Solución de la puerta trasera de la extensión de navegador de ShadyPanda con MetaDefender Endpoint
Las extensiones de navegador suelen parecer inofensivas para la mayoría de los usuarios, lo que hace que se instalen sin apenas dudar de su seguridad. Esto es especialmente cierto en el caso de aquellas que aparecen destacadas y verificadas por el propio navegador, como Google Chrome. Una vez instaladas, estas extensiones pueden obtener permiso para leer prácticamente todo lo que ve el usuario, incluyendo el correo electrónico, los datos de sesión, las contraseñas, las pulsaciones de teclas y las herramientas internas, aspectos que los atacantes suelen intentar aprovechar.
Cuando el autor de la amenaza, conocido como ShadyPanda, introdujo una puerta trasera en unas populares extensiones de navegador instaladas en más de 4 000 000 de dispositivos, volvió a demostrar lo fácil que resulta para los atacantes ocultarse en el vector de ataque que suelen pasar por alto: las extensiones de navegador.
El ataque de ShadyPanda no fue el primero de este tipo
El ataque de ShadyPanda no es, ni mucho menos, un caso aislado. En los últimos años han salido a la luz múltiples casos de vulnerabilidades graves en extensiones de navegadores:
- En 2025, los investigadores descubrieron una campaña compuesta por 18 extensiones maliciosas que rastreaban el comportamiento de los usuarios en los navegadores Chrome y Edge.
- En 2023, PDF Toolbox, una extensión de Chrome que superó los dos millones de descargas, era capaz de inyectar código arbitrario en todas las páginas que visitaban los usuarios.
- En 2019, la filtración de datos de DataSpii, que afectaba a extensiones como Hover Zoom y SpeakIt, supuso la recopilación y divulgación de información personal de los usuarios, incluida su actividad de navegación y otros datos identificativos.
- En 2017, Archive Poster, una extensión de Chrome que incluía código para la minería de criptomonedas en su código fuente.
- En 2017, la extensión «Web Developer for Chrome», una herramienta muy popular con más de un millón de usuarios, fue vulnerada para insertar anuncios y llevar a cabo ataques de phishing.
¿Por qué siguen produciéndose ataques a las extensiones de los navegadores?
Las extensiones de navegador siguen siendo un vector de ataque muy utilizado debido a varios factores:
- Actualización automática: Las extensiones pueden actualizarse automáticamente sin que el usuario tenga que intervenir. Si se compromete una cuenta de desarrollador o se introduce código malicioso en una actualización, millones de usuarios pueden quedar expuestos al instante.
- Grandes privilegios, escaso control: las extensiones suelen requerir amplios permisos, como leer y modificar el contenido de los sitios web, acceder a la actividad de navegación o interactuar con archivos.
- Falta de supervisión: Muchas organizaciones no supervisan qué extensiones instalan los empleados, qué permisos solicitan ni si las actualizaciones introducen nuevas amenazas.
- Es fácil abusar de la confianza de los usuarios: estos suelen dar por sentado que las extensiones son seguras si proceden de la tienda del navegador, sobre todo si están verificadas o destacan en ella.
- Priorizar las valoraciones frente a la seguridad: muchos usuarios instalan extensiones basándose únicamente en su popularidad o en las reseñas, y conceden permisos sin comprender del todo los riesgos.
Por qué es importante
Las extensiones de navegador se han convertido en uno de los vectores de ataque más comunes y fáciles de explotar. Los atacantes no necesitan malware camuflado ni técnicas complejas para infiltrarse en el dispositivo de un usuario. Basta con que un solo usuario haga clic en «Añadir a Chrome» para abrir una vía directa al navegador y a todo aquello a lo que este tiene acceso, lo que facilita la explotación de millones de dispositivos antes de que nadie se dé cuenta.
Una vez instalada una extensión maliciosa del navegador, esta puede:
- Captura datos de navegación, credenciales, cookies y tokens de sesión
- Registra las pulsaciones del teclado, revelando contraseñas, mensajes y datos confidenciales
- Leer y sustraer documentos corporativos, datos confidenciales e información de carácter personal
- Injectar spyware o scripts maliciosos en cualquier sitio web que visite un usuario
- Crear nuevas vías de ataque hacia los servicios en la nube y las aplicaciones confidenciales
- Descargar software malicioso adicional en segundo plano sin el consentimiento del usuario
- Adquirir cuentas
- Desviar el tráfico hacia sitios web maliciosos que descargan automáticamente malware o recurren a la ingeniería social
- Cargar puertas traseras
Las organizaciones no pueden confiar en que los usuarios o las tiendas de aplicaciones de los navegadores bloqueen estas amenazas. Necesitan controles automáticos y obligatorios en los dispositivos finales.
CómoEndpoint MetaDefender Endpoint detener los ataques a través de extensiones del navegador
MetaDefender Endpoint las organizaciones gestionar y controlar las extensiones del navegador del mismo modo que gestionan y controlan las aplicaciones y USB .
1. Detecta extensiones no autorizadas
MetaDefender Endpoint las extensiones instaladas, las compara con su lista de permitidos y señala cualquier instalación sospechosa. De este modo, garantiza que los dispositivos con extensiones no autorizadas se marquen como no conformes y se les impida el acceso a los sistemas críticos.
2. Ofrece a los administradores un control y una visibilidad totales
Con My Central Management, los equipos de seguridad pueden obtener una visión general de todas las extensiones instaladas en los dispositivos, lo que elimina los puntos ciegos y permite una rápida corrección mediante:
- Gestión y personalización de la lista de extensiones permitidas del navegador
- Supervisar qué tiene instalado cada usuario o dispositivo
- Seguimiento del número de dispositivos que tienen instalada una extensión concreta, junto con las versiones instaladas
- Obtener información sobre los dispositivos en riesgo y qué políticas se han incumplido
3. Garantiza el cumplimiento de los requisitos de los dispositivos antes de acceder a sistemas confidenciales
MetaDefender Endpoint compruebaEndpoint el estado de seguridad y el cumplimiento normativo de los dispositivos, impidiendo que los terminales que no cumplen con los requisitos o que se han visto comprometidos se conecten a redes críticas.
4. Impide las descargasDrive
Si una extensión maliciosa redirige a los usuarios a sitios web peligrosos que activan descargas automáticas, la función de protección de descargasEndpoint MetaDefender Endpointañade una medida de seguridad fundamental para evitarlo. Analiza y desinfecta de forma activa los archivos descargados a través de navegadores web y aplicaciones, como Google Chrome, Microsoft Edge y WhatsApp, bloqueando los archivos infectados antes de que lleguen al dispositivo.
Reflexiones finales
Las extensiones maliciosas para navegadores se han convertido en un vector de ataque persistente, y el incidente de ShadyPanda es un claro ejemplo reciente. MetaDefender Endpoint las organizacionesEndpoint subsanar esta vulnerabilidad mediante la aplicación de políticas de extensiones, la gestión centralizada y la prevención del acceso de dispositivos no seguros a sistemas confidenciales.
Póngase en contacto hoy mismo con uno de nuestros expertos para descubrir cómo MetaDefender Endpoint proteger sus sistemas críticos.
