- Campaña ShadyPanda manipuló 145 extensiones de Chrome y Edge tras años de uso aparentemente legítimo
- Las actualizaciones añadieron fraude de afiliados, robo de cookies, secuestro de búsquedas y ejecución remota de código
- Alrededor de 4,3 millones de instalaciones afectadas; Google retiró las extensiones, en Edge aún persiste al menos una
- Recomiendan revisar extensiones instaladas, eliminar las sospechosas y cambiar contraseñas si hubo posible filtración de datos
Durante años, millones de usuarios de Chrome y Edge han navegado con total normalidad sin saber que algunas de sus extensiones favoritas se estaban convirtiendo poco a poco en una herramienta de espionaje. Un grupo de ciberdelincuentes, identificado por los investigadores como ShadyPanda, aprovechó la confianza en los complementos del navegador para montar una campaña silenciosa y prolongada.
Según los datos publicados por Koi Security, más de 4,3 millones de instalaciones se han visto afectadas en ambos navegadores, con especial impacto en extensiones muy populares en mercados como Europa y España. Lo inquietante no es solo el volumen, sino la táctica: extensiones que parecían inocuas y útiles durante años, hasta que las actualizaciones automáticas empezaron a introducir funciones claramente maliciosas.
Qué es ShadyPanda y por qué preocupa tanto
La campaña bautizada como ShadyPanda se apoya en un enfoque de “paciencia extrema”: los atacantes publican extensiones que funcionan correctamente, acumulan buenas valoraciones y millones de descargas, y solo cuando han ganado suficiente tracción empiezan a colar cambios ocultos en las actualizaciones.
De acuerdo con el informe, las primeras extensiones relacionadas con el grupo empezaron a aparecer en las tiendas de Chrome y Edge en 2018. Durante varios años ofrecieron funciones sencillas, como fondos de pantalla, nuevas pestañas personalizadas o utilidades de productividad, sin que se detectara nada raro. Esto les permitió construir una reputación sólida, algo que para el usuario medio es sinónimo de fiabilidad.
A partir de 2023 el comportamiento cambió: las versiones nuevas de estos complementos comenzaron a incluir código oculto orientado primero a la monetización ilícita y, más tarde, al robo sistemático de datos de navegación. Este giro progresivo ha convertido un puñado de herramientas aparentemente útiles en un vector de ataque de gran alcance contra la privacidad.
En esta operación se han visto implicadas unas 145 extensiones en total: cerca de 20 para Google Chrome y unas 125 para Microsoft Edge. Algunas de ellas, como Clean Master, WeTab o Infinity V+, han llegado a figurar entre las más instaladas, lo que agrava el posible impacto sobre usuarios europeos y españoles.
De extensiones útiles a fraude de afiliados masivo
El primer paso hacia la actividad delictiva no fue directamente el espionaje, sino el fraude de afiliados. A lo largo de 2023, numerosas extensiones vinculadas a ShadyPanda empezaron a inyectar silenciosamente códigos de seguimiento en enlaces legítimos a plataformas como Amazon, eBay o Booking.com.
Esta maniobra permitía que los ciberdelincuentes se llevaran comisiones por compras realizadas por los usuarios, sin que estos hubieran dado su consentimiento ni siquiera supieran que se estaban modificando las enlaces en segundo plano. El usuario veía la web de siempre, pero por debajo se estaban alterando las etiquetas que registran las ventas.
Durante aproximadamente un año, la campaña se centró en esta vertiente económica, explotando cada visita a sitios de comercio electrónico y viajes. Sin embargo, poco a poco el código fue ganando capacidades adicionales, alejándose del simple fraude y acercándose a un modelo de vigilancia intensiva del comportamiento online.
Los investigadores señalan que muchas de estas extensiones se presentaban como paquetes de fondos de pantalla o pequeñas herramientas para mejorar el día a día del usuario. Precisamente por eso tuvieron tan buena acogida: parecían inofensivas, livianas y muy prácticas para personalizar el navegador.
Ejecución remota de código y puertas traseras en el navegador
La parte más delicada de ShadyPanda llega cuando algunas de estas extensiones comienzan a incorporar funciones de ejecución remota de código (RCE). Según Koi Security, en una “primera fase avanzada” se identificaron al menos cinco extensiones que actuaban como auténticas puertas traseras dentro del navegador.
Estas extensiones comprometidas se conectaban de forma periódica a dominios controlados por los atacantes para descargar y ejecutar JavaScript arbitrario. En la práctica, esto significa que los operadores podían cambiar la carga maliciosa cuando quisieran, adaptando los ataques sin necesidad de publicar una nueva versión visible en la tienda oficial.
El módulo malicioso recopilaba historial de navegación, URLs visitadas, referentes, marcas de tiempo, identificadores persistentes y huellas digitales completas del navegador. Todo ello se cifraba y se enviaba a servidores remotos, alojados en una infraestructura distribuida que dificultaba rastrear el origen del ataque.
Para no llamar la atención, el código estaba diseñado para ocultarse cuando el usuario activaba las herramientas de desarrollador del navegador. Es decir, si alguien con conocimientos técnicos intentaba inspeccionar qué hacía la extensión, esta aparentaba un comportamiento normal, reduciendo así las posibilidades de ser detectada por curiosos o investigadores independientes.
Esta combinación de acceso profundo al navegador y sigilo ha llevado a algunos expertos a calificar a ShadyPanda como uno de los esquemas más sofisticados de abuso de extensiones detectados en los últimos años en los ecosistemas de Chrome y Edge.
Robo de cookies, secuestro de búsquedas y espionaje masivo
A medida que avanzaba la campaña, las extensiones de ShadyPanda fueron ganando capacidades todavía más intrusivas. Diversos análisis describen cómo estas herramientas llegaron a secuestrar las búsquedas del usuario, redirigiendo consultas hacia motores poco fiables o a subdominios controlados por los atacantes.
En algunos casos, las extensiones interceptaban lo que el usuario tecleaba en la barra de búsqueda, modificaban los resultados mostrados o los hacían pasar por otros servicios antes de devolverlos, todo ello sin indicios visibles en la interfaz. Este tipo de manipulación abre la puerta a campañas de publicidad engañosa, distribución de malware adicional o incluso a la alteración de información mostrada.
Otro pilar de la operación fue el robo de cookies de sesión, pequeños archivos que permiten mantener la sesión iniciada en webs como bancos, redes sociales o servicios de correo. Si un atacante obtiene estas cookies, puede llegar a suplantar al usuario sin conocer su contraseña, con un potencial enorme para el robo de cuentas.
Los investigadores destacan que, en etapas posteriores, el código malicioso empezó a recolectar todo tipo de telemetría detallada del uso del navegador: clics del ratón, interacción con los elementos de la página, consultas de búsqueda, datos de almacenamiento local, almacenamiento de sesión y cookies, así como la denominada “huella digital” del navegador (configuración, extensiones instaladas, características del dispositivo, etc.).
En resumen, el navegador se convertía en una especie de monitor permanente de la actividad online del usuario, algo especialmente preocupante en un contexto europeo en el que el Reglamento General de Protección de Datos (RGPD) exige estrictas garantías de privacidad.
Extensiones señaladas: WeTab, Infinity V+ y otras muy populares
Entre las extensiones más mencionadas en la investigación aparecen nombres como WeTab e Infinity V+, muy difundidas en Microsoft Edge, así como utilidades como Clean Master, BlockSite, Speedtest Pro, SafeSwift, OneTab Plus y varias variantes de “New Tab” con fondos personalizados. Muchas de ellas se anunciaban como formas rápidas de mejorar el rendimiento o cambiar el aspecto del navegador.
WeTab, en particular, ha acaparado la atención porque habría superado los tres millones de instalaciones en Edge. Esta extensión, orientada a personalizar la nueva pestaña, habría utilizado su posición privilegiada para recopilar todas las URLs visitadas, resultados de búsqueda y movimientos del ratón, enviando estos datos a servidores remotos.
Infinity V+ y otras extensiones similares, según el informe, añadían funciones de redirección de búsquedas y exfiltración de cookies, lo que encaja con las capacidades descritas en las distintas fases de ShadyPanda. Algunas de estas herramientas llegaron a lucir distintivos o recomendaciones que daban una falsa sensación de seguridad.
El hecho de que varias de estas extensiones fueran especialmente populares en Europa y otros mercados occidentales implica que una parte significativa de los 4,3 millones de instalaciones podría corresponder a usuarios españoles. Aunque no hay un desglose público por país, la penetración de Chrome y Edge en España hace pensar que el impacto local no es, ni mucho menos, anecdótico.
La lista completa de extensiones implicadas se ha incluido en el informe técnico de Koi Security, que sirve como referencia para empresas, administraciones y usuarios avanzados que quieran comprobar si han estado expuestos a esta campaña.
Respuesta de Google y Microsoft: qué se ha hecho y qué falta por hacer
Tras recibir el informe, Google eliminó de la Chrome Web Store todas las extensiones identificadas como parte de ShadyPanda. Además, las instalaciones existentes empezaron a ser desactivadas y marcadas como dañinas, reduciendo así la exposición de los usuarios que no suelen revisar manualmente su lista de complementos.
En el caso de Microsoft Edge, los investigadores señalan que la reacción ha sido más lenta. Aunque buena parte de las extensiones maliciosas ha sido retirada, al menos una seguía disponible en la tienda oficial en el momento de cierre del informe, con alrededor de tres millones de instalaciones acumuladas.
Esta diferencia de tiempos pone de manifiesto la necesidad de que las grandes plataformas de navegador refuercen la supervisión continua de las actualizaciones de extensiones, y no solo el análisis inicial en el momento de su publicación. La campaña ShadyPanda explota precisamente este punto débil: las tiendas confían demasiado en que las actualizaciones posteriores son inocuas.
En Europa, donde las autoridades y reguladores han aumentado la presión sobre las grandes tecnológicas en materia de seguridad y privacidad, casos como este podrían reforzar las demandas de controles más estrictos y auditorías periódicas de los complementos disponibles en los catálogos oficiales.
Para los usuarios españoles, que en muchos casos utilizan sus navegadores también para banca online, gestiones con la Administración y comercio electrónico, el riesgo de que una extensión maliciosa siga activa no es un asunto menor.
Cómo saber si estás afectado y qué puedes hacer
Más allá de lo que hagan Google y Microsoft, la última línea de defensa sigue siendo el propio usuario. Los expertos de Koi Security recomiendan revisar con calma todas las extensiones instaladas en Chrome y Edge, prestando especial atención a aquellas que no recuerdas haber instalado o que ya no utilizas.
Un paso básico es eliminar cualquier extensión sospechosa, especialmente si aparece mencionada en los listados relacionados con ShadyPanda o si ha cambiado de comportamiento en los últimos meses (por ejemplo, mostrando más publicidad, abriendo pestañas extrañas o alterando las búsquedas).
Si crees que podrías haber estado expuesto, es muy recomendable cambiar las contraseñas de tus cuentas principales (correo, banca, redes sociales, servicios corporativos) y, siempre que sea posible, activar la autenticación en dos pasos (ver cómo protegerte). De este modo, incluso si alguien hubiera robado cookies o credenciales, tendrá más difícil acceder a tus perfiles.
También conviene realizar un escaneo completo del sistema con soluciones antivirus o antimalware actualizadas, por si alguna de estas extensiones hubiera descargado componentes adicionales en el equipo. En entornos empresariales y organismos públicos, lo recomendable es combinar esta revisión con auditorías internas y políticas más estrictas sobre qué extensiones se pueden instalar.
Como pauta general, es buena idea limitarse a extensiones realmente imprescindibles, revisar con cierta frecuencia la lista de complementos activos y desconfiar de aquellas que piden permisos excesivos para la función que dicen ofrecer. No es raro que una extensión de fondos de pantalla, por ejemplo, solicite accesos que no le hacen ninguna falta.
Lo que ha destapado ShadyPanda demuestra hasta qué punto el modelo de confianza en las extensiones puede volverse en contra del usuario: complementos populares, con millones de instalaciones y buena puntuación, han terminado convertidos en una red de espionaje y fraude. En un contexto en el que en España y en el resto de Europa cada vez dependemos más del navegador para casi todo, revisar las extensiones instaladas y endurecer los hábitos de seguridad ya no es una recomendación opcional, sino una necesidad si queremos mantener a salvo nuestros datos y nuestra privacidad.
