La Chrome Web Store ha sido utilizada para distribuir al menos 30 extensiones maliciosas que se presentan como asistentes de inteligencia artificial pero que, en realidad, capturan información sensible de los usuarios. Investigadores de LayerX identificaron estas extensiones,que acumulan en conjunto más de 260.000 descargas y siguen en algunos casos disponibles en la tienda oficial de Google, lo que plantea dudas sobre los mecanismos de revisión de la plataforma.

Una campaña coordinada con 30 extensiones casi idénticas.

Según el análisis de LayerX, las 30 extensiones detectadas son prácticamente copias entre sí, con diferencias superficiales en la marca y el nombre. Todas simulan ofrecer funcionalidades de asistente de IA y presentan una experiencia aparentemente legítima para el usuario. Algunas imitan aplicaciones de chatbot conocidas, mientras que otras se apoyan simplemente en la asociación de marca, utilizando términos como “AI Assistant” o nombres de modelos populares para ganar credibilidad.

La investigadora de seguridad de LayerX, Natalie Zargarov, explica que la novedad no está en la técnica básica, ya utilizada por extensiones maliciosas en el pasado, sino en el objetivo. En lugar de suplantar bancos o páginas de inicio de sesión, los atacantes ahora imitan interfaces de inteligencia artificial y herramientas para desarrolladores, entornos en los que los usuarios están acostumbrados a pegar claves de API, tokens y datos sensibles sin cuestionarlo.

Cómo funciona técnicamente el robo de datos.

Una vez instalada la extensión, el comportamiento visible parece normal: icono en la barra, interfaz de chat y respuestas plausibles generadas por IA.Una vez instalada la extensión, el comportamiento visible parece normal: se añade un icono en la barra del navegador, se abre una interfaz de chat y el usuario recibe respuestas plausibles generadas por IA. Sin embargo, la arquitectura real es diferente. La interfaz de chat es en realidad un iframe a pantalla completa que apunta a un dominio controlado por los atacantes y que se superpone sobre la página actual del navegador.

Cuando el usuario introduce un prompt, la solicitud se envía primero al servidor del atacante. Ese servidor puede actuar como proxy hacia la API de un modelo de lenguaje real y devolver una respuesta creíble al usuario. Mientras tanto, el servidor captura el contenido enviado, incluyendo correos electrónicos, contenido de navegación y cualquier información que el usuario introduzca voluntariamente en la herramienta.

LayerX subraya que el riesgo aumenta porque el uso de herramientas de IA se ha normalizado. Los usuarios copian y pegan información altamente sensible en estos entornos con una supervisión mínima, lo que amplifica el impacto potencial del ataque.

Mientras el usuario recibe una respuesta aparentemente válida, el servidor puede capturar correos electrónicos, contenido de navegación y cualquier información introducida voluntariamente.

Riesgos empresariales y fuga de información sensible.

El escenario resulta especialmente preocupante en entornos corporativos. Zargarov describe un caso hipotético en el que un empleado abre un sistema CRM con nombres de clientes, datos de contacto e historial de transacciones y utiliza la extensión para resumir la información. En segundo plano, la extensión lee el contenido de la página, lo transmite a servidores controlados por los atacantes y devuelve un resumen aparentemente inofensivo. Sin embargo, el conjunto completo de datos puede quedar almacenado fuera de los controles corporativos.

Las consecuencias potenciales incluyen pérdida de propiedad intelectual, violaciones regulatorias y la posibilidad de ataques posteriores derivados de la información exfiltrada.

Popularidad y evasión de los controles de la tienda

Entre las extensiones identificadas se encuentran nombres como “Gemini AI Sidebar”, “ChatGPT Translate”, “AI Sidebar”, “AI Assistant” y “AI GPT”, cada una con decenas de miles de descargas. En total, las 30 extensiones superaron las 260.000 instalaciones. Varias de ellas seguían disponibles más de 24 horas después de que LayerX publicara su análisis, con valoraciones medias superiores a cuatro estrellas e incluso con la etiqueta verde de “Featured” en la Chrome Web Store.

Según Zargarov, parte del problema radica en que la lógica principal de estas extensiones reside en aplicaciones web remotas cargadas mediante iframe. El comportamiento malicioso ocurre fuera de la propia extensión, que puede solicitar permisos mínimos y presentar metadatos aparentemente limpios, lo que dificulta su detección mediante análisis estático. Si no se analizan en profundidad los endpoints de red, certificados TLS compartidos, proveedores de alojamiento reutilizados o paquetes JavaScript idénticos cargados remotamente, campañas relacionadas pueden evadir la detección. Desde fuera, añade la investigadora, este caso sugiere que la correlación entre extensiones relacionadas podría ser limitada o no prioritaria.