Extensiones WeTab e Infinity V+ bajo sospecha: KOI destapa campaña de ShadyPanda en Chrome y Edge

WeTab e Infinity V+ están bajo la lupa después de que especialistas en ciberseguridad afirmaran que estas y otras extensiones de Chrome podrían haber secuestrado navegadores de forma encubierta y recolectado datos sensibles durante años. Según KOI, aproximadamente 4,3 millones de usuarios de Chrome y Microsoft Edge se vieron atrapados en la campaña, que no recurrió al phishing ni a la ingeniería social, sino a actualizaciones silenciosas de complementos ya populares.

KOI atribuye la operación a un grupo al que se refiere como ShadyPanda. El guion era de un pragmatismo desarmante: publicar extensiones plenamente funcionales, hacer crecer con el tiempo la base de usuarios, las valoraciones y las descargas, y luego colar actualizaciones con código malicioso. Como las tiendas de extensiones suelen examinar con mayor rigor los envíos en su lanzamiento que los cambios posteriores, herramientas que parecían fiables podían perdurar sin levantar sospechas durante mucho tiempo. Es un juego de paciencia que explota un punto ciego más que conocido.

El informe de KOI detalla varios incidentes, entre ellos dos campañas en 2023. En la primera, decenas de extensiones que se hacían pasar por paquetes de fondos de pantalla y utilidades prácticas supuestamente rastreaban el comportamiento de los usuarios y modificaban el contenido de páginas en sitios como eBay, Amazon y Booking.com, inyectando etiquetas de afiliación y rastreadores para monetizar compras y datos de tráfico. En el segundo episodio, las funciones maliciosas se vincularon a Infinity V+: la extensión redirigía las búsquedas a un recurso externo, capturaba cookies, registraba lo que los usuarios tecleaban en la barra de búsqueda y exfiltraba la información a servidores externos.

KOI también describe una “primera fase” en la que cinco extensiones recibieron una puerta trasera que permitía la ejecución remota de código, afectando a alrededor de 300.000 usuarios. Algunas estaban disponibles desde 2018–2019 e incluso lucían distintivos que sugerían que eran recomendadas; a mediados de 2024, tras el aumento de instalaciones, supuestamente recibieron una actualización que añadió esa puerta trasera. El módulo podía obtener órdenes de forma periódica, descargar JavaScript arbitrario, ejecutarlo con privilegios de las API del navegador e inyectar contenido malicioso por HTTPS en cualquier sitio. Además, recolectaba el historial de navegación, los referentes, marcas de tiempo, identificadores persistentes, una huella digital completa del navegador y otros datos, al tiempo que intentaba pasar desapercibido si el modo desarrollador estaba activado.

La parte más amplia de la investigación se centra en una “segunda fase”. KOI afirma que otras cinco extensiones del mismo desarrollador llegaron a la tienda de Edge y superaron en conjunto los 4 millones de instalaciones, y que dos de ellas podrían haber iniciado la instalación de malware. La extensión de nueva pestaña WeTab acaparó la atención: se le atribuyen unos 3 millones de instalaciones y el envío encubierto de telemetría, como URLs visitadas, resultados de búsqueda, clics del ratón, la huella del navegador, interacciones en página y eventos de acceso al almacenamiento. Según KOI, los datos se canalizaban a través de numerosos dominios, y el mecanismo de actualización permitía que, en cualquier momento, los navegadores comprometidos se convirtieran en nodos controlables para ataques posteriores.

Todo esto deja al descubierto lo frágil que es el modelo de confianza de las extensiones: incluso un complemento popular y bien valorado puede cambiar de naturaleza tras una actualización. El consejo práctico es sencillo y conviene repetirlo: revisa las extensiones instaladas, elimina lo que no uses, examina con cuidado los permisos y, si el navegador se comporta de forma extraña, ejecuta una comprobación del sistema y cambia las contraseñas, especialmente si alguna extensión pudo acceder a las cookies y a tu historial de navegación.