### Mozilla refuerza la seguridad de Firefox: nueva función para bloquear extensiones maliciosas que roban criptomonedas

#### Introducción

En el actual panorama de amenazas, los navegadores web se han consolidado como objetivos prioritarios para los actores maliciosos, especialmente mediante la explotación de extensiones y complementos. Mozilla, consciente de la creciente sofisticación de los ataques orientados al robo de activos digitales, ha anunciado una nueva funcionalidad de seguridad en su portal de extensiones. Esta medida tiene como objetivo principal detectar y bloquear add-ons maliciosos en Firefox que se utilizan para vaciar monederos de criptomonedas, un vector de ataque que ha experimentado un notable incremento en los últimos años.

#### Contexto del Incidente o Vulnerabilidad

Desde hace tiempo, las extensiones de navegador se han convertido en un vector habitual para la distribución de malware, troyanos bancarios y, más recientemente, herramientas de robo de criptomonedas. Según el informe de amenazas de Kaspersky 2023, hasta un 12% de las infecciones por malware en navegadores implican la manipulación de extensiones, con un aumento del 30% en ataques dirigidos a usuarios de criptomonedas en comparación con el año anterior. Firefox, con una cuota de mercado estimada del 7,8% a nivel global, no ha sido ajeno a estas amenazas.

En los últimos meses, la comunidad de ciberseguridad ha detectado múltiples campañas en las que extensiones aparentemente legítimas se utilizan como puerta trasera para capturar credenciales, claves privadas y semillas de recuperación de monederos digitales. Estas campañas suelen apoyarse en técnicas de ingeniería social y suplantación de identidad de proyectos populares, como MetaMask o Ledger Live.

#### Detalles Técnicos

La nueva función de Mozilla se basa en un sistema automatizado de análisis y reputación que revisa cada extensión subida al portal de add-ons antes de ser publicada. El sistema incorpora mecanismos de sandboxing, análisis estático y dinámico de código, y escaneo de indicadores de compromiso (IoC) conocidos. Según Mozilla, el motor analiza patrones de comportamiento asociados a la exfiltración de claves privadas, la inyección de scripts maliciosos y la manipulación de APIs web como `window.crypto` y `Web3`.

A nivel de MITRE ATT&CK, estos ataques suelen encuadrarse en técnicas como **Credentials from Password Stores (T1555)**, **Input Capture (T1056)** y **Exfiltration Over Web Service (T1567)**. Además, se han identificado extensiones que utilizan frameworks como Metasploit para ejecutar payloads personalizados y Cobalt Strike para la comunicación con servidores de comando y control (C2).

Los investigadores han reportado la existencia de exploits que aprovechan vulnerabilidades en versiones antiguas del sistema de permisos de Firefox (anteriores a la 109.0), permitiendo la escalada de privilegios y la ejecución de código arbitrario a través de extensiones maliciosas. La base de datos de CVEs incluye referencias como CVE-2022-46878 y CVE-2023-29535, ambos relacionados con la manipulación de permisos en los complementos de Firefox.

#### Impacto y Riesgos

El principal riesgo asociado a estas extensiones es la pérdida directa de activos digitales, con incidentes documentados que superan los 30 millones de dólares en robos durante el primer semestre de 2024, según cifras de Chainalysis. Además, la exposición de credenciales puede derivar en ataques de movimiento lateral hacia otros servicios, especialmente si los usuarios reutilizan contraseñas.

Para las empresas que gestionan fondos en criptomonedas o que permiten el uso de wallets en entornos corporativos, el impacto puede traducirse en sanciones regulatorias bajo el GDPR y la NIS2, especialmente si la brecha supone una fuga de datos personales o compromete infraestructuras críticas.

#### Medidas de Mitigación y Recomendaciones

Mozilla recomienda actualizar Firefox a la última versión (a partir de la 126.0), dado que integra mejoras tanto en el modelo de permisos como en el aislamiento de extensiones. Asimismo, se aconseja:

– Activar el sistema de revisión automática y manual de extensiones en entornos corporativos.
– Monitorizar las extensiones instaladas mediante herramientas EDR y soluciones de control de aplicaciones.
– Implementar restricciones en la instalación de add-ons desde fuentes externas al portal oficial de Mozilla.
– Formar a los usuarios sobre los riesgos de extensiones no verificadas y el uso de monederos en navegadores.
– Utilizar soluciones de sandboxing y segmentación de usuarios que gestionan activos digitales.

#### Opinión de Expertos

Andrés Martínez, analista SOC en una entidad financiera española, destaca: “Esta nueva función de Mozilla es un paso necesario ante la profesionalización de los ataques a monederos cripto. Sin embargo, la seguridad debe abordarse desde una visión holística: soluciones técnicas, formación de usuarios y políticas estrictas de control de software son imprescindibles para minimizar el riesgo”.

Por su parte, Verónica Gómez, consultora de ciberseguridad certificada en OSCP, subraya: “El análisis dinámico y la detección temprana de comportamientos sospechosos en extensiones puede reducir drásticamente la ventana de exposición. Aun así, la colaboración con la comunidad y el intercambio de IoCs resultan vitales para anticipar nuevas variantes”.

#### Implicaciones para Empresas y Usuarios

Para las organizaciones, la aparición de este nuevo sistema refuerza la necesidad de revisar las políticas de uso de extensiones y la gestión de activos digitales. El cumplimiento normativo, especialmente en sectores regulados como el financiero, exige controles exhaustivos sobre el software permitido y la monitorización de eventos sospechosos.

Los usuarios finales, por su parte, deben extremar la precaución, instalar únicamente extensiones desde fuentes oficiales y deshabilitar cualquier complemento que solicite permisos innecesarios o que muestre comportamientos anómalos. Mozilla ha puesto a disposición de la comunidad un canal de reporte rápido de extensiones sospechosas.

#### Conclusiones

La evolución de los ataques dirigidos a monederos de criptomonedas a través de extensiones de navegador exige respuestas ágiles y coordinadas entre desarrolladores, empresas y usuarios. La nueva función de seguridad de Mozilla representa un avance significativo en la protección del ecosistema Firefox, pero no exime de la responsabilidad de mantener una estrategia integral de ciberseguridad y de actualizar permanentemente las políticas de gestión de extensiones.

(Fuente: www.bleepingcomputer.com)