Un reciente informe ha generado alarma entre quienes usan extensiones en navegadores como Google Chrome y Edge. La extensión NexShield, que se presenta como un bloqueador de anuncios, es en realidad un sofisticado malware capaz de comprometer la seguridad de cualquier ordenador.
Según un análisis de Huntress, la extensión no solo no protege a los usuarios, sino que abre la puerta a ataques graves y al robo de información.
La estrategia de NexShield es simple. Copia la identidad de uBlock Origin Lite, un conocido bloqueador de anuncios legítimo. Esta táctica permite que la extensión aparezca entre los primeros resultados en buscadores como Google, lo que incrementa las probabilidades de que usuarios desprevenidos la descarguen e instalen.
Los creadores de NexShield incluso mencionan a Raymond Hill, desarrollador de uBlock Origin, como supuesto responsable, agregando un manto de credibilidad que facilita su distribución en tiendas oficiales de extensiones.
Cómo es el ataque de la extensión en Google Chrome
Una vez instalada, NexShield permanece inactiva durante aproximadamente 60 minutos. Este retraso deliberado busca evitar que los usuarios sospechen de inmediato y refuerza su apariencia de legitimidad. Pasado ese tiempo, la extensión inicia su ataque.
El mecanismo utilizado es conocido como ClickFix, una técnica recientemente bautizada como CrashFix por la propia Huntress. NexShield bloquea deliberadamente el navegador, saturando recursos como la CPU y la memoria del sistema. El resultado es un bloqueo total del navegador, que obliga a la víctima a forzar su cierre y reiniciar la aplicación.
Este comportamiento no es casual. El objetivo es simular un fallo técnico y llevar al usuario a buscar una solución urgente. Al reiniciar, aparece un mensaje de alerta, presuntamente de seguridad, que informa sobre un cierre anómalo y sugiere realizar un escaneo para “corregir el problema”.
Qué buscan los ciberdelincuentes con este ataque
En la siguiente etapa del ataque, NexShield muestra instrucciones precisas para que el usuario copie y ejecute un comando en su ordenador. Lo que aparentemente es un paso para reparar el navegador, en realidad es la puerta de entrada para instalar un potente script malicioso.
Este script permite a los atacantes tomar el control del equipo. El malware extrae información sensible almacenada en el PC y puede ejecutar comandos de forma remota. De este modo, NexShield no solo roba datos, sino que también transforma el ordenador en un dispositivo bajo control de los piratas informáticos.
La extensión está diseñada para ocultar sus huellas y dificultar la detección. Además, emplea un segundo temporizador que repite el ataque cada 10 minutos después de reiniciar el navegador, logrando que los falsos mensajes de alerta reaparezcan incluso si el usuario los cierra manualmente.
Cómo evitar la infección y qué hacer si ya instalaste NexShield
La primera medida de prevención es desconfiar de extensiones desconocidas y verificar siempre la autenticidad de los desarrolladores. Es crucial descargar únicamente desde fuentes oficiales y revisar las opiniones y valoraciones de otros usuarios.
En caso de haber instalado NexShield, no basta con eliminar la extensión desde el navegador. Los expertos recomiendan utilizar un antivirus potente y actualizado para realizar un análisis exhaustivo del sistema. Si hay dudas sobre la eliminación completa, lo aconsejable es consultar a un técnico especializado que pueda erradicar cualquier rastro del software malicioso.
Mantener el sistema operativo y las aplicaciones de seguridad actualizadas es una defensa básica contra este tipo de amenazas. Además, conviene realizar copias de seguridad periódicas de los datos importantes para minimizar el impacto ante un posible ataque.
La aparición de NexShield revela una nueva generación de amenazas que se camuflan bajo herramientas cotidianas y aparentemente útiles. La vigilancia constante y el escepticismo ante soluciones milagrosas son las mejores armas para proteger la información y la integridad de los equipos conectados a Internet.