Durante siete años, un ciberataque afectó a millones de usuarios de Google Chrome, Microsoft Edge y más navegadores

Durante más de siete años, un ciberataque a gran escala logró infiltrarse en los navegadores web más utilizados a nivel global. A través de cerca de 300 extensiones maliciosas, este ataque perjudicó a 8,8 millones de usuarios en todo el mundo, evadiendo los sistemas de seguridad durante años.

El grupo responsable, identificado como DarkSpectre, diseñó una infraestructura sofisticada que permitió distribuir su software no autorizado en tiendas oficiales de navegadores como Google Chrome, Microsoft Edge, Mozilla Firefox y Opera.

Desde la instalación de las primeras extensiones en 2018, la operación mantuvo su presencia hasta finales de 2025, perfeccionando sus tácticas y eludiendo la detección de equipos de seguridad y usuarios. Detalles que fueron revelados por Koi.ai, empresa de ciberseguridad.

Cómo fue el ciberataque que duró siete años en navegadores web

El modus operandi de DarkSpectre combinó estrategias poco convencionales para aumentar el alcance de la amenaza. La propagación se facilitó gracias a valoraciones positivas generadas artificialmente y a actualizaciones encubiertas. Estas tácticas propiciaron la confianza entre los usuarios y la rápida difusión de las extensiones fraudulentas, lo que incrementó los niveles de exposición e hizo más difícil su identificación.

La operación se articuló en tres campañas principales: ShadyPanda, GhostPoster y Zoom Stealer, cada una con métodos, objetivos y consecuencias diferentes.

La campaña ShadyPanda infectó a 5,6 millones de usuarios con más de 100 extensiones, que inicialmente se presentaban como herramientas legítimas. Solo tras alcanzar una base significativa de usuarios, los operadores activaron funciones ocultas que permitían el fraude en compras en línea, el robo de datos sensibles y la manipulación de enlaces legítimos en portales reconocidos del comercio electrónico.

Por su parte, GhostPoster afectó a más de 1 millón de usuarios, especialmente en Firefox y Opera. Su principal característica fue el ocultamiento de código malicioso en imágenes mediante técnicas de esteganografía, lo que permitía la ejecución remota de comandos y la entrega diferida de nuevos programas dañinos.

Un ejemplo destacado fue la extensión pirateada de “Google Translate” para Opera, que instalaba un backdoor mediante un iframe oculto y deshabilitaba protecciones antifraude y comunicaba información a servidores previamente relacionados con otras campañas de DarkSpectre.

El sector corporativo se vio fuertemente impactado con la llegada de Zoom Stealer a finales de 2025. Esta variante afectó a 2,2 millones de usuarios a través de 18 extensiones diseñadas para plataformas de videollamadas, como Zoom, Microsoft Teams y Google Meet.

Esta operación facilitó el acceso a reuniones corporativas confidenciales y permitió la construcción de una base de datos con inteligencia profesional y comercial de alto valor.

Además, aprovechando permisos extensivos, consiguió la exfiltración de credenciales en tiempo real, recogiendo enlaces, contraseñas y datos profesionales mediante conexiones en la nube y servicios de apariencia legítima.

Cuál fue el impacto de este ciberataque

El impacto de este ataque persistente se reflejó en millones de usuarios víctimas de vigilancia constante, robo de datos personales y fraudes en transacciones electrónicas. Las empresas enfrentaron amenazas mayores, como la pérdida de información sensible, espionaje corporativo y filtraciones de sesiones virtuales destinadas a altos directivos.

Este caso expone los peligros que enfrentan tanto personas como organizaciones al descargar extensiones desde tiendas consideradas seguras. A pesar de las medidas de control, la ofensiva de DarkSpectre pone de manifiesto que las amenazas evolucionan y logran superar los filtros establecidos, lo que resalta la importancia de examinar cuidadosamente los permisos y la procedencia de cualquier complemento digital.

La magnitud de la operación permitió a los ciberdelincuentes construir repositorios de inteligencia profesional con datos extraídos de reuniones privadas y redes corporativas, incrementando los riesgos para la confidencialidad y la competencia entre empresas afectadas.