Durante años, los sistemas de seguridad de plataformas digitales no detectaron código malicioso.

Una popular extensión para navegadores puede conservar durante años la reputación de herramienta segura mientras en su interior ya existía un mecanismo listo para el seguimiento. Google y Microsoft eliminaron ModHeader de las tiendas de Chrome y Edge tras descubrir un recolector oculto del historial de navegación en la versión oficial de la extensión, que contaba con aproximadamente 1,6 millones de instalaciones.
ModHeader permite modificar los encabezados HTTP que el navegador y el sitio intercambian al cargar páginas. La herramienta la usan desarrolladores y especialistas en pruebas para sustituir parámetros de las solicitudes, verificar el funcionamiento de sitios y añadir tokens de autorización sin cambiar el código de la aplicación.
Los especialistas de la empresa británica Stripe OLT revisaron el código con la firma de Chrome Web Store y confirmaron que el módulo sospechoso formaba parte de la compilación auténtica y no de una falsificación. Microsoft retiró la extensión de Edge el 3 de julio; Google eliminó la versión para Chrome el 10 de julio.
ModHeader seguía cumpliendo sus funciones declaradas, pero el código en segundo plano contenía un mecanismo separado de recopilación de datos. Al iniciarse, la extensión generaba la huella del dispositivo, extraía los dominios de las páginas abiertas, los cifraba y podía almacenar hasta 1000 direcciones. Una vez al día la lista debía enviarse a api.stanfordstudies[.]com junto con la huella del dispositivo, tras lo cual la copia local se eliminaba.
El recolector permaneció inactivo porque solo se activaba para navegadores incluidos en una lista interna, y la lista se suministraba vacía. No se encontraron pruebas de recopilación o transmisión del historial de navegación. Sin embargo, para activar el mecanismo al desarrollador le habría bastado una actualización ordinaria sin solicitar permisos adicionales ni acciones por parte del usuario.
Parte de la telemetría ya funcionaba. Al instalarse, actualizarse o eliminarse, ModHeader enviaba a extensions-hub[.]com información sobre el producto, la versión y el navegador. El script en cada página también guardaba en texto claro metadatos de las solicitudes. Los servicios automáticos evaluaron el riesgo asociado a la extensión como bajo, dado que la transmisión del historial estaba desactivada, los datos se cifraban y el código estaba oculto dentro de un proyecto legítimo.
Se recomienda a los usuarios eliminar ModHeader de Chrome y Edge y comprobar que la sincronización del perfil o la política corporativa no restaure la extensión. Quienes introdujeron mediante ModHeader claves API, tokens de acceso o cookies de sesión deben reemplazarlos. A los administradores se les aconseja bloquear stanfordstudies[.]com y extensions-hub[.]com, además de revisar los registros en busca de accesos a esos dominios y del identificador de la extensión.