- FreeVPN.One, extensión verificada con más de 100.000 instalaciones, realiza capturas de pantalla y las envía a un servidor externo.
- El mecanismo usa un retardo de 1,1 segundos tras cargar cada página para asegurar que el contenido sensible esté visible.
- Los investigadores de KOI Security detectan permisos excesivos y recolección de URL, ID de pestaña e identificador de usuario.
- El comportamiento malicioso comenzó en abril (v3.0.3) y se reforzó en julio con activación y cifrado.
Una popular extensión de VPN para Chrome, FreeVPN.One, ha sido señalada por investigadores de ciberseguridad por registrar en secreto la actividad del navegador mediante capturas de pantalla a página completa y subirlas a un servidor controlado por su desarrollador. funcionamiento de VPN para Chrome
El hallazgo, atribuido a KOI Security, resulta especialmente preocupante porque la extensión aparece con insignia de verificación en la Chrome Web Store, figura en posiciones destacadas y supera las 100.000 instalaciones, mientras su descripción afirma que no recopila datos de los usuarios. Privacidad y seguridad en Chrome
Qué ha pasado
Según el análisis de los expertos, una vez instalada, FreeVPN.One activa en segundo plano un disparador que toma capturas de lo que se ve en pantalla: desde webs y documentos hasta paneles bancarios o mensajes privados.
Cómo opera el espionaje
Las capturas se envían a un servidor externo junto con metadatos como la URL abierta, el ID de la pestaña y un identificador único del usuario, lo que facilita correlacionar acciones y perfiles.
Además, el informe detalla que la extensión solicita permisos excesivos y, al iniciarse, consulta datos de ubicación y detalles del dispositivo, que igualmente se remiten al mismo destino remoto.
La propia página de la extensión sugiere que solo tomaría pantallazos para una función de “detección de amenazas con IA”. Sin embargo, las pruebas de los investigadores muestran que se realizan capturas incluso sin esa opción habilitada.
Datos sensibles expuestos
Este mecanismo puede dejar al descubierto contraseñas, información bancaria, mensajes personales y fotografías privadas, en definitiva cualquier dato confidencial que se muestre en pantalla mientras se navega.
Al tratarse de imágenes a página completa, la superficie de exposición es mayor que en otros modelos de recolección, y la combinación con la URL y el identificador de usuario permite reconstruir hábitos y contextos con gran precisión.
Cuándo empezó y versiones implicadas
De acuerdo con KOI Security, este comportamiento no existía desde el arranque del proyecto. La actualización v3.0.3 (abril) introdujo los permisos que abrieron la puerta a estas prácticas; en julio, la v3.1.3 activó el disparador de capturas; y la v3.1.4 incorporó cifrado para intentar ocultar el rastro del tráfico.
Este historial sugiere una evolución deliberada hacia el espionaje, aprovechando la confianza inicial de los usuarios y el posicionamiento que otorga la verificación en la tienda.
Respuesta del desarrollador y dudas sobre la revisión
El creador habría alegado que las capturas solo se producen en dominios sospechosos, pero las comprobaciones independientes revelan que también se registran en páginas comunes, lo que contradice esa explicación.
El caso ha reavivado el debate sobre los procesos de revisión de la Chrome Web Store, dado que una extensión verificada y con gran visibilidad ha podido incorporar código malicioso en actualizaciones sucesivas sin levantar alertas inmediatas.
Qué hacer si instalaste la extensión
Si has usado FreeVPN.One, los expertos aconsejan desinstalarla de inmediato y adoptar medidas de higiene digital para reducir el impacto potencial.
- Cambiar las contraseñas de las cuentas a las que accediste mientras la extensión estaba activa.
- Revocar sesiones abiertas y activar doble factor de autenticación donde sea posible.
- Revisar el apartado de permisos y actividad de otras extensiones instaladas.
- Monitorizar movimientos en banca online y consultar alertas de seguridad si detectas anomalías.
Como pauta general, conviene priorizar las funciones nativas del navegador y ser muy selectivo con extensiones que prometen privacidad o seguridad, comprobando políticas de datos, permisos solicitados y el historial de versiones antes de instalarlas.
El episodio de FreeVPN.One pone de manifiesto cómo una herramienta que se presenta como solución de privacidad puede convertirse en lo contrario: capturar y exfiltrar información sensible con un retardo de 1,1 segundos para asegurar mayor detalle, apoyándose en permisos amplios y cambios introducidos por actualizaciones que pasaron desapercibidas.
