- Una red de casi 300 extensiones maliciosas operó en Chrome, Edge, Firefox y Opera durante más de siete años.
- El grupo DarkSpectre orquestó tres grandes campañas: ShadyPanda, GhostPoster y Zoom Stealer.
- El ataque afectó a unos 8,8 millones de usuarios y combinó fraude online, robo de datos y espionaje corporativo.
- Europa y España se han visto especialmente expuestas por el uso masivo de navegadores basados en Chromium en entornos de trabajo y teletrabajo.
Durante más de siete años, una red de extensiones maliciosas campó a sus anchas en navegadores como Chrome y Edge, extendiéndose también a Firefox y Opera sin levantar sospechas en millones de usuarios. Lo que durante mucho tiempo se percibió como un entorno relativamente seguro dentro de las tiendas oficiales de complementos se ha destapado ahora como uno de los incidentes de seguridad más prolongados y masivos registrados en este tipo de plataformas.
La operación, vinculada a un grupo organizado conocido como DarkSpectre, consiguió encajar cerca de 300 extensiones fraudulentas en los catálogos de Google Chrome, Microsoft Edge, Mozilla Firefox y Opera. En conjunto, estas herramientas se instalaron en los navegadores de unos 8,8 millones de personas en todo el mundo, con un impacto notable en Europa y en países como España, donde el uso de navegadores basados en Chromium es dominante tanto en el hogar como en la oficina.
Lo verdaderamente llamativo de este caso no es solo el volumen de afectados, sino la capacidad del ataque para permanecer oculto durante años dentro de tiendas consideradas confiables. Las extensiones aparentaban ser utilidades inofensivas, mantenían un comportamiento normal durante largos periodos y solo activaban su faceta maliciosa cuando ya habían acumulado una base amplia de usuarios.
Según la investigación publicada por la firma de ciberseguridad Koi.ai, DarkSpectre desplegó una operación criminal altamente estructurada, con varias campañas en paralelo, infraestructuras de mando y control distribuidas y un uso intensivo de técnicas de ingeniería social para esquivar filtros automatizados y revisiones manuales.
Un ataque silencioso en Chrome y Edge a través de tiendas oficiales
El núcleo de la ofensiva se basó en extensiones presentadas como herramientas útiles para el día a día: bloqueadores de anuncios, traductores, gestores de pestañas, personalizadores de la página de nueva pestaña o utilidades de productividad. Muchas de ellas aparecían sin problemas en las tiendas oficiales de Chrome y Edge, lo que generaba una sensación de seguridad entre los usuarios, incluidos trabajadores de empresas e instituciones públicas europeas.
Las extensiones de DarkSpectre llegaron a las tiendas como si fueran proyectos legítimos, con descripciones verosímiles, logotipos cuidados y fichas bien redactadas. Los responsables de la campaña reforzaron esa apariencia de fiabilidad con un sistema de reseñas falsas y puntuaciones infladas, que las situaba entre las recomendaciones destacadas y les daba visibilidad extra frente a alternativas de confianza.
Buena parte del truco residía en que, al principio, las extensiones funcionaban realmente como prometían. Bloqueaban anuncios, traducían textos, organizaban pestañas o facilitaban ciertas tareas sin hacer nada sospechoso. Este comportamiento “limpio” inicial ayudaba a que los controles de seguridad internos y externos no detectaran anomalías.
La pieza clave llegaba después: una vez que un complemento conseguía un volumen significativo de instalaciones, los atacantes lanzaban actualizaciones silenciosas que modificaban el código, ampliaban permisos o activaban módulos que hasta ese momento estaban deshabilitados. Desde el punto de vista del usuario, se trataba de una actualización rutinaria más; desde la perspectiva de DarkSpectre, era el momento de encender el modo ataque.
De este modo, el grupo logró aprovechar uno de los puntos débiles del modelo de confianza de las tiendas de extensiones: la asunción de que toda actualización es una mejora o una corrección de errores, no el inicio de una actividad maliciosa cuidadosamente planificada.
Métodos de engaño: reputación falsa y código oculto
Para escalar el alcance de la operación, DarkSpectre recurrió a técnicas de reputación artificial. Muchas de las extensiones involucradas acumulaban valoraciones muy altas y comentarios positivos generados de forma automatizada o coordinada, lo que reforzaba la percepción de que se trataba de herramientas probadas por miles de usuarios satisfechos.
Al mismo tiempo, el grupo diseñó un sistema de actualizaciones escalonadas y comportamiento diferido. Durante los primeros meses, el código malicioso permanecía oculto o desactivado, y solo se ponía en marcha cuando se daban ciertas condiciones: alcanzar un número concreto de instalaciones, recibir una instrucción desde los servidores de comando y control, o detectar que el usuario visitaba determinadas páginas de comercio electrónico o accedía a servicios sensibles.
En algunos complementos, la parte peligrosa no estaba incluida directamente en el paquete inicial, sino que se descargaba más tarde desde servidores remotos. Esa lógica modular reducía las posibilidades de que el malware fuera identificado en los análisis estáticos que se realizan antes de publicar una extensión o al escanear su código de manera superficial.
La infraestructura criminal combinó además técnicas avanzadas de ofuscación para complicar la lectura del código y evitar que herramientas automatizadas de seguridad detectaran patrones reconocibles. Cadenas de texto fragmentadas, funciones aparentemente sin uso y cargas diferidas eran parte de un mismo objetivo: hacer que el comportamiento real de la extensión resultara opaco a primera vista.
En paralelo, varias de estas extensiones actuaban como auténticos “caballos de Troya” en el navegador. Al menos varias decenas estaban preparadas para capturar credenciales bancarias, datos de autocompletado, contraseñas de redes sociales y otra información privada. Todo ese contenido se enviaba en tiempo real a los servidores de DarkSpectre mediante canales cifrados y rutas de comunicación diseñadas para confundirse con tráfico web normal.
Tres grandes campañas: ShadyPanda, GhostPoster y Zoom Stealer
La investigación de Koi.ai identifica tres campañas principales dentro de la operación de DarkSpectre, todas ellas apoyadas en extensiones para navegadores pero con objetivos y técnicas diferenciadas. En conjunto, explican por qué el ciberataque en Chrome, Edge y el resto de navegadores tuvo un alcance tan amplio y se mantuvo activo durante tanto tiempo.
La primera fase, bautizada como ShadyPanda, se centró sobre todo en usuarios de navegadores basados en Chromium, con especial incidencia en Chrome y Edge, que son los más utilizados en Europa. Más de un centenar de extensiones comprometidas acabaron infectando a unos 5,6 millones de usuarios, convirtiendo esta campaña en la más extensa en términos de volumen.
Estas extensiones se presentaban como herramientas de uso diario: desde gestores de pestañas hasta utilidades para compras en línea. En cuanto acumulaban una base crítica de instalaciones, comenzaban a activar funciones ocultas orientadas al fraude en comercio electrónico y la vigilancia masiva. Se han documentado casos de manipulación de enlaces en grandes portales de compras, intercepción de formularios de pago y redirecciones encubiertas hacia páginas de afiliación o sitios de phishing.
La segunda gran campaña recibió el nombre de GhostPoster y afectó principalmente a usuarios de Firefox y Opera, sumando más de un millón de víctimas. En este caso, la característica más llamativa fue el uso intensivo de esteganografía: código JavaScript malicioso incrustado dentro de imágenes PNG aparentemente normales. Al instalarse la extensión, este código se extraía y ejecutaba, permitiendo la descarga y ejecución de instrucciones remotas con un nivel de sigilo muy superior al de otros ataques convencionales.
Dentro de GhostPoster, uno de los ejemplos más preocupantes fue una variante manipulada de la popular extensión de “Google Translate” para Opera. Aunque seguía ofreciendo la función de traducción, en segundo plano incluía un iframe oculto que abría una puerta trasera en el navegador, desactivaba ciertas protecciones antifraude y enviaba información sensible a servidores ya asociados con el resto de campañas de DarkSpectre.
La tercera rama, conocida como Zoom Stealer, supuso el salto definitivo hacia el espionaje corporativo a gran escala. Detectada a finales de 2025, aprovechó el auge consolidado de las videollamadas en entornos laborales para colar al menos 18 extensiones dirigidas a plataformas como Zoom, Microsoft Teams y Google Meet, especialmente en Chrome y Edge. Esta ofensiva afectó a unos 2,2 millones de usuarios, muchos de ellos empleados de empresas europeas y organismos públicos.
Las extensiones de Zoom Stealer se promocionaban como utilidades para mejorar la productividad: resúmenes automáticos de reuniones, listas de participantes, organización de enlaces de acceso o análisis rápido de vídeos. En realidad, solicitaban permisos muy amplios sobre la actividad de las videollamadas y otros servicios conectados, lo que les permitía capturar enlaces privados, credenciales, nombres, cargos, fotos de perfil y otros datos profesionales de los asistentes.
Cómo se mantuvo el ciberataque activo durante más de siete años
Uno de los aspectos que más sorprende a los expertos es la duración inusualmente larga de la operación. Desde las primeras instalaciones detectadas en 2018 hasta el cierre progresivo de las campañas a finales de 2025, DarkSpectre fue ajustando su infraestructura y su código para adaptarse a los cambios en los navegadores y a las nuevas políticas de las tiendas de extensiones.
La clave estuvo en un diseño modular y distribuido. La red de servidores de comando y control utilizaba dominios rotatorios y múltiples capas de intermediación, de modo que, si una pieza de la infraestructura era bloqueada, otras seguían operando. Algunas extensiones solo se comunicaban con los servidores en momentos muy concretos o bajo determinadas condiciones de uso, reduciendo al mínimo el “ruido” detectable por herramientas de seguridad.
Además, gran parte de la lógica dañina se cargaba de forma diferida: en lugar de incluir todo el malware en el paquete original, parte del código se descargaba en segundo plano días o semanas después de la instalación. En otros casos, la actividad maliciosa se activaba únicamente en un porcentaje reducido de usuarios o tras un periodo de tiempo determinado, lo que dificultaba enormemente reproducir el comportamiento en entornos de análisis.
DarkSpectre se benefició también de la fragmentación de la respuesta de seguridad. Mientras algunas variantes eran detectadas en un navegador o región concreta y se retiraban del catálogo, otras continuaban activas bajo nombres ligeramente distintos, con pequeños cambios en el código o distribuidas en otras tiendas. Esta constante mutación permitió que la campaña sobreviviera a golpes puntuales sin ver comprometida su estructura general.
La falta de conciencia generalizada sobre el riesgo real de las extensiones jugó a favor de los atacantes. Muchos usuarios, tanto particulares como profesionales, otorgan permisos amplios a complementos que apenas conocen, permitiendo el acceso a todo el contenido que se visualiza en el navegador, al historial de navegación o a datos almacenados en servicios conectados. En manos de un grupo como DarkSpectre, esas autorizaciones se convierten en una puerta de entrada directa a la vida digital completa del usuario.
Impacto en usuarios y empresas en España y Europa
El efecto acumulado de estas campañas ha sido significativo, especialmente en regiones con alta penetración de Chrome y Edge, como España y el resto de Europa. Millones de personas se han visto expuestas a vigilancia silenciosa, robo de datos personales y fraudes económicos, a menudo sin relacionar esos problemas con la instalación de una extensión aparentemente inocua meses o años atrás.
En el ámbito corporativo, las consecuencias han sido aún más delicadas. La combinación de ShadyPanda y Zoom Stealer abrió la puerta tanto al fraude directo en operaciones comerciales como al acceso no autorizado a reuniones confidenciales. Informes internos, presentaciones de proyectos, acuerdos con clientes, estrategias de precios o conversaciones de alta dirección pudieron quedar al alcance de los atacantes durante largos periodos.
Para las organizaciones europeas, sujetas a normativas exigentes como el Reglamento General de Protección de Datos (RGPD), este tipo de incidentes plantea desafíos adicionales. No solo se trata de posibles filtraciones de datos personales de empleados y clientes, sino también de la exposición de secretos comerciales y de información estratégica que puede afectar a la competitividad de sectores enteros.
El impacto resulta especialmente difícil de cuantificar porque muchas de estas extensiones se instalaban en equipos de teletrabajo, ordenadores personales y dispositivos utilizados en contextos híbridos. Es decir, el mismo navegador servía para tareas domésticas y laborales, lo que difumina la frontera entre datos privados y corporativos y complica las investigaciones posteriores.
El caso DarkSpectre ha reabierto además el debate en Europa sobre la responsabilidad de los grandes proveedores de navegadores y sus tiendas oficiales. Aunque Chrome, Edge y el resto de plataformas cuentan con mecanismos de revisión, la magnitud y la duración de este ataque han puesto de manifiesto que los filtros actuales no fueron suficientes para frenar una operación de largo recorrido tan meticulosamente planificada.
Recomendaciones para usuarios de Chrome y Edge
A raíz de la publicación de la investigación, los especialistas en seguridad recomiendan que usuarios y empresas revisen a fondo las extensiones instaladas en sus navegadores, con especial atención a Chrome y Edge, donde se concentró buena parte del ataque debido a su alta cuota de mercado.
Como primer paso, se aconseja realizar una auditoría manual de todos los complementos: eliminar cualquier extensión que no se utilice de forma habitual, que no se reconozca o cuya procedencia no esté clara. En entornos corporativos, lo ideal es implantar una lista blanca de extensiones autorizadas y bloquear la instalación de nuevas herramientas sin la aprobación expresa del departamento de TI.
También es fundamental mantener el navegador siempre actualizado a la última versión disponible. Los desarrolladores de Chrome, Edge y otros navegadores han ido incorporando parches específicos y mejoras de seguridad para frenar cadenas de ataque similares a la de DarkSpectre, por lo que seguir usando versiones desfasadas incrementa innecesariamente la exposición al riesgo.
En caso de sospecha de haber utilizado alguna extensión comprometida en los últimos años, los expertos recomiendan una rotación preventiva de contraseñas, priorizando cuentas de correo, banca online, redes sociales y servicios profesionales críticos. Activar la autenticación en dos pasos (2FA) allí donde sea posible añade una capa extra de protección incluso si las credenciales se han visto comprometidas en el pasado.
A nivel doméstico y empresarial, conviene reforzar las políticas de formación y concienciación en ciberseguridad. Aprender a desconfiar de extensiones “milagrosas” con valoraciones perfectas, revisar con calma los permisos que solicitan y evitar instalar herramientas que realmente no son necesarias puede marcar la diferencia entre mantener el control de la información o abrir la puerta a operaciones como la de DarkSpectre.
Todo lo que se ha conocido sobre este ciberataque prolongado en Chrome, Edge y otros navegadores deja claro que la seguridad digital no depende solo de grandes barreras técnicas o de sofisticados sistemas de detección, sino también de decisiones aparentemente rutinarias que se toman frente a la pantalla. Un simple clic para instalar una extensión, una actualización aceptada sin leer o unos permisos concedidos con prisas pueden convertirse, con el tiempo, en la vía de entrada a campañas de espionaje, fraude y robo de datos que se prolongan durante años sin ser detectadas.
