- Dos extensiones de Chrome llamadas Phantom Shuttle funcionaban como proxy pero desviaban el tráfico a servidores controlados por atacantes.
- El código malicioso se inyectaba en librerías JavaScript como jQuery y script.js para capturar credenciales y datos sensibles.
- Las extensiones se dirigían principalmente a usuarios chinos, pero podían afectar a viajeros y a cualquier usuario que las instalara.
- El caso vuelve a poner en cuestión el modelo de permisos y el control de seguridad de las extensiones en Google Chrome.
Durante años, miles de usuarios han utilizado una supuesta herramienta de proxy en Google Chrome sin sospechar que, en realidad, estaban entregando sus datos más sensibles a ciberdelincuentes. Dos extensiones llamadas Phantom Shuttle, disponibles en la Chrome Web Store, han pasado desapercibidas mientras redirigían tráfico y recopilaban credenciales de acceso.
Lo más inquietante es que estas extensiones no eran un simple malware chapucero, sino un fraude bien armado: se presentaban como un servicio de VPN o proxy legítimo, con suscripción de pago, reseñas y apariencia totalmente normal dentro de la tienda oficial de Google. Muchos usuarios pensaban que estaban mejorando su privacidad y han acabado, sin saberlo, financiando su propio robo de datos.
Cómo funcionaba Phantom Shuttle para controlar el tráfico del navegador
Según los investigadores de seguridad de Socket, las dos variantes de Phantom Shuttle llevaban activas desde al menos 2017, y la más reciente se publicó en 2023. Aunque su objetivo principal eran usuarios en China, especialmente perfiles que trabajan con comercio exterior y necesitan probar conexiones desde diferentes zonas del país, el riesgo no se limita a este territorio: cualquier viajero o usuario que instalase la extensión podía verse afectado.
En teoría, estas extensiones permitían medir la conectividad, probar la latencia y usar un servicio de proxy remoto. En la práctica, todo el tráfico web se redirigía a través de proxies controlados por los atacantes. Las credenciales de estos proxies estaban codificadas directamente en el código de la extensión, utilizando un sistema de decodificación de caracteres personalizado que hacía más difícil identificar a simple vista su verdadera finalidad.
Para conseguirlo, la extensión modificaba los ajustes de proxy de Chrome mediante un script de auto-configuración. Así, el navegador quedaba configurado para que las peticiones hacia determinados sitios pasaran, sí o sí, por la infraestructura del atacante, lo que les permitía inspeccionar y manipular el tráfico a su antojo.
Este enfoque corresponde a un ataque de tipo man-in-the-middle: la extensión se situaba entre el usuario y las páginas web que visitaba, actuando como intermediaria invisible. Mientras el usuario veía su navegación aparentemente normal, en segundo plano se capturaban credenciales, información personal y datos de pago.
Inyección de código en jQuery y script.js para robar credenciales
El verdadero truco técnico de Phantom Shuttle estaba en cómo integraba el código malicioso. Los análisis revelan que la extensión inyectaba código en dos librerías JavaScript muy comunes: jQuery y script.js. Al hacerlo, lograba interceptar flujos de autenticación sin levantar sospechas, ya que estas librerías están presentes en infinidad de páginas.
El fragmento malicioso se insertaba al inicio de una copia de jQuery legítima, y a partir de ahí utilizaba funciones de decodificación propias para reconstruir las credenciales del proxy y otros parámetros sensibles. Así, cada vez que el navegador gestionaba una autenticación HTTP, la extensión respondía con credenciales de proxy manipuladas en lugar de dejar que el navegador completara el proceso de forma normal.
Entre los datos que podían capturarse se encontraban prácticamente todas las piezas de información valiosa en la navegación moderna: contraseñas, números de tarjeta, cookies de sesión, historial de navegación, datos de formularios, claves de API y tokens de acceso. Además, los investigadores señalan que cada pocos minutos la extensión enviaba al servidor de control información como el correo electrónico y la contraseña del usuario, generando una filtración continua.
Para hacer aún más creíble el engaño, el servicio de proxy funcionaba de forma razonablemente correcta: pruebas de latencia, estado de conexión en tiempo real y comportamiento parecido al de una VPN sencilla. Es decir, el producto aparentaba ser útil y funcional, lo que reduía la probabilidad de que el usuario sospechase de algún comportamiento anómalo.
Dominios de alto valor en el punto de mira
Uno de los aspectos más preocupantes del caso es la selección de objetivos. Phantom Shuttle no se limitaba a capturar cualquier tráfico, sino que ponía el foco en unos 170 dominios considerados de alto valor. Entre ellos figuraban servicios de desarrollo, consolas de proveedores en la nube, redes sociales y portales de contenido adulto.
La lista incluía, entre otros, plataformas como GitHub, Stack Overflow, Docker, AWS, Azure, Digital Ocean, Cisco, IBM, VMware, Facebook, Instagram y Twitter. Es decir, servicios donde se gestionan desde código fuente crítico y claves de despliegue hasta cuentas personales con información muy sensible.
Mientras tanto, la extensión evitaba redirigir tráfico hacia la red local o hacia los dominios de comando y control (C2) de los propios atacantes. Ese detalle, aparentemente menor, tenía un propósito claro: no levantar banderas rojas en análisis superficiales de red, ya que el comportamiento hacia esos dominios se mantenía “normal”.
La combinación de objetivos cuidadosamente escogidos, suscripciones de pago y un funcionamiento aparentemente legítimo muestra un patrón de operación preparado para durar en el tiempo, no un experimento puntual. De hecho, una de las versiones llegó a acumular alrededor de 2.000 usuarios, y la más reciente al menos 180, cifras modestas pero más que suficientes para una campaña de robo de datos selectiva.
Suscripciones en yuanes y apariencia de servicio legítimo
Otro elemento clave del engaño fue el modelo de negocio. Los usuarios tenían que pagar una suscripción para obtener el “estado VIP” dentro del servicio Phantom Shuttle. Los pagos se realizaban en yuanes chinos, utilizando plataformas de pago como Alipay, y las tarifas variaban desde aproximadamente 1,40 a 13,60 dólares al mes, según las investigaciones.
Este detalle económico añadía una capa de verosimilitud: pocos usuarios esperan que una extensión maliciosa ofrezca planes de pago tan estructurados. El hecho de pagar por el servicio refuerza psicológicamente la idea de que se trata de una herramienta profesional y reduce la sospecha de estar ante un producto fraudulento.
En la Chrome Web Store, las extensiones se presentaban como utilidades para probar tráfico proxy y velocidad de red, dirigidas sobre todo a perfiles técnicos o a trabajadores que necesitan validar conexiones desde diferentes ubicaciones. Las descripciones, las reseñas y el diseño encajaban con lo que muchos usuarios esperan de una herramienta de este tipo.
Al final, el resultado era paradójico: el usuario no sólo entregaba su información confidencial, sino que además pagaba por hacerlo. El servicio de proxy cumplía mínimamente su función, mientras, por debajo, la verdadera actividad era la exfiltración sistemática de datos para su uso o venta por parte de los atacantes.
Respuesta de Google y debilidades del modelo de extensiones
Tras la publicación del análisis de Socket y la difusión del caso por medios especializados en ciberseguridad, Google procedió a eliminar ambas extensiones Phantom Shuttle de la Chrome Web Store. Actualmente, una búsqueda con ese nombre ya no devuelve resultados en la tienda oficial.
No obstante, el incidente reabre un debate que viene de lejos: el modelo de permisos de las extensiones de Chrome sigue siendo muy permisivo. Muchas extensiones, legítimas o no, pueden solicitar acceso al tráfico, al historial de navegación o incluso a las credenciales del usuario, y la mayoría de las personas acepta estos permisos porque confía en su navegador o no entiende del todo el alcance de lo que está autorizando.
En este contexto, Phantom Shuttle es solo la punta del iceberg. En los últimos años se han detectado numerosas extensiones maliciosas o abusivas que lograron superar los sistemas automáticos de revisión. La crítica que apuntan algunos investigadores es clara: Google debería reforzar y actualizar sus mecanismos de control, sobre todo en extensiones que pidan permisos de proxy, manejo de tráfico o modelos de suscripción.
Por ahora, no hay indicios de que la campaña se haya extendido masivamente a Europa o España, pero el caso sirve como advertencia directa también para los usuarios europeos, donde Chrome sigue siendo el navegador dominante. Un complemento diseñado para otro mercado puede acabar instalado en cualquier equipo si el usuario lo encuentra o lo recibe recomendado sin fijarse demasiado.
Riesgos para usuarios en España y Europa y cómo protegerse
Aunque la campaña de Phantom Shuttle se enfocara principalmente en usuarios chinos, el vector de ataque es universal: una extensión de navegador con permisos amplios. En España y en el resto de Europa, donde se utilizan a diario servicios de banca en línea, administración electrónica y plataformas de trabajo en la nube, una extensión similar podría tener un impacto muy serio.
Para un usuario europeo medio, el riesgo más evidente sería la filtración de credenciales bancarias, acceso a cuentas de correo, redes sociales y servicios corporativos. Con tokens de acceso o claves API, un atacante podría incluso entrar en sistemas empresariales críticos, desplegar código malicioso o robar propiedad intelectual.
La primera barrera de defensa pasa por extremar la precaución con todo lo que se instala en el navegador. Conviene revisar con lupa qué permisos pide una extensión, cuántos usuarios la utilizan y qué reputación tiene. Incluso si se encuentra en la tienda oficial, no está de más buscar información adicional en fuentes de confianza, especialmente cuando la herramienta se presenta como VPN, proxy o gestor de contraseñas.
Además, en entornos corporativos y administraciones públicas en Europa, cada vez cobra más importancia el uso de políticas de control de extensiones, listas blancas y soluciones de seguridad que monitoricen el comportamiento del navegador. De esta forma, se reduce la posibilidad de que un empleado instale, por error o desconocimiento, un complemento que ponga en riesgo a toda la organización.
El caso Phantom Shuttle ilustra hasta qué punto una extensión de Chrome aparentemente inocente puede convertirse en una puerta trasera total a nuestra vida digital: desde los inicios de sesión en plataformas de desarrollo y servicios en la nube hasta los datos de tarjetas y la actividad diaria en redes sociales, todo puede quedar expuesto si se concede sin pensar acceso completo al navegador. Más allá del trabajo inmediato de eliminación que pueda hacer Google, el episodio recuerda a usuarios, empresas y organismos en España y Europa que conviene desconfiar por sistema de cualquier extensión que quiera “verlo todo” y que la mejor protección empieza muchas veces por una instalación menos impulsiva y una revisión crítica de cada permiso.
