Extensión de Chrome falsa expone tus búsquedas en línea

Publicado el

La amenaza de la extensión de Chrome

Recientemente se ha descubierto que una extensión de Chrome denominada 'Search for perplexity ai' estaba llevando a cabo una operación de vigilancia oculta. Esta extensión, que ofrecía acceso a un servicio popular de búsqueda de IA, en realidad estaba grabando lo que los usuarios escribían sin su conocimiento.

El 29 de junio, el equipo de investigación de seguridad de Microsoft Defender reveló que la extensión estaba suplantando a la auténtica empresa de búsqueda de IA, Perplexity, y redirigiendo el tráfico de los usuarios a un dominio fraudulento: perplexity-ai[.]online. Esta táctica no solo desviaba las búsquedas, sino que también requería permisos adicionales que no eran necesarios para su funcionamiento habitual.

Cómo funcionaba la vigilancia

La extensión solicitó permisos como chrome_settings_overrides, que le permitía convertirse en el motor de búsqueda predeterminado del navegador. Sin embargo, también pidió un permiso de red basado en reglas llamado declarativeNetRequest (DNR), permitiendo que las búsquedas se enviaran a través de un servidor controlado por el atacante. Microsoft destacó que esta solicitud de permiso era un indicador de advertencia, aunque no se detectó durante la revisión de la tienda de aplicaciones de Chrome.

Las búsquedas realizadas en la barra de direcciones de Chrome eran redirigidas a un servidor del atacante, quien podía ver y registrar cada búsqueda junto con la dirección IP, los encabezados del navegador y la cadena del agente de usuario. Posteriormente, la búsqueda se reenviaba a un motor de búsqueda legítimo para que los resultados parecieran normales. Esta extensión también tenía acceso al feed de sugerencias de búsqueda de Chrome, lo que permitía la interceptación en tiempo real. Cualquier texto escrito, incluso si se borraba antes de presionar Enter, era enviado al servidor del operador.

Consecuencias tras la eliminación

A pesar de que Google eliminó la extensión tras la revelación de Microsoft, aquellos que la instalaron siguen expuestos. La extensión permanece en sus navegadores hasta que se desinstale manualmente. Se recomienda que los usuarios que hayan añadido 'Search for perplexity ai' sigan estos pasos para desinstalarla:

1. Acceder a chrome://extensions/. 2. Activar el modo de desarrollador. 3. Verificar el ID de 32 caracteres de cada extensión instalada. 4. Comparar cada ID con el listado en el sitio web oficial del desarrollador. 5. Desinstalar cualquier extensión no utilizada.

Reducir la lista de extensiones minimiza la superficie de ataque. Además, es esencial conceder solo los permisos necesarios a cada extensión y verificar cuidadosamente el editor y los dominios utilizados.

Un problema más amplio

Este incidente no es aislado. Un estudio realizado por Stanford y CISPA indica que las extensiones maliciosas permanecen en la tienda de Chrome una media de 380 días antes de ser eliminadas. La incorporación de marcas de IA hace que estas extensiones sean más atractivas. Investigaciones previas han encontrado extensiones maliciosas que espiaban sesiones de ChatGPT y otras campañas que recopilaban chats de IA sin el conocimiento de los usuarios, enviando la información a un corredor de datos. Otro caso, relacionado con una extensión llamada AITOPIA, logró alcanzar a más de 900,000 usuarios, dirigidas a historiales de chat de ChatGPT y DeepSeek en lugar de consultas de búsqueda.

La vigilancia en línea sigue siendo una preocupación creciente, y los usuarios deben estar constantemente alerta ante posibles amenazas que se esconden en herramientas aparentemente inofensivas.

Fuente

Ver noticia original