Dos investigaciones separadas destacan cómo los villanos están adquiriendo extensiones legítimas de Google Chrome con una base de usuarios bastante amplia y luego las modifican para entregar malware.
Dos extensiones de Google Chrome se han vuelto maliciosas después de lo que parece ser un caso de transferencia de propiedad, ofreciendo a los atacantes una forma de enviar malware a los clientes para inyectar código arbitrario y recopilar datos confidenciales.
Una de ellas es QuickLens un complemento diseñado para realizar búsquedas visuales en pantalla con Google Lens.
La extensión fue descargada por alrededor de 7.000 usuarios.
Después de un cambio en la propiedad, recibió una actualización en febrero que alteró completamente su comportamiento.
A partir de ese momento, la extensión comenzó a conectarse periódicamente a un servidor externo para descargar código JavaScript que se ejecutaba dentro del navegador del usuario.
Este script podría modificar las páginas web visitadas por la víctima o inyectar contenido adicional, abriendo la puerta a diversas actividades maliciosas.
El segundo caso involucra a ShotBird – Scrolling Screenshots, Tweet Images & Editor, una extensión con casi 800 usuarios que prometía hacer capturas de pantalla y generar imágenes listas para compartir en las redes sociales.
Después de ser transferido a un nuevo propietario, el complemento comenzó a mostrar notificaciones falsas de actualización del navegador.
Las personas desprevenidas que hicieron clic en estas alertas, fueron redirigidas a una página fraudulenta que les instruía a ejecutar un comando en su sistema (consola de Windows) para instalar lo que parecía ser una actualización de Chrome.
Estos incidentes muestran que el riesgo no siempre radica en instalar una extensión desconocida. También dejan bastante claro que no te puedes fiar ni de las tiendas oficiales.
Tampoco de las reseñas positivas de las personas que han descargado un complemento en concreto.
En algunos casos, las herramientas que inicialmente parecen completamente confiables pueden transformarse más tarde en una amenaza.
Por esta razón, los expertos recomiendan revisar periódicamente las extensiones instaladas en el navegador y eliminar las que ya no son necesarias, ya que cada complemento activo aumenta la superficie de ataque que los ciberdelincuentes pueden explotar.
En cualquier caso, que un indeseable pueda comprar un software originalmente legítimo, que incluso gano una insignia destacada de Google (QuickLens), manipularlo y utilizarlo para distribuir mierda es bastante inquietante.
En este sentido, el que no sabe, es como el que no ve.
Por otra parte, una investigación, llevada a cabo por el equipo de seguridad de Qcontinuum 1 destaca el creciente riesgo que representan las extensiones del navegador que solicitan amplios permisos y operan con una supervisión mínima.
Los investigadores de seguridad identificaron 287 extensiones de Chrome (con 37,4 millones de instalaciones) que habían estado recopilando datos de navegación como las consultas de búsqueda y, en algunos casos, los datos de los formularios y canalizándolos a más de 30 compañías dedicadas a la minería de datos.
¿Qué pasa con el navegador de Google?
Hace menos de un mes aparecieron un total de diez vulnerabilidades de seguridad que afectaban al navegador web «más popular del mundo» con casi 4 mil millones de usuarios.
Tres de estas vulnerabilidades estaban calificadas como de naturaleza crítica, ya que permitían ataques remotos.
- CVE-2026-3536
- CVE-2026-3537
- CVE-2026-3538
- CVE-2026-3539
- CVE-2026-3540
- CVE-2026-3541
- CVE-2026-3542
- CVE-2026-3543
- CVE-2026-3544
- CVE-2026-3545
Google empezó a desplegar parches para los usuarios de Windows, Mac y Linux.
En cualquier caso, el ritmo y la variedad de defectos parcheados nos recuerda que los navegadores web son plataformas complejas que combinan múltiples motores y bibliotecas de terceros.
Mantenerlos actualizados es la mejor defensa contra la explotación de este tipo de vulnerabilidades.
