Las extensiones de navegador se han convertido en una herramienta cotidiana para millones de usuarios que quieren mejorar su experiencia en Chrome, Firefox o Edge. Sirven para traducir pƔginas, bloquear anuncios, gestionar contraseƱas o ganar rapidez al navegar, y en general se instalan con un par de clics desde las tiendas oficiales. Justo por esa comodidad, muchas personas apenas revisan quiƩn estƔ detrƔs de cada complemento o quƩ permisos solicita.
Ese descuido abre la puerta a que los ciberdelincuentes utilicen las extensiones como canal silencioso para espiar y robar datos. Una campaƱa reciente, bautizada como GhostPoster, ha dejado claro hasta quĆ© punto este vector es peligroso: las extensiones fraudulentas se integran como si fueran legĆtimas, funcionan con aparente normalidad y pueden permanecer activas durante aƱos sin levantar sospechas mientras vigilan la actividad del usuario.
QuƩ es la campaƱa GhostPoster y por quƩ preocupa
Investigaciones de varias firmas de ciberseguridad, entre ellas KOI y LayerX, han sacado a la luz una operaciĆ³n a gran escala que aprovecha las tiendas oficiales de extensiones de Mozilla Firefox, Google Chrome y Microsoft Edge. Bajo la campaƱa GhostPoster, se han identificado decenas de complementos que, en conjunto, superan las 840.000 instalaciones en todo el mundo, una cifra que da idea del alcance del problema.
Estas extensiones maliciosas se presentan como herramientas de uso corriente: traductores de pĆ”ginas, bloqueadores de publicidad, supuestas VPN o utilidades para gestionar descargas. Una vez instaladas, se ejecutan en segundo plano, monitorizando lo que hace la vĆctima en el navegador, accediendo a datos de navegaciĆ³n y, en algunos casos, habilitando puertas traseras que permiten el control remoto del equipo.
Lo especialmente preocupante es que muchas de estas extensiones han estado disponibles durante un largo periodo en los catĆ”logos oficiales, lo que significa que han pasado los filtros de revisiĆ³n de Chrome Web Store, Firefox Add-ons y la tienda de Edge. SegĆŗn los anĆ”lisis difundidos, algunas llevan operativas desde 2020, lo que ha permitido que la campaƱa se mantenga activa de forma sostenida y sin grandes sobresaltos.
Dentro de GhostPoster, los expertos han identificado ademĆ”s una variante mĆ”s avanzada y evasiva que, por sĆ sola, ha logrado mĆ”s de 3.800 instalaciones. Esta rama destaca por su capacidad para esquivar controles y mezclarse entre extensiones aparentemente legĆtimas, haciendo todavĆa mĆ”s difĆcil que los usuarios perciban que algo no va bien.
CĆ³mo funcionan las extensiones maliciosas detrĆ”s de GhostPoster
Las extensiones de navegador, sean de Chrome, Firefox o Edge, se integran de forma profunda con el software y pueden leer y modificar el contenido de las pĆ”ginas web, acceder a cookies, historiales y, en algunos casos, interactuar con el sistema operativo. Cuando una extensiĆ³n estĆ” bien diseƱada, todo esto sirve para aportar funciones Ćŗtiles; cuando es maliciosa, ese mismo acceso se convierte en un arma de precisiĆ³n para los atacantes.
En el caso de GhostPoster, la clave estĆ” en que el componente daƱino se oculta cuidadosamente. Las investigaciones seƱalan que los responsables de la campaƱa esconden parte del cĆ³digo JavaScript dentro de la imagen PNG del icono de la extensiĆ³n. Esta tĆ©cnica, conocida como esteganografĆa, permite camuflar informaciĆ³n en archivos aparentemente inocuos, de forma que a simple vista solo se ve un logo normal, pero en su interior se aloja el cĆ³digo que despuĆ©s se ejecutarĆ”.
Ese cĆ³digo oculto se activa una vez instalada la extensiĆ³n y se encarga de espiar la actividad del usuario en tiempo real. Puede registrar quĆ© pĆ”ginas se visitan, quĆ© formularios se rellenan o quĆ© servicios se utilizan, asĆ como interceptar informaciĆ³n sensible como credenciales o tokens de sesiĆ³n. En determinados casos, tambiĆ©n descarga mĆ³dulos adicionales que terminan por abrir una puerta trasera en el equipo afectado, otorgando a los atacantes la capacidad de conectarse a distancia.
Al usar esteganografĆa, los ciberdelincuentes consiguen que el componente malicioso pase relativamente desapercibido durante las revisiones automatizadas de las tiendas de extensiones. Los sistemas de anĆ”lisis suelen revisar el cĆ³digo visible y el comportamiento declarado, pero pueden no detectar que dentro de una simple imagen se esconde el verdadero nĆŗcleo del ataque. Este enfoque incrementa la dificultad para las plataformas que intentan frenar la publicaciĆ³n de complementos fraudulentos.
AdemĆ”s, los complementos vinculados a GhostPoster imitan con bastante fidelidad las funciones de las herramientas legĆtimas a las que dicen parecerse. Ofrecen, por ejemplo, traducciĆ³n de pĆ”ginas o bloqueo bĆ”sico de anuncios, lo que refuerza la sensaciĆ³n de normalidad. Mientras el usuario cree estar usando una extensiĆ³n Ćŗtil, en segundo plano se estĆ” generando un flujo constante de informaciĆ³n hacia los servidores controlados por el atacante.
El papel de KOI y LayerX en el descubrimiento de la campaƱa
El destape de GhostPoster no se ha producido de la noche a la maƱana. Durante diciembre, los analistas de la firma de seguridad KOI detectaron un primer grupo de 17 extensiones maliciosas publicadas en la tienda oficial de Mozilla Firefox. Todas se orientaban a usuarios que buscaban utilidades comunes y, en conjunto, sumaban mƔs de 50.000 descargas.
Poco despuĆ©s, la empresa de ciberseguridad LayerX continuĆ³ con la investigaciĆ³n y localizĆ³ otro paquete de 17 complementos similares distribuidos a travĆ©s de los catĆ”logos de Microsoft Edge y Google Chrome. Al aƱadir estas nuevas detecciones, la cifra total de instalaciones asociadas a GhostPoster se disparĆ³ hasta superar las 840.000 entre los tres navegadores, lo que configura una campaƱa con un impacto global nada despreciable.
Los informes publicados detallan que todas estas extensiones compartĆan patrones de comportamiento y estructuras tĆ©cnicas muy parecidas, lo que llevĆ³ a concluir que formaban parte de un mismo esquema coordinado. Entre los objetivos identificados se encuentran la vigilancia en tiempo real de la navegaciĆ³n, la recolecciĆ³n masiva de datos y la introducciĆ³n silenciosa de puertas traseras en los equipos.
Durante el anĆ”lisis, KOI y LayerX destacaron que la operaciĆ³n GhostPoster no es un incidente aislado, sino la muestra de una estrategia sostenida durante varios aƱos para explotar el ecosistema de extensiones. Los investigadores subrayan que la combinaciĆ³n de un gran volumen de instalaciones y una detecciĆ³n tardĆa ha permitido que los atacantes mantuvieran sus campaƱas activas con un margen de maniobra amplio.
Los propios proveedores de navegadores se enfrentan, segĆŗn los expertos, a una tarea compleja: detectar herramientas maliciosas que imitan servicios muy populares. Aunque existen controles automatizados y procesos de revisiĆ³n, la experiencia demuestra que no siempre son suficientes para frenar extensiones que adoptan tĆ”cticas avanzadas de ocultamiento como las vistas en GhostPoster.
QuiƩn estƔ detrƔs: el grupo Darkspectre y sus campaƱas previas
La investigaciĆ³n seƱala a un actor bien conocido en el Ć”mbito de la ciberseguridad: Darkspectre. Este grupo lleva aƱos utilizando extensiones de navegador para distribuir malware y se le atribuyen operaciones anteriores como ShadyPanda y The Zoom Stealer, que comparten recursos tĆ©cnicos e infraestructura con GhostPoster.
SegĆŗn los datos recopilados, Darkspectre ha ido perfeccionando sus tĆ”cticas con el paso del tiempo. Las campaƱas previas ya mostraban un interĆ©s especial por infiltrarse a travĆ©s de canales aparentemente de confianza, como las tiendas oficiales de complementos. GhostPoster serĆa, en ese sentido, una evoluciĆ³n de una lĆnea de trabajo que busca maximizar el alcance sin levantar alarmas inmediatas.
LayerX explica que el seguimiento de la infraestructura utilizada en GhostPoster, ShadyPanda y The Zoom Stealer ha permitido documentar la evoluciĆ³n tĆ©cnica de estas amenazas. Los investigadores han observado cĆ³mo se reutilizan dominios, servidores y fragmentos de cĆ³digo en distintos ataques, adaptando las herramientas a las medidas de seguridad que van implementando las plataformas.
Uno de los elementos que mĆ”s preocupa a las firmas de seguridad es que algunas extensiones vinculadas a Darkspectre habrĆan permanecido activas desde 2020 sin ser detectadas. Esta persistencia pone de relieve tanto la sofisticaciĆ³n de los atacantes como las limitaciones de los sistemas automĆ”ticos de revisiĆ³n, que no siempre son capaces de identificar patrones maliciosos cuando se ocultan en componentes poco habituales, como los iconos grĆ”ficos.
Los informes tambiĆ©n recogen que, desde el punto de vista operativo, GhostPoster se apoya en tĆ©cnicas de evasiĆ³n muy refinadas. Entre ellas se incluyen la carga diferida de componentes, la activaciĆ³n sĆ³lo bajo determinadas condiciones de navegaciĆ³n o el uso de comunicaciones discretas con los servidores de mando y control. Todo ello contribuye a reducir el ruido y mantenerse fuera del radar durante el mayor tiempo posible.
Extensiones, un vector de ataque cada vez mƔs habitual
MĆ”s allĆ” de GhostPoster, los expertos llevan tiempo advirtiendo de que las extensiones son un objetivo recurrente para los ciberdelincuentes. Su popularidad y la confianza que generan al proceder, en teorĆa, de tiendas oficiales, las convierten en un canal ideal para colar software malicioso sin que el usuario sospeche.
En muchos casos, las vĆctimas descargan estos complementos porque prometen funciones atractivas y gratuitas: eliminar publicidad invasiva, mejorar la privacidad, acelerar el navegador o automatizar tareas repetitivas. El problema es que, una vez concedidos los permisos, la extensiĆ³n puede acceder a un volumen considerable de informaciĆ³n sin necesidad de volver a pedir autorizaciĆ³n.
Las campaƱas como GhostPoster demuestran que, incluso cuando la extensiĆ³n cumple con parte de lo que promete, puede estar llevando a cabo actividades ocultas. Es decir, el complemento puede bloquear anuncios o traducir pĆ”ginas de forma normal, pero simultĆ”neamente recopilar datos de navegaciĆ³n, interceptar credenciales o comunicarse con servidores externos para descargar nuevas instrucciones.
El uso de tĆ©cnicas como la esteganografĆa en imĆ”genes o la ejecuciĆ³n de cĆ³digo ofuscado dificulta en gran medida la tarea de anĆ”lisis. Los sistemas de seguridad tradicionales tienden a buscar patrones conocidos, pero cuando el cĆ³digo malicioso se esconde en archivos grĆ”ficos o se distribuye en pequeƱas porciones entre varios componentes, la identificaciĆ³n se vuelve mucho mĆ”s complicada.
Este escenario obliga tanto a los desarrolladores de navegadores como a las propias tiendas de extensiones a reforzar los mecanismos de verificaciĆ³n. Los expertos apuntan que serĆ” necesario combinar anĆ”lisis automatizados mĆ”s profundos, auditorĆas manuales y un mayor seguimiento del comportamiento real de las extensiones una vez publicadas, especialmente en aquellas que logran un nĆŗmero elevado de instalaciones en poco tiempo.
Impacto para usuarios de Europa y recomendaciones bƔsicas
La campaƱa GhostPoster tiene un alcance global, pero afecta tambiĆ©n a usuarios de EspaƱa y del resto de Europa, donde Chrome, Firefox y Edge concentran la prĆ”ctica totalidad del uso de navegadores en entornos domĆ©sticos y profesionales. Cualquier persona que haya instalado extensiones de traducciĆ³n, bloqueo de anuncios o VPN en los Ćŗltimos aƱos podrĆa haberse visto expuesta si el complemento formaba parte de la lista maliciosa.
Las autoridades y los equipos de respuesta europeos toman como referencia los informes de empresas como KOI y LayerX para actualizar sus alertas y normas de seguridad informĆ”tica. La recomendaciĆ³n general es revisar periĆ³dicamente las extensiones instaladas y desinstalar aquellas que no se utilicen o de las que no se tenga claro su origen. No es raro acumular complementos que se usaron una vez y quedaron olvidados, pero que siguen teniendo acceso al navegador.
Para reducir riesgos, los especialistas aconsejan priorizar extensiones desarrolladas por entidades reconocidas, comprobar las valoraciones y el nĆŗmero de usuarios, y desconfiar de soluciones que prometen demasiadas funciones en un Ćŗnico paquete. TambiĆ©n se recomienda revisar los permisos solicitados antes de instalar, especialmente cuando un complemento pide acceso completo a todos los datos de navegaciĆ³n sin que parezca estrictamente necesario.
En el Ć”mbito empresarial, donde la navegaciĆ³n suele implicar acceso a informaciĆ³n sensible y servicios internos, las organizaciones europeas estĆ”n incorporando polĆticas especĆficas para controlar quĆ© extensiones se pueden utilizar en los equipos corporativos. Entre las medidas habituales figura la creaciĆ³n de listas blancas de complementos permitidos, la supervisiĆ³n centralizada y el uso de soluciones de seguridad capaces de monitorizar la actividad en los navegadores.
Para los usuarios particulares que sospechen haber instalado una extensiĆ³n potencialmente maliciosa, los expertos recomiendan eliminar el complemento, pasar un anĆ”lisis con un antivirus fiable y, si persisten las dudas, acudir a un profesional especializado en ciberseguridad. En campaƱas complejas como GhostPoster, puede que la simple desinstalaciĆ³n no sea suficiente si se ha llegado a instalar malware adicional en el sistema.
El caso de GhostPoster pone sobre la mesa hasta quĆ© punto la confianza ciega en las tiendas oficiales de extensiones puede resultar arriesgada. Aunque sigan siendo el canal mĆ”s seguro frente a descargas desde webs desconocidas, la experiencia muestra que no son infalibles y que los atacantes saben adaptarse a sus controles. La combinaciĆ³n de un uso mĆ”s crĆtico por parte de los usuarios, procesos de revisiĆ³n mĆ”s exigentes y una vigilancia continuada por parte de las empresas de seguridad serĆ” clave para frenar campaƱas similares en el futuro.
