diciembre 15, 2025
reco.jpg

A principios de diciembre de 2025, investigadores de seguridad descubrieron una campaña de cibercrimen que silenciosamente secuestró a gran escala las populares extensiones de los navegadores Chrome y Edge.

Un grupo de amenazas llamado ShadyPanda pasó siete años jugando a largo plazo, lanzando o adquiriendo extensiones inofensivas, permitiéndoles funcionar limpiamente durante años para generar confianza y obtener millones de instalaciones, y luego, de repente, convirtiéndolas en malware a través de actualizaciones silenciosas. En total, alrededor de 4,3 millones de usuarios instalaron estos complementos que alguna vez fueron legítimos y que de repente se cargaron con software espía y funciones de puerta trasera.

Esta táctica fue esencialmente un ataque a la cadena de suministro de extensiones del navegador.

Para algunas extensiones, los operadores de ShadyPanda incluso han recibido insignias de distinción y verificación en el sitio web oficial de complementos de Chrome Web Store y Microsoft Edge, lo que aumenta la confianza del usuario. Debido a que las actualizaciones de las extensiones se realizan automáticamente en segundo plano, los atacantes pudieron difundir código malicioso sin que los usuarios se dieran cuenta.

Una vez activadas a mediados de 2024, las extensiones comprometidas se convirtieron en un marco completo de ejecución remota de código (RCE) en el navegador. Podrían descargar y ejecutar cualquier JavaScript con acceso completo a los datos y la funcionalidad del navegador. Esto brindó a los atacantes una variedad de oportunidades de software espía, desde monitorear cada URL y pulsación de tecla hasta inyectar scripts maliciosos en páginas web y extraer datos del navegador y credenciales de inicio de sesión.

Una de las peores posibilidades era el robo de tokens y cookies de sesión, robando los tokens de autenticación que los sitios web utilizan para mantener a los usuarios conectados. Las extensiones podrían incluso hacerse pasar por cuentas SaaS completas (como Microsoft 365 o Google Workspace) al secuestrar estos tokens de sesión.

Por qué las extensiones del navegador son una pesadilla de seguridad SaaS

Para los equipos de seguridad SaaS, la campaña de ShadyPanda nos muestra mucho. Resulta que una extensión de navegador maliciosa puede convertirse efectivamente en un intruso con claves en el reino SaaS de su empresa. Cuando una extensión toma la cookie de sesión o el token de sesión de un usuario, puede desbloquear las cuentas de ese usuario en Slack, Salesforce o cualquier otro servicio web en el que haya iniciado sesión.

En este caso, millones de tokens de sesión robados podrían haber dado lugar a un acceso no autorizado a correos electrónicos, archivos, mensajes de chat y más de la empresa sin activar las alarmas de seguridad habituales. Se omitieron las protecciones de identidad tradicionales como MFA porque la sesión del navegador ya estaba autenticada y la extensión se superponía a ella.

El riesgo va más allá del usuario individual. Muchas empresas permiten a sus empleados instalar libremente extensiones de navegador sin el escrutinio común con otro software. Las extensiones del navegador a menudo pasan desapercibidas, pero aún pueden acceder a cookies, almacenamiento local, sesiones de autenticación en la nube, contenido web activo y descargas de archivos.

Esto desdibuja la línea entre la seguridad de los terminales y la seguridad de la nube. Se puede ejecutar una extensión maliciosa en el dispositivo del usuario (un problema de terminal), pero compromete directamente las cuentas y los datos de la nube (un problema de identidad/SaaS). ShadyPanda demuestra claramente la necesidad de unir la defensa de identidad de los terminales y SaaS: los equipos de seguridad deberían pensar en tratar el navegador como una extensión de la superficie de ataque de SaaS.

Pasos para reducir el riesgo de extensiones del navegador

Entonces, en base a esto, ¿qué pueden hacer las organizaciones para reducir el riesgo de otra situación de ShadyPanda? A continuación encontrará una guía práctica con pasos para fortalecer sus defensas contra extensiones de navegador maliciosas.

1. Hacer cumplir las listas permitidas y la gobernanza de las extensiones

Empiece por recuperar el control sobre qué extensiones se pueden ejecutar en su entorno. Realice una auditoría de todas las extensiones instaladas en los navegadores de la empresa (tanto las administradas por la empresa como las extensiones BYOD, si es posible) y elimine cualquier extensión que sea innecesaria, no probada o de alto riesgo.

Es recomendable exigir una justificación comercial para las extensiones que requieren permisos amplios (por ejemplo, cualquier complemento que pueda leer todos los datos del sitio web). Utilice herramientas de administración de navegadores empresariales para implementar una lista de permitidos de modo que solo se puedan instalar extensiones aprobadas. Esta política garantiza que las extensiones nuevas o desconocidas se bloqueen de forma predeterminada, eliminando la larga cola de instalaciones aleatorias.

Recuerde que las extensiones populares no son automáticamente seguras. El malware de ShadyPanda se escondía en extensiones populares y confiables que la gente ha estado usando durante años. Trate a todas las extensiones como culpables hasta que se demuestre su inocencia examinándolas a través del proceso de aprobación de su equipo de seguridad.

2. Trate el acceso a la extensión como el acceso OAuth

Cambie su forma de pensar y trate las extensiones del navegador de manera similar a las aplicaciones en la nube de terceros en términos del acceso que otorgan. En la práctica, esto significa que necesita integrar el monitoreo de extensiones en sus procesos de gestión de identidad y acceso.

Así como podría mantener un catálogo de integraciones OAuth autorizadas, haga lo mismo con las extensiones. Determine qué datos o acciones de SaaS podría tocar una extensión. Por ejemplo, si una extensión puede leer todo el tráfico web, puede leer eficazmente los datos de su aplicación SaaS en tránsito. Si puede leer cookies, puede hacerse pasar por un usuario en cualquier servicio.

Debido a que las extensiones maliciosas pueden robar tokens de sesión, sus herramientas de seguridad de identidad deben estar atentos a signos de secuestro de sesión: configure alertas para patrones de inicio de sesión extraños, como por ejemplo: usar un token OAuth desde dos ubicaciones diferentes o un intento de acceso que elude las comprobaciones de MFA.

El punto clave es administrar las extensiones con la misma precaución que lo haría con cualquier aplicación a la que se le haya otorgado acceso a sus datos. Restrinja los permisos de las extensiones siempre que sea posible y, cuando un empleado abandone la empresa o cambie de función, asegúrese de que las extensiones de alto riesgo se eliminen de la misma manera que revocaría el acceso innecesario a las aplicaciones.

3. Verifique los permisos de las extensiones con regularidad

Haga de la auditoría de extensiones una parte recurrente de su programa de seguridad, similar a las auditorías de acceso trimestrales o las revisiones de aplicaciones. Cada pocos meses, haga un inventario de las extensiones y sus permisos utilizados en su organización.

Preste atención a qué datos o funciones del navegador puede acceder cada extensión. Con cada expansión, pregúntese: ¿Aún necesitamos esto? ¿Se han solicitado nuevos permisos? ¿Ha cambiado el promotor o el propietario?

Los atacantes suelen comprar extensiones inofensivas o inyectar nuevos mantenedores antes de publicar actualizaciones con errores. Verificar el editor de la extensión y el historial de actualizaciones puede ayudarlo a identificar señales de advertencia.

Además, tenga cuidado con cualquier extensión que de repente solicite permisos más amplios que antes; esto es una indicación de que puede haberse vuelto maliciosa.

4. Supervise el comportamiento sospechoso de las extensiones

Debido a que las extensiones del navegador generalmente se actualizan automáticamente y de manera silenciosa, un complemento confiable puede volverse malicioso de la noche a la mañana sin ninguna advertencia obvia para el usuario. Por lo tanto, los equipos de seguridad deberían implementar monitoreo para detectar compromisos silenciosos.

Esto puede incluir medidas técnicas y avisos de concienciación del usuario.

Desde el punto de vista técnico, considere registrar y analizar la actividad de las extensiones: por ejemplo, monitorear las instalaciones de extensiones del navegador, eventos de actualización o llamadas de red inusuales desde extensiones (por ejemplo, comunicación frecuente con dominios externos desconocidos).

Algunas organizaciones verifican los registros del navegador o utilizan agentes de punto final para señalar cuando los archivos de una extensión cambian inesperadamente. Si es posible, puede limitar o escalonar las actualizaciones de las extensiones, por ejemplo, probando las actualizaciones en un subconjunto de máquinas antes de implementarlas ampliamente.

Del lado del usuario, indique a los usuarios que informen si una extensión que ha estado instalada durante mucho tiempo de repente comienza a comportarse de manera diferente (nuevos cambios en la interfaz de usuario, ventanas emergentes inesperadas o problemas de rendimiento podrían indicar una actualización maliciosa). El objetivo es acortar el tiempo entre que falla una extensión y que su equipo la detecta y elimina.

Uniendo la seguridad de endpoints y SaaS (cómo puede ayudar Reco)

El incidente de ShadyPanda muestra que los atacantes no siempre necesitan exploits de día cero para ingresar a nuestros sistemas. A veces sólo necesitan paciencia, confianza del usuario y una extensión del navegador que se pasa por alto. La lección para los equipos de seguridad es que las extensiones del navegador son parte de su superficie de ataque.

El navegador es efectivamente un punto final que se encuentra entre sus usuarios y sus aplicaciones SaaS. Por lo tanto, es importante incorporar la gestión y el monitoreo de extensiones en su estrategia de seguridad general. Al hacer cumplir las listas de permitidos, monitorear permisos, monitorear actualizaciones y tratar las extensiones como las poderosas aplicaciones de terceros que son, puede reducir drásticamente el riesgo de que una extensión se convierta en su eslabón más débil.

Finalmente, considere cómo las plataformas de seguridad SaaS modernas pueden respaldar estos esfuerzos.

Están surgiendo nuevas soluciones, como las plataformas de seguridad dinámicas SaaS, para ayudar a las empresas a gestionar este tipo de riesgos. La plataforma de seguridad dinámica SaaS de Reco está diseñada para mapear y monitorear continuamente el uso de SaaS (incluidas las aplicaciones y extensiones conectadas de riesgo) y proporcionar detección de amenazas basada en identidad.

Con la plataforma adecuada, puede obtener visibilidad unificada de las extensiones de su entorno y detectar actividades sospechosas en tiempo real. Reco puede ayudar a cerrar la brecha entre el punto final y la nube al correlacionar los riesgos del lado del navegador con el comportamiento de la cuenta SaaS, brindando a los equipos de seguridad una defensa cohesiva. Al tomar estas medidas proactivas y aprovechar herramientas como Reco para automatizar y escalar su seguridad SaaS, podrá estar un paso por delante del próximo ShadyPanda.

Solicite una demostración: comience con Reco.

nota: Este artículo está escrito y contribuido por expertos de Gal Nakash, cofundador y CPO de Reco. Gal es un ex teniente coronel de la Oficina del Primer Ministro israelí. Es un entusiasta de la tecnología con experiencia como investigador de seguridad y hacker. Gal ha liderado equipos en múltiples áreas de ciberseguridad y tiene experiencia humana.

¿Te pareció interesante este artículo? Este artículo es una contribución de uno de nuestros valiosos socios. Síguenos en Google Noticias, Gorjeo y LinkedIn para leer más contenido exclusivo que publicamos.

About The Author

desafiomayor

See author's posts

Related News

email.jpg

Phantom Stealer se propaga a través de correos electrónicos de phishing ISO en el sector financiero ruso

diciembre 15, 2025 0
ransomware-key.jpg

El ransomware VolkLocker queda expuesto mediante una clave maestra codificada que permite el descifrado gratuito

diciembre 15, 2025 0

You may have missed

GettyImages-2205210966.jpg

Según se informa, Nvidia está considerando aumentar la producción de H200 para satisfacer la creciente demanda en China.

diciembre 15, 2025 0
c8dca6f0-b9ad-11f0-bfbd-cd45a3705488.png

La tarjeta microSD Express P9 de Samsung para Switch 2 es actualmente un 40 por ciento más barata

diciembre 15, 2025 0
251215-mira-1260x709.jpg

Las empresas emergentes se unen para demostrar el encuentro satelital utilizando el sistema de navegación de Starfish Space

diciembre 15, 2025 0
google-pixel-10-pro-xl-fold-review-cnet-lanxon-60.jpg

Estas 8 nuevas funciones del teléfono fueron las mejores y más extrañas de 2025

diciembre 15, 2025 0
1765805945_1a484290-bb91-11ef-bfff-0c7fe46f122a.jpeg

Las suscripciones a MasterClass están disponibles con un 40 por ciento de descuento durante las vacaciones

diciembre 15, 2025 0
kemitraan_xiaomi_dan_sei-xgv9_large.jpg

A partir del próximo año, los nuevos teléfonos Xiaomi incluirán una aplicación criptográfica incorporada: Okezone Ototekno

diciembre 15, 2025 0