Descargaste un vídeo y entregaste tus datos: las extensiones "útiles" del navegador resultaron estar comprometidas
Explicamos la trampa digital en la que ya han caído cientos de miles de usuarios.
Extensiones populares para descargar videos de TikTok resultaron ser parte de un esquema oculto de vigilancia. Detrás de la conveniente función de descarga de clips se ocultaba la recolección de datos y el seguimiento de la actividad, y la campaña ya afectó a más de 130.000 usuarios.
El equipo de LayerX descubrió al menos doce extensiones de navegador, disponibles en las tiendas de Chrome y Microsoft Edge, que se hacían pasar por herramientas para descargar videos. Todas las variantes compartían código y se diferenciaban solo por cambios menores o un nuevo diseño. Esta repetición indica una actividad prolongada y organizada de un mismo grupo.
Las extensiones realmente cumplían las funciones declaradas: permitían descargar videos, a menudo sin marcas de agua. Pero al mismo tiempo recopilaban información detallada sobre el comportamiento de los usuarios: qué clips se visualizan, con qué frecuencia se usa la herramienta, así como parámetros técnicos del dispositivo, incluyendo el idioma, la zona horaria e incluso el nivel de carga de la batería. Ese conjunto de datos permite crear una huella digital única.
El elemento clave del esquema es la configuración remota. Tras la instalación, la extensión se conectaba a servidores controlados por los operadores y recibía instrucciones. Ese mecanismo permitía cambiar el comportamiento del programa en cualquier momento, eludiendo la revisión de las tiendas. Según LayerX, las funciones maliciosas aparecían con frecuencia solo entre 6 y 12 meses después de la publicación, cuando la extensión ya había ganado audiencia y generaba confianza.
Muchas de estas extensiones incluso recibían la etiqueta «Featured» en las tiendas oficiales, lo que disminuía aún más las sospechas y aumentaba el número de instalaciones. Al eliminar una versión, rápidamente surgían nuevas copias con la misma funcionalidad y apariencia visual.
La infraestructura de la campaña se basaba en servidores externos con archivos de configuración. Algunos dominios se hacían pasar por direcciones legítimas con pequeñas alteraciones en el nombre, lo que complicaba su detección. A pesar de la ausencia de pruebas directas, la similitud de código e infraestructura apunta a un único operador o a un grupo estrechamente ligado.
Este esquema muestra un cambio en los enfoques de los atacantes. En lugar de código manifiestamente malicioso, se utiliza una herramienta legítima que con el tiempo se convierte en un medio para recopilar datos. El peligro principal no está tanto en las funciones actuales como en la posibilidad de añadir nuevas sin ser detectado — desde la interceptación del tráfico hasta ataques de mayor envergadura.
El caso subraya una vulnerabilidad en la protección de las extensiones de navegador. La revisión en el momento de la publicación no tiene en cuenta los cambios de comportamiento después de la instalación, lo que hace que este tipo de campañas sean resistentes y difíciles de detectar.