A principios de diciembre de 2025, investigadores de seguridad expusieron una campaña de cibercrimen que silenciosamente se había apoderado de las populares extensiones de los navegadores Chrome y Edge a gran escala.
Un grupo de amenazas llamado ShadyPanda pasó siete años jugando a un largo juego de publicar o adquirir extensiones benignas, permitiéndoles funcionar sin problemas durante años para generar confianza y obtener millones de instalaciones, antes de convertirlas repentinamente en malware con una actualización silenciosa. En total, aproximadamente 4,3 millones de usuarios instalaron estos complementos que alguna vez fueron legales, pero que resultaron ser complementos maliciosos con software espía y capacidades de puerta trasera.
Esta táctica fue esencialmente un ataque a la cadena de suministro de extensiones del navegador.
Los operadores de ShadyPanda también obtuvieron insignias de Destacados y Verificados en la Chrome Web Store oficial y en el sitio de complementos de Microsoft Edge para algunas de sus extensiones, lo que refuerza la confianza del usuario. Debido a que las actualizaciones de las extensiones ocurren automáticamente en segundo plano, los atacantes pudieron expulsar código malicioso sin que los usuarios se dieran cuenta.
Una vez activada a mediados de 2024, la extensión comprometida se convirtió en un marco completo de ejecución remota de código (RCE) dentro del navegador. Tiene acceso completo a los datos y la funcionalidad de su navegador y puede descargar y ejecutar JavaScript arbitrario. Esto les dio a los atacantes una variedad de privilegios de software espía, desde monitorear cada URL y pulsación de tecla hasta inyectar scripts maliciosos en páginas web y filtrar datos y credenciales de navegación.
Una de las peores características es el robo de tokens y cookies de sesión, que roba tokens de autenticación que los sitios web utilizan para mantener a los usuarios conectados. Las extensiones pueden incluso hacerse pasar por cuentas SaaS enteras (como Microsoft 365 o Google Workspace) al secuestrar estos tokens de sesión.
Por qué las extensiones del navegador son una pesadilla de seguridad SaaS
Para los equipos de seguridad de SaaS, la campaña de ShadyPanda dice mucho. Esto demostró que las extensiones de navegador maliciosas pueden convertirse en intrusos con las claves del reino SaaS de una empresa. Una vez que su extensión tiene una cookie o token de sesión de usuario, puede desbloquear la cuenta de Slack, Salesforce u otro servicio web del usuario que haya iniciado sesión.
En este caso, se robaron millones de tokens de sesión, lo que podría conducir a un acceso no autorizado a correos electrónicos, archivos, mensajes de chat y más de la empresa sin activar las alarmas de seguridad normales. Debido a que la sesión del navegador ya estaba autenticada y la extensión la aprovechaba, se omitieron las defensas de identidad tradicionales como MFA.
Los riesgos no se limitan a los usuarios individuales. Muchas organizaciones permiten a los empleados instalar libremente extensiones de navegador sin la supervisión que se aplica a otro software. Las extensiones del navegador a menudo pasan desapercibidas, pero pueden acceder a cookies, almacenamiento local, sesiones de autenticación en la nube, contenido web activo y descargas de archivos.
Esto desdibuja la línea entre la seguridad de los terminales y la seguridad de la nube. Se pueden ejecutar extensiones maliciosas en los dispositivos de los usuarios (problemas de terminales), pero las cuentas y los datos de la nube pueden verse directamente comprometidos (problemas de identidad/SaaS). ShadyPanda demuestra claramente la necesidad de unir la defensa de identidad de los terminales y SaaS. Los equipos de seguridad deberían considerar tratar los navegadores como una extensión de su superficie de ataque SaaS.
Pasos para reducir los riesgos de las extensiones del navegador
En base a todo esto, ¿qué pueden hacer las organizaciones para reducir el riesgo de la situación emergente de ShadyPanda? A continuación encontrará una guía práctica con pasos para fortalecer sus defensas contra extensiones maliciosas del navegador.
1. Hacer cumplir la lista de extensiones permitidas y la gobernanza
Comience por controlar qué extensiones se pueden ejecutar en su entorno. Realice una auditoría de todas las extensiones instaladas en los navegadores de la empresa (tanto administradas por la empresa como BYOD, si es posible) y elimine las extensiones innecesarias, no examinadas o de alto riesgo.
Para extensiones que requieren permisos amplios (por ejemplo, un complemento que puede leer todos los datos de un sitio web), es aconsejable solicitar una justificación comercial. Utilice herramientas de administración de navegadores empresariales para implementar listas de permitidos para garantizar que solo se puedan instalar extensiones aprobadas. Esta política bloquea extensiones nuevas o desconocidas de forma predeterminada, eliminando la larga cola de instalaciones aleatorias.
Tenga en cuenta que las extensiones populares no son automáticamente seguras. El malware de ShadyPanda estaba oculto dentro de extensiones populares y confiables que la gente ha estado usando durante años. Examinamos las extensiones a través del proceso de aprobación de nuestro equipo de seguridad y tratamos cada extensión como culpable hasta que se demuestre su inocencia.
2. Trate el acceso extendido como el acceso OAuth
Cambie su forma de pensar y trate las extensiones del navegador como aplicaciones en la nube de terceros en términos de acceso permitido. En la práctica, esto significa integrar el monitoreo de extensiones en sus procesos de gestión de identidad y acceso.
Así como mantenemos un catálogo de integraciones OAuth aprobadas, hacemos lo mismo con las extensiones. Planifique a qué datos o acciones de SaaS pueden acceder sus extensiones. Por ejemplo, si su extensión puede leer todo el tráfico web, puede leer eficazmente los datos de la aplicación SaaS en tránsito. Si se puede leer una cookie, cualquier servicio puede hacerse pasar por usted.
Las extensiones maliciosas pueden robar tokens de sesión, por lo que las herramientas de seguridad de identidad deben monitorear signos de secuestro de sesión. Configure alertas para patrones de inicio de sesión extraños, como tokens OAuth que se utilizan desde dos ubicaciones diferentes o intentos de acceso que eluden las comprobaciones de MFA.
La clave es administrar las extensiones con el mismo cuidado con el que administraría cualquier aplicación a la que se le permitiera acceder a sus datos. Limite los permisos de las extensiones tanto como sea posible y asegúrese de eliminar las extensiones de alto riesgo cuando los empleados dejen o cambien de roles, del mismo modo que revocaría el acceso a aplicaciones innecesarias.
3. Audite periódicamente los privilegios ampliados
De manera similar a las revisiones de acceso trimestrales y las calificaciones de aplicaciones, realice revisiones de extensiones repetidamente como parte de su programa de seguridad. Cada pocos meses, cree una lista de extensiones y sus permisos utilizados en su organización.
Estar al tanto de los datos o características del navegador a los que puede acceder cada extensión. Para cada extensión, pregunte: «¿Todavía necesito esto?» ¿Solicitó algún permiso nuevo? ¿Cambió el promotor o el propietario?
Los atacantes suelen comprar extensiones benignas o introducir nuevos mantenedores antes de publicar actualizaciones incorrectas. Puede detectar señales de alerta consultando el editor de la extensión y el historial de actualizaciones.
Además, tenga cuidado con las extensiones que de repente solicitan permisos más amplios que antes. Esta es una pista de que la extensión puede haberse vuelto maliciosa.
4. Supervisar el comportamiento sospechoso de las extensiones
Los navegadores suelen actualizar automáticamente las extensiones de forma silenciosa, por lo que un complemento confiable puede volverse malicioso de la noche a la mañana sin previo aviso explícito al usuario. Por lo tanto, los equipos de seguridad deben implementar monitoreo para descubrir violaciones silenciosas.
Esto puede incluir medidas técnicas o señales de concienciación del usuario.
Desde el punto de vista técnico, considere registrar y analizar la actividad de su extensión. Por ejemplo, supervise las instalaciones de extensiones del navegador, eventos de actualización o llamadas de red inusuales desde extensiones, como comunicaciones frecuentes con dominios externos desconocidos.
Algunas organizaciones inspeccionan los registros del navegador o utilizan agentes de punto final para señalar cuando los archivos de una extensión cambian inesperadamente. Si es posible, puede limitar o escalonar las actualizaciones de las extensiones. Por ejemplo, pruebe una actualización en un subconjunto de máquinas antes de implementarla de forma generalizada.
Del lado del usuario, eduque a los empleados para que informen sobre extensiones que han estado instaladas durante mucho tiempo y de repente comienzan a comportarse de manera diferente (nuevos cambios en la interfaz de usuario, ventanas emergentes inesperadas o problemas de rendimiento pueden indicar una actualización maliciosa). El objetivo es reducir el tiempo que le toma a su equipo detectar y eliminar una extensión cuando tiene un problema.
Uniendo la seguridad de endpoints y SaaS (cómo puede ayudar Reco)
El incidente de ShadyPanda muestra que los atacantes no necesariamente necesitan un exploit de día cero para ingresar a un sistema. A veces, todo lo que necesitas es paciencia, confianza del usuario y una extensión del navegador que se pasa por alto. Para los equipos de seguridad, esta es una lección de que las extensiones del navegador son parte de la superficie de ataque.
Dado que el navegador es efectivamente el punto final entre el usuario y la aplicación SaaS, es importante incorporar la administración y el monitoreo de extensiones en su estrategia de seguridad general. Al hacer cumplir las listas de permitidos, auditar los permisos, monitorear las actualizaciones y tratar las extensiones como potentes aplicaciones de terceros, puede reducir significativamente el riesgo de que las extensiones se encuentren en su punto más débil.
Finalmente, considere cómo una plataforma de seguridad SaaS moderna puede respaldar estos esfuerzos.
Están surgiendo nuevas soluciones, como las plataformas de seguridad dinámicas SaaS, para ayudar a las organizaciones a abordar este tipo de riesgo. La plataforma Dynamic SaaS Security de Reco está diseñada para mapear y monitorear continuamente el uso de SaaS, incluidas las aplicaciones y extensiones conectadas de riesgo, y proporcionar detección de amenazas basada en identidad.
Con la plataforma adecuada, puede integrar y visualizar extensiones en todo su entorno para detectar actividades sospechosas en tiempo real. Reco ayuda a cerrar la brecha entre el punto final y la nube al correlacionar los riesgos del lado del navegador con el comportamiento de la cuenta SaaS, brindando a los equipos de seguridad una protección consistente. Al tomar estas medidas proactivas y aprovechar herramientas como Reco para automatizar y escalar su seguridad SaaS, podrá adelantarse al próximo ShadyPanda.
Solicite una demostración: comience con Reco.
Nota: Este artículo fue escrito y contribuido profesionalmente por Galnakash, cofundador y CPO de Reco. Gal es un ex teniente coronel de la Oficina del Primer Ministro israelí. Es un entusiasta de la tecnología con experiencia como investigador de seguridad y hacker. Gal tiene experiencia en elementos humanos y ha liderado equipos en múltiples áreas de ciberseguridad.
Source link
