AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

### Más de 300.000 usuarios afectados por extensiones maliciosas de Chrome que se hacen pasar por asistentes de IA

admin

#### 1. Introducción

Una reciente campaña de ciberataques ha puesto en jaque la seguridad de los usuarios de Google Chrome: al menos 30 extensiones maliciosas, que simulaban ser herramientas de inteligencia artificial, han sido detectadas robando credenciales, correos electrónicos y datos de navegación. El incidente, que ya ha afectado a más de 300.000 usuarios a nivel global, subraya una tendencia creciente en la explotación del auge de la IA generativa y el uso fraudulento de marketplaces de extensiones oficiales. Este artículo analiza en profundidad el modus operandi, los riesgos y las contramedidas recomendadas para profesionales de la ciberseguridad.

#### 2. Contexto del Incidente

Desde principios de 2024, investigadores de distintas firmas de seguridad han identificado una oleada de extensiones para Chrome que, bajo el reclamo de añadir funciones de ChatGPT, Gemini y otras IA populares, han sido utilizadas como vector de ataque. Estas extensiones, distribuidas a través de la Chrome Web Store oficial, pasaban los controles iniciales y obtenían miles de descargas en cuestión de semanas. Su éxito se atribuye a técnicas de ingeniería social y a una presentación visual muy cuidada, que imitaba a desarrolladores legítimos y ofrecía supuestas integraciones con servicios de IA.

El fenómeno se enmarca en el contexto de la rápida adopción de soluciones basadas en IA en entornos corporativos y personales, y la creciente confianza de los usuarios en las extensiones del navegador como vía para potenciar su productividad. Sin embargo, esta confianza es explotada por actores maliciosos, que aprovechan la visibilidad y el alcance de la Chrome Web Store para distribuir malware a gran escala.

#### 3. Detalles Técnicos

Las extensiones maliciosas identificadas presentaban nombres como “ChatGPT for Chrome”, “AI Writing Assistant” o “Gemini AI Assistant Pro”, entre otros, y acumulaban más de 300.000 instalaciones antes de ser retiradas. Técnicamente, estas extensiones empleaban técnicas de obfuscación en su código JavaScript para evadir la detección automatizada y manual durante el proceso de revisión de Google.

**Vectores de ataque y TTPs (MITRE ATT&CK):**
– **Initial Access:** (T1189) Spearphishing vía marketplace oficial.
– **Execution:** (T1204.002) Ejecución de scripts maliciosos tras la instalación.
– **Credential Access:** (T1555) Robo de credenciales almacenadas en formularios del navegador.
– **Collection:** (T1114) Exfiltración de contenido de correos electrónicos y datos de navegación.
– **Command and Control:** (T1071) Comunicación cifrada con servidores C2 externos para la transmisión de datos robados y actualización dinámica de payloads.

**Indicadores de compromiso (IoC):**
– Dominios y subdominios de C2 registrados recientemente y vinculados a servicios de alojamiento en países con baja colaboración internacional.
– Hashes de extensiones y scripts maliciosos disponibles en repositorios públicos de threat intelligence.

**Exploits y frameworks utilizados:**
– No se ha documentado el uso de frameworks estándar como Metasploit o Cobalt Strike, dado que la funcionalidad maliciosa residía en la propia lógica de la extensión. Sin embargo, se observó la integración de módulos de exfiltración de credenciales y cookies, y la capacidad de inyectar scripts adicionales bajo demanda.

#### 4. Impacto y Riesgos

El alcance de la campaña es considerable: más de 300.000 usuarios afectados, incluyendo empleados de grandes empresas, administradores de sistemas y usuarios particulares. El impacto potencial abarca:

– **Compromiso de cuentas corporativas y personales.**
– **Filtración de información confidencial (emails, datos de navegación, documentos adjuntos).**
– **Riesgo de escalada de privilegios en aplicaciones SaaS y servicios cloud.**
– **Posibles campañas de phishing secundarias basadas en la información exfiltrada.**

A nivel empresarial, este tipo de intrusiones puede desencadenar incidentes de data breach sujetos a sanciones bajo el RGPD (GDPR) o la directiva NIS2, especialmente si se demuestra negligencia en la gestión de software de terceros.

#### 5. Medidas de Mitigación y Recomendaciones

Para mitigar el riesgo asociado a extensiones maliciosas, se recomienda:

– **Auditoría periódica de extensiones:** Inventariar extensiones instaladas en los navegadores corporativos y eliminar las no autorizadas.
– **Restricciones de políticas de grupo (GPO):** Limitar la instalación de extensiones a una lista blanca previamente validada.
– **Revisión de permisos:** Analizar los permisos solicitados por cada extensión antes de su instalación.
– **Formación y concienciación:** Capacitar a los empleados sobre los riesgos de instalar extensiones no verificadas.
– **Monitorización de tráfico de red:** Identificar comunicaciones anómalas hacia dominios de C2 mediante soluciones EDR y SIEM.
– **Actualización y reporte:** Mantener los navegadores actualizados y reportar cualquier extensión sospechosa a los equipos de seguridad y a Google.

#### 6. Opinión de Expertos

Varios analistas de amenazas han señalado que el auge de la IA está siendo aprovechado por actores maliciosos para legitimar sus campañas. Según Daniel López, analista de amenazas en una multinacional del sector financiero, “la confianza ciega en los marketplaces oficiales está pasando factura, y la validación manual de los permisos y funcionalidades de las extensiones es una asignatura pendiente en muchos entornos corporativos”. Por su parte, la comunidad de pentesters advierte de que los controles actuales de las tiendas de extensiones presentan carencias frente a técnicas avanzadas de obfuscación y evasión.

#### 7. Implicaciones para Empresas y Usuarios

Las empresas deben revisar urgentemente sus políticas de uso de extensiones, especialmente en entornos BYOD y teletrabajo, donde la frontera entre lo personal y lo corporativo es difusa. El cumplimiento normativo (GDPR, NIS2) exige demostrar diligencia en la protección de datos personales y sistemas críticos. Los usuarios particulares, por su parte, deben extremar la precaución y desconfiar de extensiones que prometan funcionalidades avanzadas sin un respaldo consolidado.

#### 8. Conclusiones

Este incidente demuestra que la popularización de la inteligencia artificial y la confianza en los repositorios oficiales pueden convertirse en armas de doble filo. La vigilancia continua, la formación del usuario y la aplicación de políticas restrictivas son esenciales para minimizar el riesgo. El sector debe exigir a los proveedores de navegadores mayores controles y transparencia en la validación de extensiones, anticipándose así a futuras campañas que, sin duda, seguirán explotando el factor humano y la ingeniería social.

(Fuente: www.bleepingcomputer.com)