¿Querías "facilitar" la analítica empresarial en redes sociales? Felicidades: acabas de regalarles a los hackers tus códigos 2FA.
Todo lo que se consideraba privado ahora está al alcance de completos desconocidos.
Los atacantes cada vez más suelen encubrir el robo de datos con extensiones «útiles» para navegadores, especialmente cuando se trata del acceso a cuentas publicitarias y cuentas empresariales. En esta ocasión fue sospechada una extensión para Google Chrome que prometía ayudar con las exportaciones de datos de Meta y facilitar el trabajo con las comprobaciones de seguridad.
El equipo de Socket detectó la extensión maliciosa CL Suite, publicada en Chrome Web Store bajo el seudónimo CLMasters. Según el informe, está dirigida a los usuarios de Meta Business Suite y Facebook Business Manager y, además de las funciones anunciadas, transmite sin detectarse información sensible a los servidores del atacante. No se trata solo de datos de Business Manager, sino también de los secretos de la autenticación de dos factores basada en TOTP, que permiten generar códigos de un solo uso.
En la tienda la extensión se promocionaba como una herramienta para exportar datos de empleados y analizar cuentas empresariales, así como para suprimir las ventanas emergentes de verificación y generar códigos 2FA. En la política de privacidad afirmaban, sin embargo, que los secretos de 2FA y los datos de Business Manager permanecían localmente. El análisis del código mostró lo contrario: la extensión enviaba secretos TOTP y los códigos de un solo uso actuales, exportaciones CSV desde la sección «Personas», así como datos analíticos de Business Manager a la infraestructura «getauth[.]pro». Algunos eventos estaban marcados con una bandera que incluía el reenvío de esos mismos datos a un canal de Telegram vinculado al operador.
El robo de secretos TOTP anula en la práctica el sentido de la autenticación de dos factores: si la contraseña ya se ha filtrado desde los registros de programas de robo de información o de bases de datos filtradas, la toma de la cuenta se facilita y el acceso se puede mantener durante mucho tiempo. Además, el atacante obtiene un mapa de activos empresariales: nombres y correos de los usuarios, niveles de acceso, cuentas publicitarias vinculadas y elementos analíticos. El riesgo persiste incluso después de desinstalar la extensión, ya que los secretos 2FA y los datos exportados quedan en manos de la parte atacante.
Según Socket, la extensión CL Suite tiene el identificador «jkphinfhmfkckkcnifhjiplhfoiefffl», apareció por primera vez el 1 de marzo de 2025 y se actualizó el 6 de marzo de 2025. Al momento de la publicación del informe, el 13 de febrero de 2026, la extensión seguía disponible en Chrome Web Store, y Google ya fue notificada sobre el hallazgo.