- Phantom Shuttle se hacía pasar por VPN o proxy legítimo mientras interceptaba todo el tráfico del navegador.
- Las dos variantes, publicadas en 2017 y 2023, recopilaron datos de miles de usuarios durante años sin ser detectadas.
- La extensión redirigía el tráfico de más de 170 servicios de alto valor y enviaba credenciales y datos sensibles a servidores de los atacantes.
- El caso evidencia los riesgos del modelo de permisos de Chrome y la necesidad de revisar extensiones y sus privilegios.
Durante los últimos días ha salido a la luz un caso que vuelve a poner bajo sospecha la seguridad real de las extensiones de navegador. Una investigación de la empresa de ciberseguridad Socket ha destapado que dos complementos para Google Chrome llevaban años recopilando datos personales de quienes los instalaban, sin que la mayoría de usuarios tuviera la menor pista de lo que estaba ocurriendo.
Estas extensiones, presentadas como herramientas de VPN y proxy para navegar más seguro, funcionaban aparentemente bien: conexión estable, buena velocidad y un panel que simulaba un servicio profesional. Sin embargo, por detrás interceptaban el tráfico del navegador y lo reenviaban a servidores controlados por los atacantes, lo que convertía cada sesión de navegación en una posible filtración de información sensible.
Qué extensiones estuvieron robando datos y durante cuánto tiempo
El caso se centra en dos variantes de una misma extensión bautizada como Phantom Shuttle, que se promocionaba como solución para usar una VPN o un servicio proxy. La primera versión apareció en 2017 y la segunda en 2023, por lo que el fraude habría estado activo al menos durante ocho años, combinando ambas iteraciones.
Aunque no alcanzaron cifras millonarias de descargas, sí llegaron a miles de usuarios en total, con especial presencia en China. No obstante, al distribuirse a través de la Chrome Web Store, nada impedía que terminaran instaladas también en equipos de Europa, España u otros países, especialmente entre personas que viajan o cambian con frecuencia de ubicación y recurren a este tipo de herramientas.
Ambas versiones de Phantom Shuttle se publicitaron con un enfoque muy similar: promesas de navegación privada, comprobación de conexiones y soporte para desarrolladores que quisieran probar servicios desde distintas ubicaciones. A ojos de un usuario medio, la extensión podía parecer un complemento útil más dentro del catálogo oficial de Chrome.
Los investigadores de Socket, cuyos hallazgos fueron amplificados por medios especializados como Bleeping Computer, señalan que las dos variantes compartían un mismo objetivo: tener acceso continuado al tráfico del navegador y a las credenciales que los usuarios introducían en páginas de alto valor.
Cómo funcionaba el engaño tras Phantom Shuttle
El comportamiento malicioso se activaba, principalmente, después de que el usuario pagase una suscripción y obtuviera el supuesto “estado VIP”. El pago se realizaba en yuanes chinos a través de Alipay, algo que ya podía resultar llamativo para quienes no residieran en ese país, aunque muchos lo aceptaban pensando que se trataba de un servicio con sede en China.
A partir de ese momento, la extensión comenzaba a actuar como un intermediario invisible entre el usuario y las webs que visitaba. Para lograrlo, Phantom Shuttle inyectaba código malicioso en dos librerías JavaScript muy utilizadas, jquery y script.js. Modificando estos archivos, conseguía interceptar las peticiones de autenticación HTTP y colarse en el flujo normal de comunicación.
Cuando un sitio web solicitaba credenciales, la extensión respondía con datos de proxy modificados (como los identificadores topfany / 963852wei) y, al mismo tiempo, obtenía acceso a lo que el usuario tecleaba: correos electrónicos, contraseñas y otra información de inicio de sesión. Esta maniobra le permitía recopilar silenciosamente claves y tokens de acceso de múltiples servicios.
Además, Phantom Shuttle configuraba Chrome para forzar que el tráfico de más de 170 dominios de alto valor pasara por sus propios servidores. En esa lista figuraban plataformas de desarrollo, servicios en la nube y redes sociales muy conocidas, lo que multiplicaba la cantidad de información sensible a la que podía acceder.
Mientras todo esto ocurría, la extensión seguía mostrando un comportamiento aparentemente normal: las pruebas de latencia eran correctas, la velocidad no se resentía y el panel de control indicaba que la VPN funcionaba sin problemas. Esa sensación de normalidad es una de las razones por las que el fraude pudo prolongarse tanto tiempo sin levantar sospechas claras entre la mayoría de afectados.
Qué tipo de datos se filtraban y a qué servicios apuntaba
El sistema de recopilación de información estaba diseñado para ser constante. Según los análisis de Socket, cada pocos minutos la extensión enviaba datos al servidor de control manejado por los atacantes, manteniendo así una captación continua de información.
Entre los datos potencialmente expuestos se encontraban números de tarjeta de crédito, historiales de navegación, contraseñas, direcciones de correo, cookies de sesión y claves API. En la práctica, cualquier dato que el usuario introdujera en formularios o que formara parte de su sesión autenticada podía acabar en manos de terceros.
La lista de servicios hacia los que se redirigía el tráfico incluía GitHub, Stack Overflow, Docker, AWS, Azure, Digital Ocean, Cisco, IBM y VMware, además de redes sociales como Facebook, Instagram y el antiguo Twitter, e incluso sitios de contenido para adultos. Esto significa que cuentas profesionales, proyectos de desarrollo, infraestructuras en la nube y perfiles personales podían verse comprometidos al mismo tiempo.
Para los usuarios europeos y españoles, el impacto potencial no se limita a la esfera personal: el acceso no autorizado a credenciales corporativas o a servicios en la nube puede derivar en brechas de seguridad en empresas, con posibles consecuencias legales y económicas, especialmente bajo el paraguas del Reglamento General de Protección de Datos (RGPD).
Los investigadores subrayan que no se trataba de un virus tradicional ni de un fallo puntual, sino de un fraude persistente, cuidadosamente diseñado para aprovechar la confianza que genera encontrar una extensión aparentemente legítima en una tienda oficial y, además, asociada a un servicio de pago.
Por qué es tan difícil detectar una extensión maliciosa
Uno de los aspectos más inquietantes del caso Phantom Shuttle es que, a pesar de su comportamiento claramente malicioso, la experiencia de uso apenas daba pistas de que algo iba mal. La VPN parecía funcionar, la conexión era estable y los usuarios veían exactamente lo que esperaban ver de un servicio de este tipo.
Esto se debe en parte a que las extensiones de navegador cuentan con permisos muy amplios. Pueden acceder al contenido de las páginas que visitamos, ver lo que escribimos en formularios e incluso modificar el tráfico que sale de nuestro equipo. Si un complemento con esos privilegios se comporta de forma maliciosa, no siempre hay señales visibles en la interfaz o en el rendimiento que permitan detectarlo a simple vista.
El modelo de permisos de Chrome lleva tiempo siendo objeto de críticas. Muchas extensiones solicitan acceso al historial de navegación, a las pestañas abiertas o a funciones de proxy que, en manos equivocadas, permiten un control muy profundo sobre la actividad del usuario. En el caso de Phantom Shuttle, estos permisos se justificaban alegando que eran necesarios para gestionar la conexión VPN.
Según señalan los expertos, el problema no es solo que existan extensiones maliciosas, sino que no siempre detectan comportamientos anómalos los sistemas automáticos de revisión de la Chrome Web Store, especialmente cuando el desarrollador se toma la molestia de simular un servicio legítimo con suscripciones, descripciones detalladas y valoraciones aparentemente normales.
Todo ello deja a los usuarios en una situación complicada: confiar en una tienda oficial no garantiza al 100 % que todo lo que hay en ella sea seguro. Y, al mismo tiempo, prescindir por completo de las extensiones tampoco es realista, ya que muchas son realmente útiles y legítimas.
Riesgos y recomendaciones para usuarios en España y Europa
Aunque el foco inicial del caso se ha puesto en China, donde Phantom Shuttle concentró la mayoría de sus instalaciones, las implicaciones van mucho más allá. El uso extendido de Chrome en Europa, incluida España, hace que no pueda descartarse que la extensión estuviera presente en equipos de la región, ya sea en ordenadores personales, portátiles de trabajo o dispositivos de viaje.
Desde una perspectiva de protección de datos, la posibilidad de que contraseñas, tarjetas y cookies de sesión de usuarios europeos hayan sido interceptadas plantea dudas sobre el cumplimiento del RGPD por parte de las organizaciones afectadas. Si una cuenta corporativa comprometida da acceso a información de clientes, el incidente puede acabar considerándose una brecha de seguridad que debe notificarse a las autoridades competentes.
Ante situaciones como esta, los especialistas recomiendan revisar con detenimiento las extensiones instaladas en el navegador y desinstalar cualquier complemento que no sea estrictamente necesario o cuyo origen no esté claro. También conviene comprobar los permisos que solicita cada extensión, especialmente si pide acceso al tráfico, funciones de proxy o lectura de datos en todas las webs.
Para quienes crean haber utilizado Phantom Shuttle o extensiones similares, la medida más prudente es cambiar las contraseñas de los servicios más sensibles y activar la autenticación en dos pasos cuando esté disponible. Asimismo, resulta útil monitorizar movimientos extraños en cuentas financieras y accesos inusuales en plataformas corporativas.
En el ámbito institucional, el caso refuerza la importancia de que empresas y administraciones públicas en España y Europa establezcan políticas claras sobre el uso de extensiones en equipos de trabajo, limitando la instalación a complementos verificados y, en la medida de lo posible, auditados.
Este episodio de Phantom Shuttle sirve como recordatorio de que una extensión puede ser mucho más peligrosa que una simple página web: actúa de forma persistente, tiene acceso prolongado al navegador y, si es maliciosa, puede convertir cada sesión en una oportunidad de robo de información. Mantener el navegador limpio de complementos innecesarios, revisar permisos y desconfiar de las promesas demasiado generosas se ha vuelto una pieza clave de la higiene digital diaria.
