Si usas estas extensiones de Google Chrome, podrías estar expuesto a malware

Investigadores de ciberseguridad alertaron sobre una campaña activa que utiliza extensiones maliciosas de Google Chrome para robar información personal y ejecutar ataques de phishing sin que el usuario lo note.

El hallazgo fue realizado por la empresa Varonis, que identificó un proyecto conocido como Stanley, una plataforma de malware como servicio (MaaS) que permite a ciberdelincuentes distribuir extensiones infectadas incluso a través de tiendas oficiales de navegadores.

Según el informe, Stanley ofrece a los atacantes la posibilidad de instalar extensiones de manera silenciosa en navegadores como Chrome, Edge y Brave. Una vez activas, estas extensiones pueden interceptar la navegación del usuario, mostrar pantallas falsas que simulan ser legítimas y recolectar datos sensibles como credenciales, sin modificar la barra de direcciones ni generar alertas visibles.

Qué es Stanley y cómo funciona

Stanley es un servicio de suscripción diseñado para facilitar ataques de phishing a gran escala. Bajo distintos planes pagos, brinda herramientas que permiten superponer un iframe a pantalla completa sobre los sitios que visita la víctima.

De este modo, el usuario cree estar interactuando con una página real —por ejemplo, un inicio de sesión— cuando en realidad está entregando su información a los atacantes.

Uno de los aspectos más preocupantes del caso es que Stanley promete a sus clientes que las extensiones maliciosas pueden superar los controles de revisión de la Chrome Web Store. De acuerdo con informes adicionales de empresas como Symantec y LayerX, varias de estas extensiones lograron mantenerse disponibles durante semanas sin ser detectadas, lo que amplía el alcance del ataque.

El plan más avanzado del servicio, denominado Plan Luxe, incluso incluye soporte para publicar directamente las extensiones maliciosas en la tienda oficial de Chrome, además de un panel de control desde el cual los atacantes pueden enviar notificaciones fraudulentas o redirigir a las víctimas a sitios específicos.

Extensiones involucradas

Varonis identificó varias extensiones que forman parte de esta campaña y que podrían estar instaladas en equipos de usuarios sin su conocimiento. Entre las más relevantes se encuentran:

• Good Tab
• Children Protection
• DPS Websafe
• Stock Informer

Estas extensiones aparentan ofrecer funciones legítimas, como gestión de pestañas o supuestas herramientas de seguridad, pero en realidad actúan como puertas de entrada para el malware.

Qué hacer si tienes estas extensiones

Los especialistas recomiendan eliminar de inmediato cualquier extensión sospechosa. Para hacerlo en Chrome, se debe ingresar a chrome://extensions/ desde la barra de direcciones y revisar una por una las herramientas instaladas. Si alguna coincide con las mencionadas o resulta innecesaria, conviene desinstalarla sin demora.

Además, se aconseja reducir al mínimo la cantidad de extensiones activas. Incluso aquellas descargadas desde fuentes oficiales pueden representar un riesgo si fueron comprometidas o diseñadas con fines maliciosos desde el inicio.

Recomendaciones para evitar riesgos

Para reducir la posibilidad de instalar extensiones peligrosas, los expertos sugieren tener en cuenta algunos criterios básicos:

• Revisar los permisos solicitados: una extensión simple no debería pedir acceso total al historial, cookies o ubicación.
• Verificar al desarrollador: comprobar si cuenta con un sitio web oficial y un historial confiable.
• Detectar imitaciones: los atacantes suelen copiar nombres o logotipos de extensiones populares.
• Leer reseñas con atención: comentarios genéricos o excesivamente positivos pueden ser falsos.

El caso de Stanley vuelve a poner en evidencia que la seguridad en los navegadores no depende solo del sistema, sino también de las decisiones del usuario. Mantener un control estricto sobre las extensiones instaladas y revisar periódicamente su comportamiento puede marcar la diferencia entre una navegación segura y una filtración de datos.