Hackers comprometen extensiones de Chrome: Lo que necesitas saber

Publicado el

Una imagen abstracta que representa las nuevas funcionalidades de ChromeOS 126. La imagen incluye elementos como zoom digital en una webcam, símbolos de inteligencia artificial, conectividad fluida entre un Chromebook y un smartphone Android, y iconos de calendario. El estilo es moderno y orientado a la tecnología, con colores vibrantes que reflejan innovación y accesibilidad.

El ecosistema de extensiones de Chrome, con su vasta gama de herramientas diseñadas para mejorar la navegación y la productividad, ha sufrido un golpe significativo este mes. Hackers lograron inyectar código malicioso en varias extensiones de Chrome, aprovechando cuentas administrativas comprometidas mediante una campaña de phishing. Esta situación plantea serias preocupaciones sobre la seguridad de los datos y la protección de los usuarios.

El ataque: Qué sucedió y cómo ocurrió

La compañía de ciberseguridad Cyberhaven, cuyos productos incluyen extensiones para navegadores que previenen la pérdida de datos, fue una de las víctimas de este ataque. Según un informe publicado por la empresa, su extensión fue comprometida el 24 de diciembre. Los atacantes habrían modificado la extensión para recolectar información sensible, enfocándose principalmente en usuarios de Facebook Ads. Entre los datos robados se encuentran tokens de acceso, identificadores de usuario y cookies.

El código malicioso también implementaba un escuchador de clics del ratón. Esta técnica les permitía a los atacantes completar verificaciones de dos factores (2FA) de manera remota, utilizando la información robada. Cyberhaven detectó el problema el 25 de diciembre y logró eliminar la versión maliciosa de su extensión en menos de una hora, lanzando una versión limpia poco después.

Extensiones afectadas y el alcance del ataque

El ataque no se limitó a Cyberhaven. Según Jaime Blasco, cofundador y CTO de Nudge Security, otras extensiones también fueron comprometidas, incluyendo ParrotTalks, Uvoice y VPNCity. Blasco especula que el ataque no estaba dirigido específicamente a Cyberhaven, sino que se trataba de un esfuerzo oportunista por parte de los hackers para explotar las credenciales de desarrolladores de extensiones. Esto indica un patrón más amplio que podría haber comenzado a mediados de diciembre.

La extensión de Cyberhaven cuenta con aproximadamente 400,000 usuarios corporativos, según datos del Chrome Web Store. Entre sus clientes destacan empresas de tecnología, así como bufetes de abogados y aseguradoras. Aunque Cyberhaven no ha revelado el número exacto de usuarios afectados, ha recomendado a todos sus clientes que revoquen y roten sus contraseñas y credenciales de API para prevenir futuros incidentes.

La naturaleza del ataque y su impacto

Este incidente forma parte de lo que los expertos denominan un ataque a la cadena de suministro de software. En este tipo de ataques, los hackers comprometen un componente en la cadena de desarrollo o distribución, afectando potencialmente a todos los usuarios que confían en él. En este caso, los atacantes lograron acceder a la cuenta administrativa de Cyberhaven en el Chrome Web Store para distribuir una versión infectada de su extensión.

La información robada, como tokens de sesión y cookies, representa un riesgo significativo, ya que permite a los hackers iniciar sesión en cuentas sin necesidad de contraseñas o códigos de autenticación. Esto podría darles acceso a sistemas empresariales críticos, incluyendo herramientas de marketing, inteligencia artificial y redes sociales.

Reacción y medidas adoptadas

Cyberhaven ha respondido al ataque contratando a la firma de respuesta a incidentes Mandiant y colaborando activamente con agencias de aplicación de la ley. Además, la compañía está llevando a cabo una revisión exhaustiva de sus prácticas de seguridad y planea implementar nuevas medidas para evitar incidentes similares en el futuro.

Por su parte, desde WWWhatsnew.com, recomendamos encarecidamente a todos los usuarios que utilicen extensiones de navegadores revisar la configuración de seguridad de sus cuentas y estar atentos a posibles actividades sospechosas. Este caso también subraya la importancia de contar con sistemas de autenticación robustos y la necesidad de rotar contraseñas regularmente.

¿Cómo protegerse de ataques similares?

Para minimizar el riesgo de caer víctima de un ataque similar, es crucial seguir estas prácticas de seguridad:

  • Revisar permisos de extensiones: Asegúrate de que las extensiones instaladas solo tienen acceso a la información necesaria para su funcionamiento.
  • Actualizar extensiones regularmente: Mantener las extensiones actualizadas reduce la posibilidad de utilizar versiones comprometidas.
  • Habilitar autenticación de dos factores: Aunque no es infalible, agregar este nivel de seguridad complica el trabajo de los atacantes.
  • Rotar contraseñas y tokens regularmente: Esto ayuda a mitigar el impacto en caso de que las credenciales sean robadas.
  • Monitorear actividad sospechosa: Revisar los registros de acceso de tus cuentas puede alertarte sobre intentos no autorizados.

Los ataques a extensiones de navegadores destacan cómo un recordatorio de los riesgos que enfrentamos en la era digital. Si bien las herramientas como las extensiones de Chrome pueden aumentar nuestra productividad, también representan un objetivo atractivo para los hackers. Es esencial que las empresas tecnológicas, como Cyberhaven, y los usuarios finales trabajen juntos para fortalecer la seguridad y proteger los datos sensibles.