La insignia "Destacado" no la salvó: la Chrome Web Store promueve una extensión que puede ejecutar código ajeno de forma remota.
Especialistas encuentran un algoritmo oculto que aguarda en silencio su momento
Cuando una extensión web obtiene acceso a todos los sitios, incluso la capacidad inactiva de ejecutar código bajo demanda se convierte en un riesgo para los usuarios. Especialistas de Island descubrieron esa arquitectura en la popular extensión Adblock for YouTube para Google Chrome, que se instaló más de 10 millones de veces y que obtuvo la distinción Destacado en Chrome Web Store.
La extensión sí bloquea la publicidad en YouTube y en sitios externos con vídeos integrados, pero además de su función principal contiene un mecanismo para ejecutar código JavaScript arbitrario. Según Island, el script podía activarse con una sola configuración en el servidor, sin actualizar la extensión, sin una nueva revisión de la tienda y sin signos notables para el usuario.
No hay confirmación de que los desarrolladores hayan distribuido ya cargas maliciosas de ese modo. El riesgo está en el propio conjunto de capacidades: la extensión tiene acceso a todos los sitios, puede modificar páginas y recibe órdenes desde un servidor remoto. En el peor escenario ese mecanismo permitiría leer el contenido de las páginas, extraer datos y actuar en nombre del usuario en cuentas personales, servicios laborales o paneles administrativos.
Genera además preguntas la historia de la extensión. Adblock for YouTube apareció en Chrome Web Store en 2014, más tarde cambió de propietario, y las versiones tempranas contenían un SDK para inyectar publicidad. Ese componente se eliminó en junio de 2024, pero desde febrero de 2025 en el código permanecieron rutas para la inyección remota de scripts. Extensiones relacionadas Adblock for Chrome, Adblock for You y AdBlock Suite ya habían sido eliminadas de la tienda anteriormente por actividad maliciosa.
Un problema aparte reside en la verificación de la dirección de la página. Aunque la extensión está relacionada con YouTube, se ejecuta en cada sitio visitado y solo busca la cadena "youtube.com" en la URL. Esa comprobación no verifica el dominio real y puede activarse incluso en una página bancaria, corporativa o en cualquier otra, si la cadena aparece en los parámetros de la dirección.
Se solicitó un comentario al desarrollador de la extensión, pero no hubo respuesta. En el momento del análisis de Island se trataba de una capacidad dormida, no de un ataque confirmado contra usuarios; sin embargo, la combinación de una gran audiencia, permisos amplios y control remoto convierte a estas extensiones en una fuente seria de riesgo.