Durante estos días se ha conocido un caso que demuestra que no todas las extensiones de navegador son tan seguras como parecen y es algo de lo que ya hemos hablado en anteriores ocasiones. Ahora, la empresa de ciberseguridad Socket ha descubierto que dos extensiones de Chrome llevaban años robando los datos personales de los usuarios sin que nadie se diera cuenta. No se trataba de ningún virus ni de un fallo puntual, sino de un engaño muy bien pensado que se aprovechaba de la confianza de quienes se instalaban.
Las dos extensiones se llamaban «Phantom Shuttle» y se presentaban como herramientas para utilizar una VPN o un servicio proxy. La primera versión apareció en 2017 y la segunda en 2023 y su objetivo aparente era ayudar a los usuarios a navegar de forma más segura o a comprobar las conexiones desde ubicaciones diferentes. A pesar de que no tuvieron millones de descargas, sí que lograron aglutinar a miles de usuarios a lo largo del tiempo, sobre todo en China, aunque pudieran acabar instaladas en cualquier otro país.
Así actuaba la extensión maliciosa de Chrome: nadie se daba cuenta
Según explican desde Bleeping Computer, los problemas empezaban justo después de instalar la extensión. El usuario pagaban la suscripción y recibía un supuesto acceso VIP creyendo que lo estaba utilizando como servicio premium. En realidad, a partir de ese momento comenzaba a espiar toda su actividad en internet, es decir, en lugar de proteger la conexión, interceptaba todo el tráfico del navegador y lo enviaba a servidores controlados por los atacantes.
Para lograrlo, la extensión modificaba archivos de JavaScript que normalmente se utilizan en muchas páginas web y gracias a esto podía colocarse entre el usuario y los sitios que visitaba, actuando como si fuera un intermediario invisible. Cada vez que una web pedía un inicio de sesión de extensión, podía ver y copiar los datos introducidos como contraseñas o correos electrónicos.
Por si fuera poco, Phantom Shuttle forzaba a Chrome a redirigir el tráfico de más de 170 páginas importantes a través de sus propios servidores. En esa lista había servicios tan conocidos como GitHub, AWS, IBM, redes sociales como Instagram, Facebook o el antiguo Twitter, plataformas en la nube y otros sitios populares. Cada pocos minutos, la extensión enviaba información privada al servidor de control, incluyendo números de tarjeta, historias de navegación, contraseñas, cookies de sesión y claves de acceso.
Aunque lo más peligroso y uno de los motivos por los que los usuarios quizás no se daban cuenta es que, pese a todo, la VPN parecía funcionar correctamente, la conexión era estable, la velocidad era buena y no había señales claras de que algo fuera mal. Esto demuestra que algo que parece totalmente fiable y se encuentra disponible en tiendas oficiales, puede ocultar comportamientos peligrosos, por lo que siempre hay que revisar bien lo que se instala y los permisos que se conocen a cualquier aplicación o extensión.