Más de 260.000 usuarios de Chrome se vieron afectados por 30 extensiones de IA falsas que roban datos de navegación y correo electrónico
Decenas de miles de personas han descargado lo que creían que eran herramientas de inteligencia artificial útiles para sus navegadores, solo para brindarles a los piratas informáticos un camino directo a su actividad en línea más privada, incluidos los correos electrónicos.
Según LayerX, más de 260.000 usuarios de Chrome instalaron al menos 30 extensiones maliciosas que se hacían pasar por asistentes de IA. Estas afirmaban ofrecer funciones como soporte por chat, borradores de correo electrónico y resúmenes de contenido, pero en realidad, extraían datos silenciosamente.
El nombre de la IA de confianza se utiliza como tapadera
El momento no fue casual. Con la adopción entusiasta de herramientas de IA tanto para uso laboral como personal, los atacantes aprovecharon ese entusiasmo para infiltrarse sin ser detectados. Las extensiones falsas afirmaban estar vinculadas a servicios de IA conocidos como ChatGPT, Claude, Gemini y Grok, marcas que inspiran reconocimiento y confianza instantáneos.
Aunque tenían nombres diferentes, logotipos variados y descripciones distintas, las 30 extensiones eran fundamentalmentedenten su interior. Ejecutaban el mismo código subyacente, solicitaban los mismos permisos generales y canalizaban datos a los mismos servidores ocultos.
Los investigadores de LayerX describieron este enfoque como "rociado de extensiones", inundando la tienda con variantes casi dent para evadir la detección y eliminación por parte de los moderadores de Chrome Web Store. La estrategia dio sus frutos: varias incluso obtuvieron una posición destacada, lo que aumentó su aparente legitimidad y contribuyó a acumular más instalaciones.
Lo que hacía a estas extensiones particularmente insidiosas era su método de funcionamiento. En lugar de realizar un procesamiento de IA genuino localmente en el dispositivo del usuario, introdujeron superposiciones ocultas de pantalla completa alojadas en servidores controlados por el atacante, un dominio confirmado como tapnetic.pro.
Esta configuración permitía a los operadores modificar el comportamiento de la extensión sobre la marcha, sin tener que enviar actualizaciones a través del proceso de revisión de Google. Los usuarios no tenían forma de detectar los cambios.
Una vez activas, las extensiones podríantractexto, títulos de páginas y otros elementos de cualquier sitio que una persona visitara, incluidas páginas protegidas que requirieran inicios de sesión, como portales de trabajo o cuentas personales, y retransmitir todo a servidores remotos.
Los usuarios de Gmail en la mira
Quince de las 30 extensiones se centraron específicamente en de Gmail . LayerX denominó a este grupo el "clúster de integración de Gmail". Comercializadas con nombres distintos y diseñadas para distintos usos, las 15 compartían exactamente el mismo código dirigido a Gmail. Inyectaban scripts directamente en la interfaz de Gmail, capturando repetidamente el texto de cualquier conversación abierta visible en pantalla.
En términos más sencillos, el contenido completo de los correos electrónicos, incluyendo borradores e hilos completos, podía extraerse de Gmail y enviarse a los servidores de los atacantes. El informe añadió que el uso de las herramientas de inteligencia artificial integradas en Gmail, como las respuestas inteligentes o los resúmenes de mensajes, en ocasiones desencadenaba una captura aún mayor de contenido, enviándolo más allá del ecosistema de Google.
Esto se enmarca en un patrón más amplio y cada vez más grave. LayerX señaló que, tan solo un mes antes, expusieron otras 16 extensiones diseñadas para robar tokens de sesión de de ChatGPT , lo que afectó a más de 900.000 usuarios. En otro caso, dos extensiones de la barra lateral con IA filtraron historiales de chat de DeepSeek y ChatGPT, lo que afectó a otras 900.000 instalaciones.
Dado que Chrome cuenta con aproximadamente 3 mil millones de usuarios en todo el mundo y Gmail con 2 mil millones, el ecosistema de extensiones del navegador constituye un objetivo especialmente tentador para este tipo de operación.
Cualquiera que esté preocupado por haber sido atacado puede consultar la lista publicada por LayerX de extensiones maliciosas. Simplemente acceda a "chrome://extensions" en su navegador para inspeccionar los elementos instalados y desinstalar cualquier elemento sospechoso. Activar la verificación en dos pasos en las cuentas es otra medida inteligente ahora mismo.
Zargarov lanzó una advertencia contundente: «A medida que la IA generativa sigue ganando popularidad, los defensores deben esperar la proliferación de campañas similares». Los profesionales de seguridad enfatizan que la ruta más segura es confiar en las funciones de IA ya integradas en aplicaciones y plataformas confiables, en lugar de arriesgarse con extensiones de terceros desconocidas.
Afila tu estrategia con mentoría + ideas diarias: 30 días de acceso gratuito a nuestro programa de trading
Artículos Recomendados
