Extensiones de navegador: no confíes nunca, verifica siempre

Medidas y herramientas sistemáticas que las organizaciones pueden utilizar para defenderse de las extensiones de navegador maliciosas.

Extensiones de navegador: no confíes nunca, verifica siempre

Las extensiones de navegador maliciosas siguen siendo un importante punto ciego para los equipos de ciberseguridad de muchas organizaciones. Se han convertido en un elemento permanente del arsenal de los ciberdelincuentes para el robo de sesiones y cuentas, el espionaje, el encubrimiento de otras actividades delictivas, el fraude publicitario y el robo de criptomonedas. Los incidentes de gran repercusión relacionados con extensiones maliciosas son frecuentes, desde la vulneración de la extensión de seguridad Cyberhaven hasta la publicación masiva de extensiones de infostealer.

Las extensiones resultan atractivas para los atacantes porque conceden permisos y un amplio acceso a la información dentro de las aplicaciones SaaS y los sitios web. Como no son aplicaciones independientes, a menudo eluden las políticas de seguridad y las herramientas de control estándar.

El equipo de seguridad de toda empresa debe abordar este problema de manera sistemática. La administración de las extensiones de navegador requiere una combinación de herramientas de administración de políticas y servicios o utilidades especializados en el análisis de extensiones. Este tema fue central en la charla de Athanasios Giatsos en el Security Analyst Summit de este año.

Capacidades de amenaza de las extensiones web e innovaciones en Manifest V3

La extensión web de un navegador tiene amplio acceso a la información de la página web: puede leer y modificar cualquier dato disponible para el usuario a través de la aplicación web, incluidos los registros financieros o médicos. Las extensiones también suelen obtener acceso a datos importantes que los usuarios no suelen ver: cookies, almacenamiento local y configuración del proxy. Esto simplifica enormemente el secuestro de sesiones. A veces, las capacidades de las extensiones van mucho más allá de las páginas web: pueden acceder a la ubicación del usuario, las descargas del navegador, las capturas de pantalla del escritorio, el contenido del portapapeles y las notificaciones del navegador.

En la arquitectura de extensión previamente dominante, las extensiones de Manifest V2, que funcionaron en Chrome, Edge, Opera, Vivaldi, Firefox y Safari, son prácticamente idénticas a las aplicaciones completas en términos de capacidades. Pueden ejecutar continuamente scripts en segundo plano, mantener abiertas las páginas web invisibles, cargar y ejecutar scripts desde sitios web externos, y comunicarse con sitios arbitrarios para recuperar o enviar datos.

A fin de frenar posibles abusos, así como para limitar los bloqueadores de anuncios, Google ha migrado Chromium y Chrome a Manifest V3. Esta actualización ha limitado o bloqueado muchas funciones de las extensiones. Las extensiones ahora deben declarar todos los sitios con los que se comunican, tienen prohibido ejecutar código de terceros cargado dinámicamente y deben utilizar microservicios de corta duración en lugar de scripts persistentes en segundo plano. Aunque algunos tipos de ataques son ahora más difíciles de ejecutar debido a la nueva arquitectura, los atacantes pueden reescribir fácilmente código malicioso para conservar las funciones más necesarias, pero sacrificando el sigilo. Por lo tanto, depender únicamente de los navegadores y las extensiones que operan bajo Manifest V3 dentro de una organización simplifica la supervisión, pero no es una solución.

Además, V3 no resuelve el problema principal de las extensiones: generalmente se descargan de las tiendas de aplicaciones oficiales utilizando dominios legítimos de Google, Microsoft o Mozilla. Su actividad parece ser iniciada por el propio navegador, lo que hace que sea extremadamente difícil distinguir las acciones realizadas por una extensión de las ejecutadas manualmente por el usuario.

Cómo surgen las extensiones maliciosas

Basándose en diversos incidentes públicos, Athanasios Giatsos destaca varios escenarios en los que las extensiones maliciosas pueden mostrar su lado más desagradable:

  • El desarrollador original vende una extensión legítima y popular. Luego, el comprador la “mejora” con código malicioso para mostrar anuncios, espiar u otros fines maliciosos. Los ejemplos incluyen The Great Suspender y Page Ruler.
  • Los atacantes vulneran la cuenta del desarrollador y publican una actualización troyanizada para una extensión existente, como fue el caso de Cyberhaven.
  • La extensión está diseñada con fines maliciosos desde el principio. O bien se hace pasar por una utilidad eficaz, como una falsa herramienta para guardar en Google Drive, o imita los nombres y diseños de extensiones populares, como las docenas de clones de AdBlock disponibles.
  • Una versión más sofisticada de este engaño consiste en publicar inicialmente la extensión en un estado limpio, en el que se realiza una función realmente útil. Las adiciones maliciosas se introducen semanas o incluso meses después, una vez que la extensión ha ganado suficiente popularidad. ChatGPT for Google es un ejemplo.

En todos estos casos, la extensión está ampliamente disponible en Chrome Web Store y, en ocasiones, incluso se anuncia allí. Sin embargo, también existe un escenario de ataque dirigido en el que las páginas o los mensajes de phishing les piden a las víctimas que instalen una extensión maliciosa que no está disponible para el público en general.

La distribución centralizada a través de Chrome Web Store, combinada con las actualizaciones automáticas tanto del navegador como de las extensiones, a menudo hace que, sin saberlo, los usuarios terminen con una extensión maliciosa sin haber hecho ningún esfuerzo por su parte. Si una extensión ya instalada en un ordenador recibe una actualización maliciosa, se instalará automáticamente.

Defensas organizativas contra extensiones maliciosas

En su charla, Athanasios ofreció una serie de recomendaciones generales:

  • Adoptar una política empresarial sobre el uso de extensiones de navegador.
  • Prohibir cualquier extensión que no esté incluida explícitamente en una lista aprobada por los departamentos de ciberseguridad y TI.
  • Auditar continuamente todas las extensiones instaladas y sus versiones.
  • Cuando se actualizan las extensiones, rastrear los cambios en los permisos que se otorgan y supervisar cualquier cambio en la propiedad de las extensiones o de su equipo de desarrolladores.
  • Incorporar información sobre los riesgos y las reglas del uso de las extensiones de navegador en los programas de formación de concienciación sobre la seguridad para todo el personal.

Añadimos algunas ideas prácticas y consideraciones específicas a estas recomendaciones.

Lista restringida de extensiones y navegadores. Además de aplicar políticas de seguridad al navegador oficialmente aprobado por la empresa, es fundamental prohibir la instalación de versiones portátiles y navegadores de IA de moda como Comet u otras soluciones no autorizadas que permiten instalar las mismas extensiones peligrosas. Al implementar este paso, asegúrate de que los privilegios de administrador local estén restringidos al personal de TI y a otros empleados cuyas funciones laborales los requieran estrictamente.

Como parte de la política del navegador principal de la empresa, debes desactivar el modo desarrollador y prohibir la instalación de extensiones desde archivos locales. Para Chrome, puedes administrar esto a través de la Consola de administración. Esta configuración también está disponible a través de las Directivas de grupo de Windows, los perfiles de configuración de macOS o mediante un archivo de directiva JSON en Linux.

Actualizaciones administradas. Implementa la fijación de versiones para evitar que las actualizaciones de las extensiones permitidas se instalen inmediatamente en toda la empresa. Los equipos de TI y ciberseguridad deben probar periódicamente las nuevas versiones de las extensiones aprobadas y fijar las versiones actualizadas solo después de que hayan sido revisadas.

Defensa multicapa. Es obligatorio instalar un Agente de EDR en todos los dispositivos corporativos para evitar que los usuarios inicien navegadores no autorizados, mitigar los riesgos de visitar sitios de phishing maliciosos y bloquear las descargas de malware. También es necesario rastrear las solicitudes de DNS y el tráfico de red del navegador a nivel del firewall para la detección en tiempo real de las comunicaciones con hosts sospechosos y otras anomalías.

Supervisión continua. Utiliza soluciones de EDR y SIEM para recopilar detalles del estado del navegador desde las estaciones de trabajo de los empleados. Esto incluye la lista de extensiones de cada navegador instalado, junto con los archivos de manifiesto para el análisis de versiones y permisos. De este modo, se pueden detectar rápidamente las nuevas extensiones que se instalan o las versiones que se actualizan, así como los cambios en los permisos concedidos.

Cómo examinar las extensiones de navegador

Para implementar los controles mencionados anteriormente, la empresa necesita una base de datos interna de extensiones aprobadas y prohibidas. Desafortunadamente, las tiendas de aplicaciones y los propios navegadores no ofrecen mecanismos para evaluar el riesgo a escala organizativa ni para completar automáticamente dicha lista. Por tanto, el equipo de ciberseguridad tiene que crear tanto este proceso como la lista. Los empleados también necesitarán un procedimiento formal para presentar solicitudes de incorporación de extensiones a la lista aprobada.

La evaluación de las necesidades empresariales y las alternativas disponibles se lleva a cabo de manera óptima con un representante de la unidad de negocio correspondiente. Sin embargo, la evaluación de riesgos sigue siendo responsabilidad exclusiva del equipo de seguridad. No es necesario descargar manualmente las extensiones y compararlas entre las diferentes tiendas de extensiones. Esta tarea puede realizarse mediante diversas herramientas, como utilidades de código abierto, servicios en línea gratuitos y plataformas comerciales.

Se pueden usar servicios como Spin.AI y Koidex (antes, ExtensionTotal) para evaluar el perfil de riesgo general. Ambos mantienen una base de datos de extensiones populares, por lo que la evaluación suele ser instantánea. Utilizan LLM para generar un breve resumen de las propiedades de la extensión, pero también proporcionan un análisis detallado que incluye los permisos necesarios, el perfil del desarrollador y el historial de versiones, valoraciones y descargas.

Para examinar los datos básicos de las extensiones, también puedes utilizar Chrome-Stats. Si bien está diseñado principalmente para desarrolladores de extensiones, este servicio muestra calificaciones, reseñas y otros datos de la tienda. Fundamentalmente, les permite a los usuarios descargar directamente la versión actual y varias versiones anteriores de una extensión, lo que simplifica la investigación de incidentes.

Puedes utilizar herramientas como CRX Viewer para realizar un análisis más profundo de las extensiones sospechosas o críticas. Esta herramienta les permite a los analistas examinar los componentes internos de la extensión filtrando y mostrando cómodamente los contenidos con especial atención al código HTML y JavaScript.

Consejos
  • Para el resto de países