Las extensiones de navegador se han convertido en una herramienta cotidiana para millones de usuarios que quieren mejorar su experiencia en Chrome, Firefox o Edge. Sirven para traducir páginas, bloquear anuncios, gestionar contraseñas o ganar rapidez al navegar, y en general se instalan con un par de clics desde las tiendas oficiales. Justo por esa comodidad, muchas personas apenas revisan quién está detrás de cada complemento o qué permisos solicita.
Ese descuido abre la puerta a que los ciberdelincuentes utilicen las extensiones como canal silencioso para espiar y robar datos. Una campaña reciente, bautizada como GhostPoster, ha dejado claro hasta qué punto este vector es peligroso: las extensiones fraudulentas se integran como si fueran legítimas, funcionan con aparente normalidad y pueden permanecer activas durante años sin levantar sospechas mientras vigilan la actividad del usuario.
Qué es la campaña GhostPoster y por qué preocupa
Investigaciones de varias firmas de ciberseguridad, entre ellas KOI y LayerX, han sacado a la luz una operación a gran escala que aprovecha las tiendas oficiales de extensiones de Mozilla Firefox, Google Chrome y Microsoft Edge. Bajo la campaña GhostPoster, se han identificado decenas de complementos que, en conjunto, superan las 840.000 instalaciones en todo el mundo, una cifra que da idea del alcance del problema.
Estas extensiones maliciosas se presentan como herramientas de uso corriente: traductores de páginas, bloqueadores de publicidad, supuestas VPN o utilidades para gestionar descargas. Una vez instaladas, se ejecutan en segundo plano, monitorizando lo que hace la víctima en el navegador, accediendo a datos de navegación y, en algunos casos, habilitando puertas traseras que permiten el control remoto del equipo.
Lo especialmente preocupante es que muchas de estas extensiones han estado disponibles durante un largo periodo en los catálogos oficiales, lo que significa que han pasado los filtros de revisión de Chrome Web Store, Firefox Add-ons y la tienda de Edge. Según los análisis difundidos, algunas llevan operativas desde 2020, lo que ha permitido que la campaña se mantenga activa de forma sostenida y sin grandes sobresaltos.
Dentro de GhostPoster, los expertos han identificado además una variante más avanzada y evasiva que, por sí sola, ha logrado más de 3.800 instalaciones. Esta rama destaca por su capacidad para esquivar controles y mezclarse entre extensiones aparentemente legítimas, haciendo todavía más difícil que los usuarios perciban que algo no va bien.
Cómo funcionan las extensiones maliciosas detrás de GhostPoster
Las extensiones de navegador, sean de Chrome, Firefox o Edge, se integran de forma profunda con el software y pueden leer y modificar el contenido de las páginas web, acceder a cookies, historiales y, en algunos casos, interactuar con el sistema operativo. Cuando una extensión está bien diseñada, todo esto sirve para aportar funciones útiles; cuando es maliciosa, ese mismo acceso se convierte en un arma de precisión para los atacantes.
En el caso de GhostPoster, la clave está en que el componente dañino se oculta cuidadosamente. Las investigaciones señalan que los responsables de la campaña esconden parte del código JavaScript dentro de la imagen PNG del icono de la extensión. Esta técnica, conocida como esteganografía, permite camuflar información en archivos aparentemente inocuos, de forma que a simple vista solo se ve un logo normal, pero en su interior se aloja el código que después se ejecutará.
Ese código oculto se activa una vez instalada la extensión y se encarga de espiar la actividad del usuario en tiempo real. Puede registrar qué páginas se visitan, qué formularios se rellenan o qué servicios se utilizan, así como interceptar información sensible como credenciales o tokens de sesión. En determinados casos, también descarga módulos adicionales que terminan por abrir una puerta trasera en el equipo afectado, otorgando a los atacantes la capacidad de conectarse a distancia.
Al usar esteganografía, los ciberdelincuentes consiguen que el componente malicioso pase relativamente desapercibido durante las revisiones automatizadas de las tiendas de extensiones. Los sistemas de análisis suelen revisar el código visible y el comportamiento declarado, pero pueden no detectar que dentro de una simple imagen se esconde el verdadero núcleo del ataque. Este enfoque incrementa la dificultad para las plataformas que intentan frenar la publicación de complementos fraudulentos.
Además, los complementos vinculados a GhostPoster imitan con bastante fidelidad las funciones de las herramientas legítimas a las que dicen parecerse. Ofrecen, por ejemplo, traducción de páginas o bloqueo básico de anuncios, lo que refuerza la sensación de normalidad. Mientras el usuario cree estar usando una extensión útil, en segundo plano se está generando un flujo constante de información hacia los servidores controlados por el atacante.
El papel de KOI y LayerX en el descubrimiento de la campaña
El destape de GhostPoster no se ha producido de la noche a la mañana. Durante diciembre, los analistas de la firma de seguridad KOI detectaron un primer grupo de 17 extensiones maliciosas publicadas en la tienda oficial de Mozilla Firefox. Todas se orientaban a usuarios que buscaban utilidades comunes y, en conjunto, sumaban más de 50.000 descargas.
Poco después, la empresa de ciberseguridad LayerX continuó con la investigación y localizó otro paquete de 17 complementos similares distribuidos a través de los catálogos de Microsoft Edge y Google Chrome. Al añadir estas nuevas detecciones, la cifra total de instalaciones asociadas a GhostPoster se disparó hasta superar las 840.000 entre los tres navegadores, lo que configura una campaña con un impacto global nada despreciable.
Los informes publicados detallan que todas estas extensiones compartían patrones de comportamiento y estructuras técnicas muy parecidas, lo que llevó a concluir que formaban parte de un mismo esquema coordinado. Entre los objetivos identificados se encuentran la vigilancia en tiempo real de la navegación, la recolección masiva de datos y la introducción silenciosa de puertas traseras en los equipos.
Durante el análisis, KOI y LayerX destacaron que la operación GhostPoster no es un incidente aislado, sino la muestra de una estrategia sostenida durante varios años para explotar el ecosistema de extensiones. Los investigadores subrayan que la combinación de un gran volumen de instalaciones y una detección tardía ha permitido que los atacantes mantuvieran sus campañas activas con un margen de maniobra amplio.
Los propios proveedores de navegadores se enfrentan, según los expertos, a una tarea compleja: detectar herramientas maliciosas que imitan servicios muy populares. Aunque existen controles automatizados y procesos de revisión, la experiencia demuestra que no siempre son suficientes para frenar extensiones que adoptan tácticas avanzadas de ocultamiento como las vistas en GhostPoster.
Quién está detrás: el grupo Darkspectre y sus campañas previas
La investigación señala a un actor bien conocido en el ámbito de la ciberseguridad: Darkspectre. Este grupo lleva años utilizando extensiones de navegador para distribuir malware y se le atribuyen operaciones anteriores como ShadyPanda y The Zoom Stealer, que comparten recursos técnicos e infraestructura con GhostPoster.
Según los datos recopilados, Darkspectre ha ido perfeccionando sus tácticas con el paso del tiempo. Las campañas previas ya mostraban un interés especial por infiltrarse a través de canales aparentemente de confianza, como las tiendas oficiales de complementos. GhostPoster sería, en ese sentido, una evolución de una línea de trabajo que busca maximizar el alcance sin levantar alarmas inmediatas.
LayerX explica que el seguimiento de la infraestructura utilizada en GhostPoster, ShadyPanda y The Zoom Stealer ha permitido documentar la evolución técnica de estas amenazas. Los investigadores han observado cómo se reutilizan dominios, servidores y fragmentos de código en distintos ataques, adaptando las herramientas a las medidas de seguridad que van implementando las plataformas.
Uno de los elementos que más preocupa a las firmas de seguridad es que algunas extensiones vinculadas a Darkspectre habrían permanecido activas desde 2020 sin ser detectadas. Esta persistencia pone de relieve tanto la sofisticación de los atacantes como las limitaciones de los sistemas automáticos de revisión, que no siempre son capaces de identificar patrones maliciosos cuando se ocultan en componentes poco habituales, como los iconos gráficos.
Los informes también recogen que, desde el punto de vista operativo, GhostPoster se apoya en técnicas de evasión muy refinadas. Entre ellas se incluyen la carga diferida de componentes, la activación sólo bajo determinadas condiciones de navegación o el uso de comunicaciones discretas con los servidores de mando y control. Todo ello contribuye a reducir el ruido y mantenerse fuera del radar durante el mayor tiempo posible.
Extensiones, un vector de ataque cada vez más habitual
Más allá de GhostPoster, los expertos llevan tiempo advirtiendo de que las extensiones son un objetivo recurrente para los ciberdelincuentes. Su popularidad y la confianza que generan al proceder, en teoría, de tiendas oficiales, las convierten en un canal ideal para colar software malicioso sin que el usuario sospeche.
En muchos casos, las víctimas descargan estos complementos porque prometen funciones atractivas y gratuitas: eliminar publicidad invasiva, mejorar la privacidad, acelerar el navegador o automatizar tareas repetitivas. El problema es que, una vez concedidos los permisos, la extensión puede acceder a un volumen considerable de información sin necesidad de volver a pedir autorización.
Las campañas como GhostPoster demuestran que, incluso cuando la extensión cumple con parte de lo que promete, puede estar llevando a cabo actividades ocultas. Es decir, el complemento puede bloquear anuncios o traducir páginas de forma normal, pero simultáneamente recopilar datos de navegación, interceptar credenciales o comunicarse con servidores externos para descargar nuevas instrucciones.
El uso de técnicas como la esteganografía en imágenes o la ejecución de código ofuscado dificulta en gran medida la tarea de análisis. Los sistemas de seguridad tradicionales tienden a buscar patrones conocidos, pero cuando el código malicioso se esconde en archivos gráficos o se distribuye en pequeñas porciones entre varios componentes, la identificación se vuelve mucho más complicada.
Este escenario obliga tanto a los desarrolladores de navegadores como a las propias tiendas de extensiones a reforzar los mecanismos de verificación. Los expertos apuntan que será necesario combinar análisis automatizados más profundos, auditorías manuales y un mayor seguimiento del comportamiento real de las extensiones una vez publicadas, especialmente en aquellas que logran un número elevado de instalaciones en poco tiempo.
Impacto para usuarios de Europa y recomendaciones básicas
La campaña GhostPoster tiene un alcance global, pero afecta también a usuarios de España y del resto de Europa, donde Chrome, Firefox y Edge concentran la práctica totalidad del uso de navegadores en entornos domésticos y profesionales. Cualquier persona que haya instalado extensiones de traducción, bloqueo de anuncios o VPN en los últimos años podría haberse visto expuesta si el complemento formaba parte de la lista maliciosa.
Las autoridades y los equipos de respuesta europeos toman como referencia los informes de empresas como KOI y LayerX para actualizar sus alertas y normas de seguridad informática. La recomendación general es revisar periódicamente las extensiones instaladas y desinstalar aquellas que no se utilicen o de las que no se tenga claro su origen. No es raro acumular complementos que se usaron una vez y quedaron olvidados, pero que siguen teniendo acceso al navegador.
Para reducir riesgos, los especialistas aconsejan priorizar extensiones desarrolladas por entidades reconocidas, comprobar las valoraciones y el número de usuarios, y desconfiar de soluciones que prometen demasiadas funciones en un único paquete. También se recomienda revisar los permisos solicitados antes de instalar, especialmente cuando un complemento pide acceso completo a todos los datos de navegación sin que parezca estrictamente necesario.
En el ámbito empresarial, donde la navegación suele implicar acceso a información sensible y servicios internos, las organizaciones europeas están incorporando políticas específicas para controlar qué extensiones se pueden utilizar en los equipos corporativos. Entre las medidas habituales figura la creación de listas blancas de complementos permitidos, la supervisión centralizada y el uso de soluciones de seguridad capaces de monitorizar la actividad en los navegadores.
Para los usuarios particulares que sospechen haber instalado una extensión potencialmente maliciosa, los expertos recomiendan eliminar el complemento, pasar un análisis con un antivirus fiable y, si persisten las dudas, acudir a un profesional especializado en ciberseguridad. En campañas complejas como GhostPoster, puede que la simple desinstalación no sea suficiente si se ha llegado a instalar malware adicional en el sistema.
El caso de GhostPoster pone sobre la mesa hasta qué punto la confianza ciega en las tiendas oficiales de extensiones puede resultar arriesgada. Aunque sigan siendo el canal más seguro frente a descargas desde webs desconocidas, la experiencia muestra que no son infalibles y que los atacantes saben adaptarse a sus controles. La combinación de un uso más crítico por parte de los usuarios, procesos de revisión más exigentes y una vigilancia continuada por parte de las empresas de seguridad será clave para frenar campañas similares en el futuro.
