Ciberataque navideño 'secuestró' extensiones de Google Chrome: versiones alteradas roban datos.

Un reciente ciberataque ha puesto en jaque la seguridad de los usuarios de Google Chrome al comprometer varias extensiones populares del navegador, incluyendo la de la empresa de ciberseguridad Cyberhaven. Esta campaña maliciosa, que comenzó la noche del 24 de diciembre, logró alterar las versiones originales de estas extensiones con el objetivo de robar datos sensibles.

El origen del ataque

Cyberhaven, una reconocida empresa especializada en seguridad digital, reveló que el ataque se inició con el robo de credenciales de un empleado mediante técnicas de phishing. Una vez que los hackers tuvieron acceso a la cuenta de administrador de la Google Chrome Web Store, publicaron versiones manipuladas no solo de la extensión de Cyberhaven (versión 24.10.4), sino también de otras populares, como ParrotTalks, Uvoice y VPNCity.

La situación es especialmente irónica en el caso de Cyberhaven, cuya extensión está diseñada para mejorar la seguridad de los usuarios, gestionando permisos y detectando actividades sospechosas en tiempo real. Asimismo, VPNCity, una extensión que ofrece servicios de conexión encriptada a través de VPN, también resultó comprometida, lo que expuso datos que deberían haber estado protegidos.

Impacto y consecuencias

El código malicioso incorporado en las versiones alteradas de estas extensiones tenía como principal objetivo las plataformas de publicidad en redes sociales. Según el análisis inicial, el malware era capaz de extraer cookies y sesiones autenticadas de sitios específicos, particularmente aquellos relacionados con Facebook Ads. De esta manera, los atacantes buscaban robar tokens de acceso, identificadores de usuario e información de cuentas.

Afortunadamente, el alcance del incidente fue limitado tanto en tiempo como en magnitud. En el caso de Cyberhaven, la versión comprometida solo estuvo activa entre las 1:32 AM UTC del 25 de diciembre y las 2:50 AM UTC del 26 de diciembre. Una vez detectado el ataque, se lanzó rápidamente una versión limpia (24.10.5) para los usuarios afectados. Además, la empresa ha iniciado una revisión exhaustiva de sus prácticas de seguridad e implementará nuevas salvaguardas basadas en los hallazgos de la investigación.

Recomendaciones para los usuarios

Cyberhaven ha emitido una serie de recomendaciones para los usuarios que pudieron estar expuestos a la versión comprometida durante el periodo afectado:

1. Actualizar la extensión: Asegurarse de contar con la versión 24.10.5 o superior de la extensión.

2. Rotar contraseñas: Cambiar todas las contraseñas, especialmente aquellas que no utilicen el estándar FIDOv2. Esto incluye cualquier credencial que no haga uso de claves biométricas o dispositivos físicos para la autenticación.

3. Revisar actividades sospechosas: Analizar los registros de actividad en busca de comportamientos anómalos que puedan indicar accesos no autorizados.

Este incidente subraya la importancia de mantener buenas prácticas de seguridad digital, tanto para usuarios como para empresas. Las campañas maliciosas continúan evolucionando, y los ciberdelincuentes no descansan ni siquiera en fechas festivas.