¿Usas una de las 108 extensiones de Chrome que roban datos?

Una red de 108 extensiones maliciosas en Chrome robó identidades y sesiones con apariencia inocente dentro de la tienda oficial.

Chrome vuelve a recordar algo incómodo: que una tienda oficial también puede convertirse en un escaparate con alfombra limpia y sótano infectado. La investigación conocida esta semana ha identificado 108 extensiones maliciosas distribuidas en la Chrome Web Store bajo cinco nombres de editor distintos, con unas 20.000 instalaciones acumuladas, pero conectadas al mismo entramado técnico. No se habla aquí de un descuido aislado ni del típico complemento cutre que nadie instala. Se habla de una campaña coordinada que mezclaba utilidades para Telegram, añadidos para YouTube y TikTok, un traductor y decenas de juegos aparentemente inofensivos con robo de identidad, exfiltración de sesiones y puertas traseras capaces de abrir páginas arbitrarias al arrancar el navegador.

La consecuencia práctica es bastante menos abstracta que el lenguaje de los informes. Si una de esas extensiones pasó por tu navegador, lo razonable es borrarla de inmediato, revisar qué permisos le diste y comprobar si afectó a tu cuenta de Google o a tu sesión de Telegram Web. El caso más grave no necesitaba tu contraseña ni tu doble verificación para hacer daño: le bastaba con capturar la sesión ya abierta en Telegram y reenviarla al servidor de control cada 15 segundos. En paralelo, otras 54 extensiones recogían datos de identidad de Google —correo, nombre, foto y un identificador persistente— en cuanto el usuario pulsaba el botón de inicio de sesión.

Un escaparate normal, un fondo tóxico

Lo más eficaz de esta campaña no era la sofisticación del disfraz, sino su vulgaridad. Un cliente lateral para Telegram que parecía funcionar, un juego de tragaperras que efectivamente se abría, una herramienta de traducción que traducía, un añadido para YouTube que prometía comodidad. Todo estaba construido para parecer corriente. Ese es el detalle que vuelve el caso especialmente serio: la parte visible servía para tranquilizar, mientras la parte invisible hablaba con una infraestructura común alojada tras el dominio que actuaba como centro de mando. El usuario veía una extensión útil; el operador veía identidades, sesiones y navegación. Dos realidades distintas dentro del mismo icono fijado al navegador.

La investigación sostiene además que las cinco identidades de editor —Yana Project, GameGen, SideGames, Rodeo Games e InterAlt— apuntan a un mismo operador. La pista más sólida no está en la estética de las fichas ni en los nombres, que se cambian como quien cambia de chaqueta, sino en la infraestructura compartida y en el hecho de que 56 identificadores OAuth2 usados por 54 extensiones remiten solo a dos proyectos de Google Cloud. Traducido a lenguaje de calle: demasiadas coincidencias para fingir que eran proyectos separados.

Telegram era la pieza más agresiva

La extensión más peligrosa del lote era Telegram Multi-account, identificada con el código obifanppcpchlehkjipahhphbcbjekfa. Según el análisis técnico, esa extensión inyectaba código en Telegram Web desde el arranque de la página, leía el almacenamiento local del navegador, extraía el token de autenticación y lo enviaba al servidor del atacante. No era un robo puntual, con un golpe y adiós. Había un bucle que repetía la exfiltración cada 15 segundos mientras la pestaña siguiera viva. Es decir: una manguera abierta, no un sorbo.

La sesión podía ser sustituida sin que el usuario lo notara

Lo verdaderamente inquietante venía después. La misma extensión podía recibir datos de sesión desde el servidor, vaciar el almacenamiento local del usuario, sobrescribirlo y forzar la recarga de Telegram con otra sesión distinta. En la práctica, eso permitía secuestrar la cuenta abierta en el navegador y sustituirla por la que decidiera el operador. No hacía falta conocer la contraseña ni esperar un SMS, porque el acceso se apoyaba en una sesión ya activa.

Otra extensión, Web Client for Telegram – Teleside, no tenía aún el robo plenamente activado en la versión analizada, pero sí la infraestructura preparada para llegar al mismo sitio sin necesidad de una actualización visible en la tienda. Ese matiz importa. Significa que parte del daño potencial estaba sembrado, latente, esperando el momento oportuno.

Google no caía entera, pero sí tu identidad

Conviene separar el ruido del dato. Las 54 extensiones que abusaban del inicio de sesión de Google no entregaban, según la investigación, acceso directo a la cuenta completa del usuario. No era un “me han robado Gmail” en el sentido clásico. Lo que hacían era usar el flujo de autenticación para recoger información de perfil y enviarla al backend del operador: correo electrónico, nombre, imagen y el campo sub, un identificador estable de la cuenta de Google que no cambia aunque el usuario modifique su dirección o su contraseña.

En términos de seguridad, eso no equivale a tomar el control del buzón, pero sí genera una ficha duradera y muy útil para perfilar víctimas, cruzar cuentas y preparar fraudes más afinados. Y ahí está una de las trampas más finas de todo el caso. Mucha gente oye “no tenían acceso total a Google” y respira. Error comprensible, pero error. La identidad digital vale dinero, tiempo y precisión. Con un correo real, un nombre verdadero, una foto y un identificador estable, el delincuente ya no pesca a ciegas: lanza el anzuelo con tu cara puesta.

Un robo silencioso, pero muy rentable

El fraude deja de ser masivo y torpe para volverse casi artesanal, que es bastante peor. No hay dramatismo barato en decirlo. Basta con mirar cómo funcionan las estafas mejor hechas: llegan con tu nombre, con tu correo correcto, con referencias verosímiles y con un contexto que parece natural. Ese material, reunido por una extensión instalada en un navegador confiado, tiene mucho valor incluso sin tocar la contraseña.

La trastienda común: puertas traseras, anuncios y traducciones vigiladas

La campaña no se limitaba a robar sesiones de Telegram o a cosechar perfiles de Google. Había una función repetida en 45 extensiones, llamada loadInfo(), que se ejecutaba al iniciar el navegador y consultaba al servidor qué URL debía abrir en una nueva pestaña. Sin restricción visible. Sin necesidad de que el usuario tocara la extensión.

Además, 78 complementos escribían contenido HTML sin sanear dentro de su propia interfaz, lo que permitía al servidor inyectar elementos arbitrarios. Cinco extensiones eliminaban cabeceras de seguridad de sitios como Telegram, YouTube o TikTok antes de cargar la página; algunas, de hecho, aprovechaban esa maniobra para colar publicidad y superposiciones de apuestas. Y el traductor del paquete enviaba todo el texto introducido por el usuario a través del servidor del operador, de modo que la traducción no solo traducía: también vigilaba.

Una misma cocina detrás de marcas distintas

La infraestructura compartida refuerza la idea de una operación centralizada. El backend principal aparecía ligado a una misma IP y a una constelación de subdominios con funciones concretas: unos para sesiones de Telegram, otros para recolección de identidad, otros para monetización, chat, recursos de juego o pasarelas de traducción. También aparecían comentarios en ruso dentro del código y varias direcciones de correo vinculadas a los complementos, aunque la atribución personal no queda cerrada del todo.

Lo que sí parece claro es el modelo: una especie de catálogo de extensiones con fachadas distintas y el mismo taller detrás, como esos bares de menú que cambian el toldo pero sirven la misma cocina recalentada. Aquí el menú incluía juegos, clientes laterales y utilidades menores; debajo, una infraestructura lista para abrir pestañas, robar sesiones o recolectar identidades.

Qué hacer si alguna pasó por tu navegador

El primer gesto es el más simple y el más útil: desinstalar cualquier extensión afectada. Después toca limpiar el rastro según el caso. Quien usara Telegram Multi-account o alguna variante lateral para Telegram y tuviera abierta la versión web debería cerrar todas las demás sesiones desde la aplicación móvil, en el apartado de dispositivos. Quien iniciara sesión con Google en una de las extensiones señaladas debería revisar los accesos de terceros y revocar los que no reconozca o ya no necesite.

En el caso del traductor, hay que asumir que el correo y el nombre empleados en el registro, y potencialmente los textos enviados a traducir, pudieron quedar expuestos en el servidor del operador. No es agradable, pero es mejor tratarlo como un incidente real que como una anécdota técnica de esas que parecen lejanas hasta que te rozan la chaqueta.

La higiene digital deja de ser un eslogan

Hay otra lección, menos vistosa, pero quizá más importante: la higiene de extensiones. Cuantas más piezas accesorias vive pegadas a un navegador, mayor es la superficie de ataque. Y las extensiones tienen una virtud peligrosa para el atacante: se instalan con dos clics, piden permisos con una redacción más o menos amable y luego permanecen ahí, silenciosas, como una cerradura cambiada sin que el dueño de la casa se entere.

Este episodio no obliga a vivir con paranoia, pero sí a dejar de coleccionarlas como quien junta imanes de nevera. Tener veinte instaladas para ahorrar tres segundos al día suele ser un mal negocio. Más todavía cuando algunas llegan disfrazadas de juegos absurdos, utilidades anodinas o clientes “mejorados” para servicios que ya funcionan sin ayuda.

El listado completo de las 108 extensiones afectadas

El listado difundido incluye, entre otras, Telegram Multi-account (obifanppcpchlehkjipahhphbcbjekfa), Web Client for Telegram – Teleside (mdcfennpfgkngnibjbpnpaafcjnhcjno), YouSide – Youtube Sidebar (mmecpiobcdbjkaijljohghhpfgngpjmk), Web Client for Youtube – SideYou (bfoofgelpmalhcmedaaeogahlmbkopfd), Web Client for TikTok (cbfhnceafaenchbefokkngcbnejached), Text Translation (ogogpebnagniggbnkbpjioobomdbmdcj), Page Locker (ldmnhdllijbchflpbmnlgndfnlgmkgif), Page Auto Refresh (lnajjhohknhgemncbaomjjjpmpdigedg), Web Client for Rugby Rush – SideGame (aecccajigpipkpioaidignbgbeekglkd), Formula Rush Racing Game (akebbllmckjphjiojeioooidhnddnplj), Piggy Prizes – Slot Machine (akifdnfipbeoonhoeabdicnlcdhghmpn), Slot Arabian (akkkopcadaalekbdgpdikhdablkgjagd), Frogtastic (alkfljfjkpiccfgbeocbbjjladigcleg), Black Beard Slot Machine (alllblhkgghelnejlggmmgjbkdabidie), Indian – Slot Machine (amkkjdjjgiiamenbopfpdmjcleecjjgg), Mahjong Deluxe (amnaljnjmgajgajelnplfmidgjgbjfhe), Crazy Freekick (bbjdlbemjklojnbifkgameepcafflmem), Slot Car Racing (bdnanfggeppmkfhkgmpojkhanoplkacc), Clear Cache Plus (bgdkbjcdecedfoejdfgeafdodjgfohno), Galactica Delux – Slot Machine (bnchgibgpgmlickioneccggfobljmhjc), Speed Test for Chrome – WiFi SpeedTest (bpljfbcejldmgeoodnogeefaihjdgbam), Game SkySpeedster (cbnekafldflkmngbgmbnfmchjaelnhem), Master Chess (cdpiopekjeonfjeocbfebemgocjciepp), Hockey Shootout (cehdkmmfadpplgchnbjgdngdcjmhlfcc), Odds Of The Gods – Slot Machine (cljengcehefhflhoahaambmkknjekjib), Billiards Pro (clpgopiimdjcilllcjncdkoeikkkcfbi), Three Card Poker (cmeoegkmpbpcoabhlklbamfeidebgmdf), Donuts – Slot Machine (cmlbghnlnbjkdgfjlegkbjmadpbmlgjb), Archer – Slot Machine (cnibdhllkgidlgmaoanhkemjeklneolk), Rugby Rush (cpnfioldnmhaihohppoaebillnambcgn), Bingo (dbohcpohlgnhgjmfkakoniiplglpfhcb), Web Client for game Cricket Batter Challenge (dcamdpfclondppklabgkfaofjccpioil), Slot Machine Zeus Treasures (dljlpildgknddpnahppkihgodokfjbnd), Horse Racing (dlpiookhionidajbiopmaajeckifeehn), Aztec – Slot Machine (dmaibhbbpmdihedidicfeigilkbobcog), Straight 4 (dohenclhhdfljpjlnpjnephpccbdgmmb), Slot The Gold Pot (dpdemambcedffmnkfmkephnhhnclmcio), American Roulette Royale (ejlcbfmhjbkgohopdkijfgggbikgbacb), Asia Slot (eljfpgehlncincemdmmnebmnlcmfamhm), Web Client for game Drive Your Car (enmmilgindjmffoljaojkcgloakmloen), Jurassic Giants – Slot Machine (eoklnfefipnjfeknpmigmogeeepddcch), Street Basketball (fddajeklkkggbnppabbhkdmnkdjindlo), Tarot Side Panel (fibgndhgobbaaekmnneapojgkcehaeac), Dragon Slayer – Slot Machine (fjfhejmbhpabkacpoddjbcfandjoacmb), Best Blackjack (flkdjodmoefccepdihipjdlianmkmhgc), Book Of Magic – Slot Machine (fmajpchoiahphjiligpmghnhmabolhoh), Snake – Slot Machine (gaafhblhbnkekenogcjniofhbicchlke), Dice King – Classic Craps And Roll Game (gbaoddbbpompjhmilbgiaapkkakldlpc), Slot Ramses (gbhhgipmedccnankkjchgcidiigmioio), Battleship War (gfhcdakcnpahfdealajmhcapnhhablbp), Gold Miner 2 (gipmochingljoikdjakkdolfcbphmlom), Greyhound Racing – Dog Race Simulator (glofhphmolanicdaddgkmhfmjidjkaem), Hercules: Sports Legend (haochenfmhglpholokliifmlpafilfdc), Flicking Soccer (hbobdcfpgonejphpemijgjddanoipbkj) y Voodoo Magic – Slot Machine (hdmppejcahhppjhkncagagopecddokpi).

También figuran Web Client for Hockey Shootout – SideGame (heljkmdknlfhiecpknceodpbokeipigo), MASTER CHECKERS (hiofkndodabpioiheinoiojjobadpgmj), Watercraft Rush (hkbihmjhjmehlocilifheeaeiljabenb), Car Rush (hlmdnedepbbihmbddepemmbkenbnoegd), Video Poker Deuces Wild (hmlnefhgicedcmebmkjdcogieefbaagl), Slot Machine Ultimate Soccer (hnpbijogiiaegambgpaenjbcbgaeimlf), Christmas Eve – Slot Machine (ibelidmkbnjmmpjgfibbdbkamgcbnjdm), Columbus Voyage – Slot Machine (ihbkmfoadnfjgkpdmgcboiehapkiflme), High or Low Casino Game (ijccacgjefefdpglhclnbpfjlcbagafm), Goalkeeper Challenge (ijfmkphjcogaealhjgijjfjlkpdhhojk), Tropical Beach – Slot Machine (ijpgccpmogehkjhdmomckpkfcpbjlmnj), BlackJack 3D (imjmnghlhiimodfkdkgnfplhlobehnpm), Web Client for game Classic Bowling (jddinhnhplibccfmniaakhffpjpnaglp), Raging Zeus Mines (jmopjanoebpdbopigcbpjhiigmjolikk), Classic Backgammon (jnmmbmkmbkcccpihjgnhjmhhkokfdnfe), Slot Machine The Fruits (jodocbbdcdclkhjkibnlfhbmllcpfkfo), Baccarat (kahcolfecjbejjjadhjafmihdnifonjf), Mini Golf World (kblomapfkjidbbbdllmofkcakcenkmec), Gold Rush – Slot Machine (kbmindomjiejdikjaagfdbdfpnlanobi), Pirat Slot (kbnkkecifeppobnemkielnpagifkobki), 40 Imperial Crown – Slot Machine (kjnakdbpijigdbfepipnbafnhbcfdkga), 3D Soccer Slot Machine (kknakidneabpfgepadgpkibalcnabnnh), Premium Horse Racing (klglejfbdeipgklgaepnodpjcnhaihkd), Tanks Game (kmiidcaojgeepjlccoalkdimgpfnbagj), Caribbean Stud Poker (lcijkepobdokkgmefebkiejhealgblle), Wild Buffalo – Slot Machine (lefndgfmmbdklidbkeifpgclmpnhcilg), Aqua – Slot Machine (lfkknbmaifjomagejflmjklcmpadmmdg), Game Crypto Merge (ljbgkfbiifhpgpipepnfefijldolkhlm), Sherwood Forest – Slot Machine (lmcpbhamfpbonaenickjclacodolkbdl), Web Client for game Fatboy Dream (lmgenhmehbcolpikplhkoelmagdhoojn), Lone Star Jackpots – Slot Machine (maeccdadgnadblfddcmanhpofobhgfme), Hidden Kitty Game (medkneifmjcpgmmibfppjpfjbkgbgebl), Keno (mheomooihiffmcgldolenemmplpgoahn), Jokers Bonanza – Slot Machine (mmbbjakjlpmndjlbhihlddgcdppblpka), Penalty Kicks (mmbkmjmlnhocfcnjmbchmflamalekbnb), Pai Gow Poker (nbgligggjfgkpphhghhjdoiefbimgooc), Metal Calculator (ncpdkpcgmdhhnmcjgiiifdhefmekdcnf), Farm – Slot Machine (ndajcmifndknmkckdcdefkpgcodciggk), Rail Maze Puzzle (nelbpdjegmhhgpfcjclhdmkcglimkjpp), RED DOG CARD GAME (nkacmelgoeejhjgmmgflbcdhonpaplcg), Coin Miner 2 (nmegibgeklckejdlfhoadhhbgcdjnojb), Black Ninja – Slot Machine (nodobilhjanebkafmpihkpoabiggnnfl), Pyramid Solitaire (oanpifaoclmgmflmddlgkikfaggejobn), Chrome Client for Downhill Ski – SideGame (ocflhkadmmnlbieoiiekfcdcmjcfeahe), Slot Machine Mr Chicken (odeccdcabdffpebnfancpkepjeecempn), Web Client for French Roulette – SideGame (oejhnncfanbaogjlbknmlgjpleachclf), 3D Roulette Casino Game (ogbaedmbbmmipljceodeimlckohbnfan), Slot Machine Space Adventure (ojkbafekojdcedacileemekjdfdpkbkf), Whack ‘em All (pdgaknahllnfldmclpcllpieafkaibmf), Video Poker Jacks or Better (peflgkmfmoijonfgcjdlpnnfdegnlaji), Swimming Pro (phfkdailnomcbcknpdmokejhellbecjb), InterAlt (pkghgkfjhjghinikeanecbgjehojfhdg) y Gold of Egypt – Slot Machine (pllkanemicadpcmkfodglahcocfdgkhj).

Lo que deja esta grieta en la tienda oficial

El golpe reputacional para Chrome no nace solo de que hubiese extensiones maliciosas dentro de la tienda, algo que por desgracia no es nuevo, sino de la escala y de la paciencia del montaje. Ciento ocho fichas, categorías distintas, una infraestructura compartida y un volumen nada despreciable de instalaciones antes de que el caso saltara a la luz. El daño importante no está solo en lo que aún pudiera seguir visible, sino en lo que ya se instaló y se ejecutó.

Y ahí aparece la parte más ingrata del asunto. El navegador se ha convertido en una especie de despacho portátil: correo, banca, redes, mensajería, trabajo, documentos, sesiones abiertas, pestañas que nadie cierra. Meter una extensión maliciosa en ese ecosistema no es colar una aplicación cualquiera. Es poner una mirilla dentro de la casa. Con esa escala, con esa mezcla de utilidades y juegos y con esa apariencia de normalidad, la campaña no parece un accidente. Parece un negocio.