Durante más de siete años seguidos, una operación de cibercrimen a gran escala ha conseguido colarse en los principales navegadores del mercado, incluyendo Google Chrome y Microsoft Edge, a través de extensiones aparentemente inofensivas. El alcance del ataque es tan grande que se calcula que al menos 8,8 millones de usuarios en todo el mundo podrían haberse visto afectados, muchos de ellos en Europa y España.
La investigación, liderada por especialistas en ciberseguridad como la firma Koi.ai, ha destapado una red criminal altamente organizada, bautizada como DarkSpectre, que habría aprovechado la confianza en las tiendas oficiales de extensiones para distribuir software malicioso. Lo más preocupante es que la mayoría de los afectados no tenía ninguna sospecha de que sus datos bancarios, credenciales o información corporativa estaban siendo capturados en segundo plano.
Un ataque silencioso que explotó las extensiones de Chrome y Edge
Según los datos revelados por los investigadores, DarkSpectre construyó una infraestructura compleja para publicar y mantener cerca de 300 extensiones maliciosas en las tiendas oficiales de Chrome, Edge, Firefox y Opera. Muchas de estas extensiones se presentaban como utilidades muy cotidianas: desde gestores de pestañas y traductores, hasta bloqueadores de anuncios o herramientas para mejorar la productividad.
El truco consistía en ofrecer funciones legítimas en un primer momento, ganando así descargas y una buena reputación basada en reseñas y valoraciones positivas generadas de forma artificial. Una vez que las extensiones alcanzaban un número significativo de usuarios, los atacantes empujaban actualizaciones encubiertas que incorporaban el código malicioso sin que el usuario apreciara cambios evidentes en el funcionamiento.
En el caso de los navegadores basados en Chromium, como Google Chrome y Microsoft Edge, se detectó una red de extensiones tipo “caballo de Troya” que se camuflaban como herramientas de personalización o bloqueadores de anuncios. En una fase del ataque se identificaron al menos 30 extensiones especialmente populares capaces de robar credenciales bancarias, contraseñas de redes sociales y datos de formularios de autocompletado, enviando toda esa información en tiempo real a servidores bajo control de los ciberdelincuentes.
Además del robo de datos, varias de estas extensiones incluían funciones de inyección de publicidad y redirección de búsquedas. Esto permitía mostrar anuncios invasivos, desviar al usuario hacia sitios de phishing y multiplicar las posibilidades de fraude, incluyendo la suplantación de páginas de bancos o servicios de pago muy utilizados en España y el resto de Europa.
Más de 8,8 millones de víctimas y tres grandes campañas coordinadas
La magnitud del ataque se refleja en las cifras que manejan los servicios de inteligencia y las empresas de ciberseguridad: se estima que 8,8 millones de usuarios han sido impactados en todo el mundo por las distintas campañas asociadas a DarkSpectre. Para lograrlo, el grupo habría mantenido tres líneas de ataque bien diferenciadas, conocidas como ShadyPanda, GhostPoster y Zoom Stealer.
La campaña ShadyPanda fue la más agresiva en términos de volumen. A través de más de 100 extensiones maliciosas, principalmente orientadas a manipular el tráfico de comercio electrónico, habría llegado a comprometer los datos de aproximadamente 5,6 millones de usuarios. Una vez activadas las funciones ocultas, estas extensiones podían modificar enlaces en portales de compras, redirigir pagos a páginas fraudulentas o inyectar código adicional para seguir rastreando la actividad del usuario.
Los expertos señalan que estas maniobras afectaron a tiendas en línea y servicios de pago muy utilizados en la Unión Europea, lo que abre la puerta a fraudes financieros transfronterizos y posibles problemas de cumplimiento normativo para las plataformas que no detectaron a tiempo la manipulación del tráfico.
La segunda gran ofensiva, denominada GhostPoster, tuvo como objetivo principal a los navegadores Firefox y Opera, que contaban con controles de seguridad algo menos estrictos que Chrome y Edge. En este caso, el elemento diferencial fue el uso de esteganografía: los atacantes ocultaban código JavaScript malicioso dentro de archivos de imagen PNG, lo que permitía ejecutar instrucciones remotas y descargar nuevos módulos de malware sin levantar sospechas.
Uno de los ejemplos más llamativos fue la clonación de una extensión de Google Translate para Opera, que actuaba como una herramienta legítima a simple vista. Sin embargo, en segundo plano instalaba una puerta trasera mediante un iframe oculto, desactivaba protecciones antifraude del navegador y establecía conexión con servidores previamente vinculados a otras operaciones de DarkSpectre, generando un canal permanente de acceso al sistema de la víctima.
Zoom Stealer: el salto al espionaje en videollamadas corporativas
La tercera fase del ataque, identificada como Zoom Stealer, dio un salto cualitativo al enfocarse de lleno en el entorno empresarial. A finales de 2025, los investigadores detectaron al menos 18 extensiones específicas dirigidas a plataformas de videoconferencia como Zoom, Microsoft Teams y Google Meet, con un impacto estimado en 2,2 millones de usuarios.
Estas extensiones se promovían como complementos ideales para teletrabajo y reuniones a distancia: prometían resumir vídeos, guardar enlaces de interés, generar listados de participantes o elaborar un resumen automático de cada sesión. Un perfil muy atractivo para compañías españolas y europeas que consolidaron el trabajo híbrido y remoto durante los últimos años.
Tras su instalación, las herramientas comenzaban a interceptar información crítica de las videollamadas: enlaces de acceso, identificadores de reunión, contraseñas de invitado y, en algunos casos, contenidos compartidos o metadatos relacionados con presentaciones y documentos discutidos durante las sesiones.
Con estos datos, los atacantes lograban acceder a reuniones privadas, muchas de ellas de alto nivel, y creaban repositorios de inteligencia profesional y comercial con un valor estratégico enorme. Según las fuentes consultadas, se vieron comprometidas comunicaciones internas sobre planes de negocio, acuerdos de inversión, estrategias de mercado y otros asuntos muy sensibles para la competitividad de las empresas implicadas.
En paralelo, Zoom Stealer aprovechaba los amplios permisos concedidos a las extensiones para llevar a cabo exfiltración de credenciales en tiempo real. Esto incluía datos de inicio de sesión corporativos, claves de acceso a herramientas en la nube y perfiles profesionales que luego podían reutilizarse en ataques dirigidos, como campañas de phishing altamente personalizadas contra empleados de organizaciones europeas.
Impacto en usuarios y empresas de Europa y España
El caso DarkSpectre ha puesto de manifiesto hasta qué punto la cadena de confianza en las tiendas de extensiones puede convertirse en un punto débil para ciudadanos y organizaciones. Aunque el ataque tuvo un alcance global, las autoridades europeas y los equipos de respuesta a incidentes de varios países, incluido España, vigilan de cerca el impacto sobre usuarios locales.
Para los usuarios particulares, las consecuencias se traducen en vigilancia encubierta de su actividad online, posible sustracción de identidad, cargos indebidos en compras por internet y filtración de datos personales que podrían acabar en foros clandestinos. Muchos afectados ni siquiera advertirán que han sido víctimas, ya que la mayoría de las extensiones seguía funcionando con normalidad en apariencia.
En el terreno corporativo, el golpe es aún más serio. Las compañías europeas que basan buena parte de sus operaciones en herramientas en la nube y videoconferencias se enfrentan a riesgos de espionaje industrial, filtraciones de acuerdos estratégicos y exposición de información confidencial sobre clientes, proveedores y socios. Además, las empresas pueden verse obligadas a notificar incidentes de seguridad en el marco de normativas como el Reglamento General de Protección de Datos (RGPD), asumiendo costes reputacionales y posibles sanciones.
Los informes preliminares apuntan a que la red criminal habría construido auténticos almacenes de datos corporativos a partir de conversaciones privadas, documentos compartidos en reuniones y accesos no autorizados a intranets o servicios internos. Esa información resulta extremadamente valiosa tanto para la venta en mercados clandestinos como para campañas de chantaje o competencia desleal.
Las autoridades europeas colaboran con proveedores tecnológicos para mejorar los sistemas de detección en las tiendas de extensiones y para reforzar los controles sobre el uso de datos personales. Sin embargo, los especialistas recuerdan que ningún sistema automático es infalible y que la última línea de defensa sigue siendo el propio usuario y sus hábitos de seguridad.
Cómo protegerse tras el ciberataque masivo en Chrome y Edge
Ante un escenario tan prolongado y sofisticado, los expertos en ciberseguridad recomiendan una serie de medidas inmediatas para reducir el impacto del ataque y evitar nuevas infecciones, especialmente entre los usuarios de Chrome y Edge en España y el resto de Europa.
El primer paso es realizar una auditoría completa de las extensiones instaladas en todos los navegadores. Es aconsejable revisar una por una y desinstalar cualquier complemento que no se reconozca, que no se utilice habitualmente o que no provenga de un desarrollador de confianza. En caso de duda, mejor eliminar y volver a instalar solo desde la fuente oficial del proveedor si realmente es necesario.
También es fundamental comprobar que el navegador está actualizado a la última versión disponible. Tanto Google como Microsoft han ido incorporando parches para bloquear parte de las técnicas utilizadas por DarkSpectre, de modo que las versiones más recientes incluyen mejoras específicas en la detección de comportamientos sospechosos y en la gestión de permisos de extensiones.
En cuanto a las cuentas en línea, se recomienda cambiar las contraseñas de servicios críticos (correo electrónico, banca digital, redes sociales, herramientas corporativas) si existe la sospecha de haber utilizado alguna extensión comprometida. Conviene aprovechar para utilizar claves únicas y robustas en cada servicio, idealmente con la ayuda de un gestor de contraseñas.
Además, los especialistas insisten en activar la autenticación en dos factores (2FA) siempre que sea posible. Este mecanismo añade una capa de protección extra, de manera que, aunque un atacante consiga una contraseña, lo tendrá mucho más difícil para acceder a la cuenta sin el código temporal o el segundo elemento de verificación.
Por último, para las organizaciones que dependen intensamente de plataformas como Zoom, Teams o Google Meet, se recomienda realizar revisiones periódicas de las extensiones instaladas en los navegadores corporativos, implantar políticas de seguridad que limiten la instalación de complementos no autorizados y formar a los empleados en la detección de posibles engaños, tanto en extensiones como en correos o enlaces que puedan acompañar a campañas similares.
Todo lo descubierto alrededor de DarkSpectre y sus campañas ShadyPanda, GhostPoster y Zoom Stealer refleja hasta qué punto las extensiones de navegador se han convertido en un objetivo prioritario para los ciberdelincuentes. La combinación de confianza en las tiendas oficiales, funciones útiles y reseñas manipuladas ha permitido mantener durante años un ataque silencioso con enorme impacto en usuarios particulares y empresas, algo que obliga a replantearse la forma en que instalamos y gestionamos estos complementos en nuestro día a día digital.
