El navegador en lugar del virus: los extorsionadores se preparan para un ataque de nueva generación

El escenario de un ataque masivo de ransomware que no requiere la infección de dispositivos ya no parece ciencia ficción. Una investigación de SquareX advierte que el navegador puede convertirse en un nuevo campo de batalla para el ransomware, capaz de evadir las defensas tradicionales. Esta tendencia representa una amenaza para la seguridad de los servicios en la nube y los datos corporativos, especialmente con el auge de las aplicaciones SaaS y el almacenamiento exclusivo en la nube.

Anteriormente, los ataques con ransomware requerían acceso directo al dispositivo, ya fuera un ordenador o un smartphone — ahora, las protecciones estándar podrían no ser suficientes.

Con la transición hacia el almacenamiento en la nube y las aplicaciones web, gran parte de la actividad empresarial se ha trasladado al navegador. Los hackers no se han quedado atrás: han surgido herramientas maliciosas que operan exclusivamente dentro del navegador, sin tocar el sistema de archivos del dispositivo. Según SquareX, esto crea condiciones altamente favorables para los atacantes — alta efectividad con mínimo riesgo de detección.

Los ransomware basados en navegador actúan de manera diferente a los tradicionales. No descargan archivos ni ejecutan procesos en el dispositivo, por lo que no activan antivirus ni sistemas de protección. Atacan mediante accesos OAuth, extensiones, phishing o sincronización de cuentas, lo que les permite tomar el control de los servicios en la nube de la víctima sin ser detectados.

El informe de SquareX examina en detalle tres escenarios hipotéticos.

• En el primer caso, el hacker disfraza una aplicación maliciosa como legítima, accede al Google Drive de la víctima, copia y elimina archivos, y luego exige un rescate a cambio de no publicar los datos confidenciales.
• En el segundo escenario, se utiliza la técnica de phishing basada en permisos — "consent phishing". A través del acceso al correo electrónico, el atacante identifica los servicios SaaS utilizados por la víctima, y con ayuda de inteligencia artificial restablece contraseñas, toma el control de cuentas y extrae la información almacenada.
• El tercer escenario se basa en una vulnerabilidad en la función de sincronización del navegador. Mediante una extensión maliciosa, el atacante autoriza discretamente su perfil, que se sincroniza con la cuenta comprometida, recopilando así todas las contraseñas guardadas y el acceso a todas las aplicaciones SaaS.

A diferencia del malware clásico, que puede detectarse a nivel del sistema de archivos, el ransomware en navegador actúa fuera del alcance de soluciones como EDR, SASE y otras defensas comunes. Además, la mayoría de los sistemas de seguridad corporativa no monitorean los permisos OAuth, la instalación de extensiones ni la actividad dentro del navegador. La falta de inteligencia sobre amenazas y de estándares de respuesta agrava aún más la situación.

Por último, el modelo basado en navegador permite una propagación horizontal masiva: mediante el acceso compartido a archivos, un solo usuario comprometido puede poner en riesgo todo el archivo corporativo. Mientras que en el modelo clásico el daño suele limitarse a un dispositivo, en el navegador la amenaza afecta a todos los recursos conectados.

Los expertos advierten: los elementos de estos ataques ya existen y se han utilizado en casos aislados. Cabe recordar, por ejemplo, el incidente con Cyberhaven, en el que los hackers distribuyeron una actualización maliciosa para una extensión de Chrome. Aún no se ha producido una campaña a gran escala, pero los investigadores creen que es solo cuestión de tiempo.