Netcrook Logo
👤 NEURALSHIELD
🗓️ 19 Jan 2026  

Dentro del Golpe de las Extensiones de Chrome: Cómo Falsas Herramientas de Productividad Secuestraron Cuentas Empresariales

Subtítulo: Una campaña de malware sigilosa utilizó cinco extensiones de Chrome para tomar el control de plataformas de RRHH y ERP, superando las defensas empresariales y bloqueando la respuesta a incidentes en su origen.

Todo comenzó con una promesa de productividad: extensiones de Chrome que ofrecían acceso simplificado y gestión de múltiples cuentas para las plataformas empresariales más críticas del mundo. Para más de 2.300 usuarios desprevenidos, estas herramientas se convirtieron en el equivalente digital de un Caballo de Troya. Bajo la superficie, se desplegaba una operación de ciberdelincuencia coordinada, dirigida al corazón de las operaciones empresariales: sistemas de RRHH y ERP como Workday, NetSuite y SAP SuccessFactors.

Anatomía de un Ataque Coordinado

Cuatro de las extensiones aparecían bajo el editor “databycloud1104”, mientras que una quinta usaba una marca diferente pero compartía infraestructura idéntica. Todas estaban hábilmente disfrazadas como potenciadores legítimos de productividad, solicitando permisos estándar de Chrome y presentando políticas de privacidad que falsamente afirmaban “no recopilación de datos”.

En realidad, estas extensiones eran un kit de herramientas de malware diseñado para comprometer empresas. Su código estaba en desarrollo activo, con funciones como anti-depuración (para frustrar a los analistas de seguridad), manipulación del DOM (para bloquear páginas de administración y seguridad) y secuestro persistente de sesiones mediante complejas rutinas de robo e inyección de cookies.

Tres Vectores de Ataque, Un Solo Objetivo: Toma de Control

Las extensiones trabajaban en conjunto a través de tres tipos principales de ataque:

  • Robo de Tokens de Sesión: Cada 60 segundos, las extensiones exfiltraban cookies de autenticación a servidores remotos, asegurando que los atacantes pudieran tomar cualquier sesión activa, incluso si los usuarios volvían a iniciar sesión.
  • Bloqueo de Interfaces de Administración: Al borrar o redirigir el contenido de páginas críticas de seguridad (como cambio de contraseña, configuración de 2FA y registros de auditoría), el malware impedía que los administradores respondieran a la brecha.
  • Secuestro Bidireccional de Sesiones: La extensión más avanzada, “Software Access”, podía tanto robar como inyectar cookies de sesión, permitiendo a los criminales eludir por completo contraseñas y autenticación multifactor.

Para permanecer indetectable, el malware monitorizaba la presencia de 23 extensiones de seguridad populares y reportaba su existencia a sus servidores de comando. Algunas variantes incluso deshabilitaban las herramientas de desarrollo del navegador, impidiendo que los respondedores de incidentes inspeccionaran o eliminaran el código malicioso.

Superando a los Defensores

Quizá lo más insidioso: el malware apuntaba a entornos sandbox - donde las empresas prueban cambios de seguridad - bloqueando a los administradores para que no pudieran validar correcciones antes de su despliegue. Esto forzaba a las organizaciones a un dilema: implementar actualizaciones de seguridad sin probar en producción o dejar los sistemas expuestos.

La respuesta estándar a incidentes quedaba inutilizada. Restablecimientos de credenciales, desactivaciones de dispositivos y cambios de políticas eran todos bloqueados a nivel de navegador. Solo la eliminación completa de las extensiones - en todos los dispositivos sincronizados - podía romper el control de los atacantes.

¿Qué Sigue?

Aunque se han presentado solicitudes de eliminación a Google, la infraestructura y los métodos siguen activos, y es probable que surjan campañas similares. Por ahora, las organizaciones deben auditar el uso de extensiones, restringir las instalaciones y monitorear la actividad sospechosa de sesiones - antes de que llegue la próxima ola.

WIKICROOK

  • Secuestro de Sesión: El secuestro de sesión ocurre cuando un atacante roba o imita la sesión de un usuario para obtener acceso no autorizado y actuar como ese usuario en línea.
  • Manipulación del DOM: La manipulación del DOM cambia la estructura o el contenido de una página web en tiempo real, y a menudo es explotada por atacantes para ocultar, alterar o inyectar información maliciosa.
  • Anti: ‘Anti’ se refiere a métodos usados por malware para evitar la detección o el análisis por parte de herramientas y expertos en seguridad, haciendo que las amenazas sean más difíciles de estudiar o detener.
  • Comando: Un comando es una instrucción enviada a un dispositivo o software, a menudo por un servidor C2, que le indica realizar acciones específicas, a veces con fines maliciosos.
  • MutationObserver: MutationObserver es una API de navegador que monitorea los cambios en una página web, y a menudo se usa en ciberseguridad para detectar o imponer cambios persistentes en la estructura de la página.

A medida que las extensiones de navegador se convierten en una nueva línea de frente para los ataques empresariales, la lección es clara: incluso las herramientas más confiables pueden volverse traidoras cuando la vigilancia decae. En el juego del gato y el ratón de la defensa cibernética, la próxima amenaza puede estar ya a solo un clic de distancia.

Chrome Extensions Cybersecurity Session Hijacking
NEURALSHIELD NEURALSHIELD
AI System Protection Engineer
← Back to news