- FreeVPN.One, una VPN gratuita de Chrome con más de 100.000 instalaciones, capturaba pantallas y exfiltraba datos sin permiso.
- El espionaje comenzó tras actualizaciones que ampliaron permisos (v3.0.3) y activaron la captura silenciosa (v3.1.3), ocultándose con cifrado (v3.1.4).
- Usaba permisos all_urls, tabs, scripting y la API chrome.tabs.captureVisibleTab(), enviando imágenes y metadatos a servidores externos.
- Se recomienda desinstalar la extensión en Chrome y navegadores Chromium, revisar credenciales y reportarla en la tienda.
Una investigación de Koi Security ha destapado que FreeVPN.One, una supuesta VPN gratuita para Chrome, operaba como un spyware camuflado. La extensión, con más de 100.000 descargas y presencia destacada en la tienda de Google, prometía privacidad, pero terminó recopilando información sensible de quienes la instalaron.
Lejos de limitarse a cifrar el tráfico, la herramienta tomaba capturas de pantalla 1,1 segundos después de cargar cada página y las enviaba a servidores externos sin consentimiento. Para justificarlo, exhibía una opción denominada “AI Threat Detection” que, según el código analizado, funcionaba también en segundo plano aunque el usuario no la activase.
¿Qué han descubierto exactamente los investigadores?
El informe técnico de Koi Security, fechado el 19 de agosto, describe un mecanismo de vigilancia basado en la inyección de scripts en todas las páginas mediante permisos amplios: all_urls, tabs y scripting. Con ello, la extensión ganaba visibilidad total de las pestañas para ejecutar chrome.tabs.captureVisibleTab() y obtener imágenes del contenido mostrado.
La captura se disparaba tras un retardo de 1,1 segundos, un margen pensado para que la web se renderizara por completo y así recoger el máximo de información. Junto a cada imagen, se asociaban la URL, el ID de la pestaña y un identificador único de usuario, además de datos de dispositivo y ubicación, que viajaban a dominios controlados por terceros, como aidt.one.
Según los análisis, este comportamiento no se limitaba a páginas sospechosas. También se detectó en servicios confiables como Google Fotos, Google Sheets o el propio correo, algo que expone a cualquiera a la filtración de documentos, mensajes o información financiera.
La extensión llegó a presentarse como opción segura e incluso mantenía insignias de verificación/destacado en la Chrome Web Store, lo que pudo impulsar su instalación entre usuarios que buscaban una VPN gratuita de Chrome sin costes.
Cronología de cambios y versiones
De acuerdo con los investigadores, la deriva comenzó con la versión 3.0.3 (abril), que introdujo permisos más amplios y dejó la puerta preparada para posteriores abusos. Poco después, la v3.1.3 (julio) activó la captura de pantalla silenciosa de forma generalizada y, acto seguido, la v3.1.4 añadió cifrado AES-256-GCM con envoltura de clave RSA para ofuscar el tráfico y dificultar su detección en red.
Este patrón de cambios incrementales permitió que la funcionalidad pasara de ser una VPN básica a un espionaje sistemático sin disparar alertas inmediatas en la tienda de extensiones.
¿En qué páginas y cómo actuaba?
FreeVPN.One operaba con una arquitectura de dos etapas: inyectaba el script en cualquier sitio HTTP/HTTPS y, tras el retraso de 1,1 segundos, pedía al service worker en segundo plano que ejecutara la captura real. Esa precisión temporal garantizaba páginas ya cargadas, lo que maximizaba la calidad del contenido exfiltrado.
Lejos de activarse solo ante riesgos, la captura persistía en dominios de confianza. De facto, su funcionamiento recuerda a un “Recall” para el navegador que inmortaliza lo que el usuario ve sin ser consciente de ello, desde hojas de cálculo a fotografías personales o movimientos bancarios.
Por qué pudo colarse en la Chrome Web Store
El caso evidencia una debilidad en los procesos de revisión de la Chrome Web Store: actualizaciones que cambian permisos de forma sutil pueden activar funcionalidades invasivas tiempo después de la publicación inicial. Aunque existen controles automáticos y manuales, no siempre detectan a tiempo escaladas como solicitar acceso a todas las URL o permisos de captura.
Su condición de complemento con insignia destacada/verificada y una base de usuarios nutrida (más de 100.000 instalaciones, con puntuaciones y cientos de reseñas) contribuyó a una sensación de falsa confianza entre quienes buscaban una solución rápida para navegar con VPN desde el navegador.
La respuesta del desarrollador y el silencio
Tras el contacto de los investigadores, el equipo detrás de la extensión aseguró que el escaneo en segundo plano solo se activaba en dominios sospechosos y que las capturas se procesaban brevemente sin almacenarse. Sin embargo, el análisis demostró que también se ejecutaba en páginas seguras, y el desarrollador dejó de responder a peticiones de aclaración.
Qué hacer si la tienes instalada en Chrome o en otros navegadores
Si has usado esta VPN gratuita de Chrome (o navegadores basados en Chromium como Edge, Brave, Arc), la recomendación es eliminar la extensión de inmediato. A continuación, comprueba si queda algún rastro en el gestor de extensiones y borra datos de navegación si procede.
Por prudencia, conviene cambiar contraseñas de servicios críticos (correo, banca, almacenamiento en la nube) y activar autenticación en dos factores cuando esté disponible. Es buena práctica revisar las sesiones activas y cerrar accesos que no reconozcas.
Para ayudar a otros, puedes reportar la extensión en la Chrome Web Store y, si trabajas con información sensible, informar a tu equipo de seguridad para evaluar posibles impactos.
Consejos para elegir una VPN de navegador con cabeza
Desconfía de las promesas grandilocuentes en servicios “gratis” sin transparencia real. Revisa siempre los permisos solicitados, el historial de versiones, la política de privacidad y si hay auditorías independientes o código comprobable.
Valora si te conviene más una VPN a nivel de sistema que proteja todo el dispositivo, en vez de limitarte al navegador. Mantén tus herramientas actualizadas y recuerda que una extensión popular o verificada no equivale a fiabilidad garantizada.
El caso de FreeVPN.One ilustra cómo una VPN gratuita de Chrome puede pasar de prometer privacidad a vulnerarla con capturas de pantalla y envío de datos; quedarse solo con soluciones de confianza, revisar permisos y actuar con cautela al instalar extensiones marca la diferencia entre navegar con tranquilidad o exponerse sin saberlo.