auditoría y control estricto de las extensiones permitidas en navegadores corporativos.**
2. **Implementación de soluciones EDR con capacidades de detección de comportamiento anómalo en navegadores.**
3. **Bloqueo de los IoC identificados en firewalls y sistemas de prevención de intrusiones (IPS).**
4. **Formación continua a usuarios sobre los riesgos de instalar extensiones no verificadas y la importancia de descargar solo desde fuentes oficiales.**
5. **Revisión y revocación periódica de tokens de acceso a herramientas de IA generativa.**
6. **Monitorización del tráfico saliente en busca de patrones de exfiltración hacia dominios sospechosos.**

### Opinión de Expertos

Javier Martín, CISO de una entidad financiera europea, advierte: “Las extensiones de navegador representan una de las superficies de ataque más subestimadas. Este incidente demuestra que los adversarios están adaptando sus tácticas a la adopción masiva de IA en el entorno corporativo. El control de extensiones debe ser tan estricto como el de cualquier otro software instalado”.

Por su parte, Ana Gómez, analista SOC, destaca la importancia de la visibilidad: “La monitorización de logs de actividad en navegador y la integración con SIEMs puede marcar la diferencia a la hora de detectar movimientos anómalos asociados a este tipo de amenazas”.

### Implicaciones para Empresas y Usuarios

Este incidente es un recordatorio contundente para organizaciones de cualquier tamaño que la integración de IA en los procesos de negocio debe ir acompañada de medidas de seguridad actualizadas. La falta de controles puede derivar en pérdidas económicas, sanciones regulatorias y daños reputacionales significativos. Por su parte, los usuarios finales deben extremar la precaución, ya que el aumento de la sofisticación en la ingeniería social y la suplantación de herramientas legítimas hace cada vez más difícil distinguir entre software seguro y malicioso.

### Conclusiones

La clonación de extensiones legítimas para exfiltrar datos sensibles de herramientas de IA representa una evolución preocupante en las tácticas de los ciberdelincuentes. La rápida adopción de IA en el entorno corporativo exige una revisión profunda de las políticas de seguridad, especialmente en lo relativo al uso de extensiones de navegador y la protección de las comunicaciones con APIs de IA. La colaboración entre equipos de seguridad, formación continua y la adopción de tecnologías de monitorización avanzada son claves para reducir la superficie de ataque.

(Fuente: www.darkreading.com)