Ciberdelincuentes atacaron extensiones de Google Chrome en Nochebuena: ¿qué hacer tras este ciberataque navideño?

La compañía de ciberseguridad, Cyberhaven, reconoció que su extensión para Google Chrome fue vulnerada el pasado 24 de diciembre, permitiendo a cibercriminales instalar modificaciones maliciosas como parte de una campaña de “phishing” desplegada en Navidad.

“Nuestro equipo ha confirmado un ciberataque malicioso que ocurrió en Nochebuena y que afectó a la extensión de Chrome de Cyberhaven”.

Cyberhaven

[TE RECOMENDAMOS: Cibercriminales robaron los datos y espiaron a los usuarios de estas marcas de coches]

¿Cómo fue el ciberataque navideño en extensiones de Google Chrome?

El 24 de diciembre, un ataque de phishing comprometió las credenciales de un empleado de Cyberhaven en la tienda web de Google Chrome, según un comunicado de la compañía de ciberseguridad publicado el 27 de diciembre.

El atacante utilizó las credenciales robadas para publicar una versión maliciosa de su extensión para Chrome, exactamente a la versión 24.10.4, según el texto firmado a nombre de Howard Ting, CEO de la empresa.

El código malicioso podría haber exfiltrado cookies y autenticado sesiones para ciertos sitios web específicos en los navegadores que ejecutaron la extensión comprometida, de acuerdo con el reporte de los daños.

“Si bien la investigación está en curso, nuestros hallazgos iniciales muestran que el atacante apuntaba a inicios de sesión en plataformas de publicidad en redes sociales e inteligencia artificial específicas”, remató el informe.

Cyberhaven ya solucionó el problema

El equipo de seguridad de Cyberhaven detectó la vulnerabilidad a las 17:54 horas (tiempo del Centro de México) del 25 de diciembre y eliminó el paquete malicioso en una hora, dijo la compañía.

El código malicioso estuvo activo entre las 19:32 y 20:50 (tiempo del Centro de México) del martes 24 de diciembre, afectando únicamente a navegadores basados en Chrome que se actualizaron automáticamente durante este período, complementó la organización.

“Nuestra investigación confirmó que ningún otro sistema de Cyberhaven, incluidos nuestros procesos de CI/CD y claves de firma de código, se vio comprometido”, señaló el comunicado, en el cual también se precisaron otras acciones tomadas contra el ciberataque navideño:

• Notificaron a los clientes afectados el 26 de diciembre a las 04:09 horas (tiempo del Centro de México)
• Notificaron también a los clientes no afectados
• Se implementó, de manera automática, una versión segura (24.10.5) tras eliminar la extensión comprometida
• Se contrató una empresa externa de respuesta a incidentes para realizar un análisis forense de terceros.

Finalmente, Cyberhaven aseguró que está cooperando activamente con las fuerzas federales del orden e implementó medidas de seguridad adicionales para evitar incidentes similares.

Cyberhaven no sería el único afectado

Jaime Blasco, cofundador y responsable de Tecnología de Nudge Security, también cree que hay más extensiones afectadas, a juzgar por el análisis de la dirección IP que ha realizado.

“En cuanto al problema de la extensión de Chrome de Cyberhaven, tengo motivos para creer que hay otras extensiones afectadas. Si nos centramos en la dirección IP, hay más dominios creados dentro del mismo intervalo de tiempo que se resuelven en la misma dirección IP”.

Jaime Blasco, Nudge Security

De hecho, Blasco citó que las extensiones ParrotTalks, Uvoice y VPNCity se encuentran ente las afectadas, como recoge en la red social X (antigua Twitter).

[TE PODRÍA INTERESAR: Alertan por extensiones maliciosas en navegadores web: ¿cómo evitar que roben tu información?]

Recomendaciones antes y después de ataques a extensiones

La empresa de ciberseguridad emitió las siguientes recomendaciones a sus clientes con la versión 24.10.4 de su extensión para Google Chrome:

• Verifica que tu extensión se haya actualizado a la versión 24.10.5 o una versión más reciente
• Revoca o rota todas las contraseñas que no sean FIDOv2
• Revisa los registros para detectar cualquier actividad sospechosa

En julio de 2023, un reportero de Unotv.com charló con especialistas de la empresa mexicana de ciberseguridad, TELMEX-Scitum, quienes ofrecieron recomendaciones para no caer en extensiones maliciosas en cualquier navegador web:

• Revisa qué empresa desarrolló la extensión.
• Indaga si es una entidad conocida o de confianza.
• Confirma si tiene alguna validación por parte de algún organismo internacional, o por la propia tienda.
• Consulta con portales especializados cuáles son las extensiones más recomendadas para cualquier necesidad.

Las páginas “reales” deben tener el certificado “HTTPS” antes de su URL. Si dicho requisito no está y la fecha de creación del sitio web es reciente, seguramente es falso. Éstas son otras recomendaciones para no caer en las extensiones maliciosas de navegadores web:

• Evita descargar e instalar cualquier tipo de aplicaciones que provengan de sitios sospechosos.
• Evita instalar cualquier extensión no reconocida por la empresa.
• Sé prudente con la instalación de extensiones en equipos personales.
• No almacenes cuentas y contraseñas en el gestor de contraseñas del navegador.
• Haz una limpieza constante de los datos almacenados en el navegador como cookies e historial de navegación.
• Evita descargar un software adicional de los sitios de consulta, si anteriormente nunca pidieron hacerlo.

¿Qué son las extensiones de navegadores web?

Cabe destacar que las extensiones de navegadores web son herramientas que mejoran la experiencia de navegación, según TELMEX-Scitum. Entre las múltiples funciones de los también llamados plugins, se encuentran las siguientes:

• Bloquear anuncios (por ejemplo: Ad Block o Ghostery)
• Detectar páginas maliciosas (por ejemplo: SafeToOpen Online Security o Avira Navegación segura)
• Navegación de forma privada (por ejemplo: Privacy Badger o Click&Clean )
• Hacer capturas de pantalla (por ejemplo: FireShot )
• Traducir páginas (por ejemplo: Traductor de Google o DeepL)

Los navegadores web ofrecen sus propias extensiones en sus tiendas oficiales: Google Chrome, Microsoft Edge y Mozilla Firefox. Sin embargo, existen múltiples desarrolladores que tienen sus propios plugins y podrían ser maliciosos.

Te recomendamos:

Cibercriminales robaron los datos y espiaron a los usuarios de estas marcas de coches

Juguetes inteligentes pueden espiar y suplantar identidad de los niños: ¿cómo evitar ciberataques?

¡Atento! ¿Te llegan mensajes de texto sospechosos? Así puedes evitar ser víctima de fraude o estafa

Video

Ciberataques Zero Day: qué son y cómo evitar que tu computadora se convierta en un blanco