AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Empresas

Google y Microsoft retiran ModHeader tras detectar código oculto de recolección de historial

Introducción

En una medida que ha sacudido a la comunidad de ciberseguridad, tanto Google como Microsoft han retirado de sus respectivas tiendas de extensiones (Chrome Web Store y Microsoft Edge Add-ons) el popular complemento ModHeader. Esta extensión, utilizada por más de 1,6 millones de usuarios para editar cabeceras HTTP, fue identificada por investigadores de seguridad como portadora de un mecanismo oculto capaz de recolectar el historial de navegación de los usuarios. Si bien el código malicioso permanecía inactivo por defecto, el hallazgo ha puesto de manifiesto la creciente sofisticación de las amenazas dentro del ecosistema de software de terceros y la necesidad de reforzar los controles en la distribución de extensiones.

Contexto del Incidente

ModHeader es una herramienta ampliamente utilizada por desarrolladores, pentesters y administradores para modificar cabeceras HTTP en tiempo real, facilitando tareas de depuración y pruebas de seguridad. A finales de mayo de 2024, investigadores de ciberseguridad descubrieron en la versión oficial alojada en las tiendas de Google y Microsoft un componente oculto diseñado para recolectar y potencialmente exfiltrar el historial de navegación. Si bien la funcionalidad estaba desactivada —mediante una “allow-list” vacía—, el simple hecho de su presencia constituye una violación grave de la confianza y de las políticas de las tiendas de extensiones.

Detalles Técnicos

El análisis del código fuente de ModHeader reveló la existencia de un módulo encargado de monitorizar los dominios visitados por el usuario. Técnicamente, la extensión hacía uso de la API `chrome.history`, lo que le permitía acceder a información detallada sobre la actividad de navegación. El componente malicioso se activaba mediante una lista blanca de dominios (“allow-list”); al estar vacía, el código permanecía inactivo, pero la infraestructura estaba lista para activarse en cualquier momento a través de una actualización remota.

No se han publicado exploits conocidos asociados a esta puerta trasera, ni se han detectado campañas activas de explotación. Sin embargo, la arquitectura del código permitía un cambio rápido de estado, lo que se considera una táctica de “dormant threat” (amenaza latente) en la matriz MITRE ATT&CK, específicamente relacionada con los TTPs TA0009 (Collection) y TA0010 (Exfiltration).

Entre los Indicadores de Compromiso (IoC) identificados figuran los siguientes:

– Solicitudes inusuales a endpoints no documentados dentro de la extensión.
– Permisos excesivos solicitados en el manifiesto (acceso al historial de navegación completo).
– Hashes de versiones afectadas: v4.3.0 y v4.3.1 (Chrome/Edge).

Impacto y Riesgos

Aunque, según los investigadores, no existe evidencia de que la funcionalidad haya estado activa o haya transmitido datos de navegación, el riesgo potencial es significativo. De haberse activado, la extensión podría haber recolectado el historial de navegación de 1,6 millones de usuarios, un vector de ataque de alto valor para campañas de espionaje industrial, ingeniería social o publicidad dirigida.

El historial de navegación es considerado un dato personal según el Reglamento General de Protección de Datos (GDPR) y su recolección no autorizada puede conllevar sanciones severas, además de poner en riesgo la privacidad y la confidencialidad de los usuarios corporativos y particulares. El incidente se produce en un momento en el que la directiva NIS2 exige mayores controles sobre la cadena de suministro de software, incluyendo extensiones y plugins de navegador.

Medidas de Mitigación y Recomendaciones

Se recomienda a los equipos de seguridad realizar un inventario urgente de las extensiones instaladas en los endpoints corporativos y proceder a la desinstalación inmediata de ModHeader en todas sus versiones afectadas. Asimismo, se aconseja monitorizar logs y eventos de red en busca de comunicaciones inusuales originadas por la extensión.

Otras recomendaciones incluyen:

– Revisar periódicamente los permisos concedidos a extensiones y restringir el acceso a APIs sensibles.
– Implementar soluciones EDR con capacidad para detectar comportamientos anómalos en navegadores.
– Mantener una política estricta de actualización y auditoría de complementos y extensiones.
– Valorar alternativas open-source auditadas para tareas de manipulación de cabeceras HTTP.

Opinión de Expertos

Según varios CISOs consultados, la presencia de código latente en una extensión ampliamente distribuida es un claro ejemplo de los riesgos de la cadena de suministro en software de terceros. “Aun cuando la funcionalidad estaba desactivada, la posibilidad de activación remota representa una amenaza inaceptable en entornos críticos”, afirma un responsable de seguridad de una multinacional del sector financiero. Analistas SOC subrayan además que los mecanismos de revisión automatizada de las tiendas de extensiones no son suficientes y que la revisión manual y la transparencia del código deben ser obligatorias para proyectos con gran base de usuarios.

Implicaciones para Empresas y Usuarios

El incidente refuerza la necesidad de que las organizaciones incluyan la gestión de extensiones de navegador dentro de sus políticas de seguridad. Un complemento malicioso o potencialmente vulnerable puede servir de vector de ataque, permitiendo la exfiltración de información sensible o la escalada de privilegios en sistemas corporativos. Además, pone de manifiesto la importancia de sensibilizar a los usuarios sobre los riesgos asociados al uso indiscriminado de herramientas de terceros y la conveniencia de utilizar únicamente aquellas extensiones que hayan sido auditadas y cuenten con soporte activo de la comunidad.

Conclusiones

La retirada de ModHeader por parte de Google y Microsoft tras la detección de código oculto para la recolección de historial de navegación subraya el desafío permanente que supone la gestión de la cadena de suministro digital. Aunque en este caso no se ha confirmado la explotación activa de la puerta trasera, el incidente debe servir como llamada de atención para revisar políticas, procesos y herramientas en la protección de los entornos corporativos y la privacidad de los usuarios.

(Fuente: feeds.feedburner.com)