¿Instalaste fondos de pantalla animados en Chrome? Enhorabuena: los estafadores ya han conseguido su primer millón a tu costa
Por fuera, una interfaz atractiva; por dentro, una silenciosa fábrica de tráfico.
Los fondos de pantalla animados para el navegador pueden parecer un simple cambio de fondo, pero en Chrome Web Store se detectaron 152 extensiones potencialmente peligrosas que se hacían pasar por fondos animados, ocultaban el seguimiento publicitario y presentaban su propio tráfico como si proviniera de las búsquedas en Google.
El conjunto de extensiones fue identificado por especialistas de Socket. Según sus datos, los proyectos se publicaban desde una misma base de código, pero se distribuían a través de 38 cuentas diferentes de editores y tres marcas vinculadas. En conjunto, las extensiones encontradas sumaban alrededor de 105 000 instalaciones.
En las fichas de Chrome Web Store los desarrolladores afirmaban no recopilar datos de los usuarios, aunque la política de privacidad vinculada describía la recopilación de direcciones IP, datos del proveedor de Internet, fuentes de tráfico y clics, así como la transferencia de datos a socios publicitarios.
El mecanismo principal funcionaba mediante las páginas de instalación y desinstalación. En 54 extensiones con la nueva plantilla tabplugins, al instalarse se abría la página del operador con etiquetas utm_source=google y utm_medium=organic. Las herramientas de análisis podían interpretar esa visita como un acceso ordinario desde la búsqueda de Google, aunque era la propia extensión la que abría la pestaña. Al desinstalar, la extensión utilizaba un enlace del tipo google.com/url con parámetros característicos de un redireccionamiento desde los resultados de búsqueda, de modo que la señal de desinstalación también pareciera un clic procedente del resultado de búsqueda.
Ese esquema no sustituía el buscador del usuario ni insertaba publicidad en los sitios visitados. Los ingresos para los atacantes provenían de otra parte: las extensiones dirigían a los usuarios a páginas de marcas con bloques publicitarios, y la atribución falsa mejoraba la visibilidad del tráfico ante los sistemas publicitarios y los programas de afiliados. En esencia, la instalación de la extensión se convertía en una fuente de visitas artificialmente «orgánicas».
En todas las compilaciones funcionales verificadas también se encontró un fragmento de código idéntico que, al iniciar un proceso de servicio, recorría las bases de IndexedDB e intentaba eliminarlas. En la versión actual el código no afectaba a los sitios web, a las cookies, a localStorage ni a las sesiones de usuario, porque solo operaba dentro del ámbito de la propia extensión y, en la práctica, no borraba nada.
Sin embargo, los especialistas calificaron ese comportamiento de sospechoso, ya que una extensión de fondos de pantalla no tiene una razón sólida para ejecutar una limpieza oculta del almacenamiento.
Parte de las extensiones operaba a través de tabplugins, yowgames y chromewallpaper, y uno de los dominios redirigía a owhit.com. 11 extensiones, al momento de publicación del informe de Socket, ya habían sido eliminadas de Chrome Web Store. Otras tres contenían un error en el script en segundo plano que impedía que se ejecutara la lógica de instalación, desinstalación y limpieza de IndexedDB, aunque las extensiones seguían instalándose y cambiando la nueva pestaña.
Se recomienda a los usuarios eliminar las extensiones de «fondos animados» relacionadas con tabplugins, yowgames y chromewallpaper, verificar la página de nueva pestaña y el buscador predeterminado en Chrome, y antes de instalar extensiones similares comparar la política declarada de tratamiento de datos con la política de privacidad completa.
A los equipos de seguridad se les aconseja buscar no identificadores aislados, sino rasgos comunes del conjunto: intentos de limpiar IndexedDB, setUninstallURL con enlace a google.com/url y enlaces de instalación con utm_source=google y utm_medium=organic.