A principios de diciembre de 2025, investigadores de seguridad expusieron un ciberdelito campaña que había secuestrado silenciosamente las populares extensiones de los navegadores Chrome y Edge a gran escala.
Un grupo de amenazas llamado ShadyPanda pasó siete años jugando a largo plazo, publicando o adquiriendo extensiones inofensivas, permitiéndoles funcionar sin problemas durante años para generar confianza y obtener millones de instalaciones, y luego, de repente, las convirtió en malware a través de actualizaciones silenciosas. En total, alrededor de 4,3 millones de usuarios instalaron estos complementos que alguna vez fueron legítimos, pero que de repente se volvieron corruptos con software espía y capacidades de puerta trasera.
Esta táctica fue esencialmente un ataque a la cadena de suministro de extensiones del navegador.
Los operadores de ShadyPanda incluso obtuvieron insignias destacadas y verificadas en la tienda web oficial de Chrome y en el sitio de complementos de Microsoft Edge para algunas extensiones, lo que refuerza la confianza del usuario. Debido a que las actualizaciones de las extensiones se realizan automáticamente en segundo plano, los atacantes pudieron generar código malicioso sin que los usuarios se dieran cuenta.
Una vez activadas a mediados de 2024, las extensiones comprometidas se convirtieron en un marco de ejecución remota de código (RCE) completo dentro del navegador. Podrían descargar y ejecutar JavaScript arbitrario con acceso completo a los datos y capacidades del navegador. Esto les dio a los atacantes una variedad de poderes de software espía, desde monitorear cada URL y pulsación de tecla, hasta inyectar scripts maliciosos en páginas web y extraer credenciales y datos de navegación.
Una de las peores capacidades fue el robo de tokens y cookies de sesión, robando los tokens de autenticación que los sitios web utilizan para mantener a los usuarios conectados. Las extensiones podrían incluso hacerse pasar por cuentas SaaS completas (como Microsoft 365 o Google Workspace) al secuestrar esos tokens de sesión.
Por qué las extensiones del navegador son una pesadilla de seguridad para SaaS
Para los equipos de seguridad SaaS, la campaña de ShadyPanda nos muestra mucho. Se demostró que una extensión de navegador maliciosa puede convertirse efectivamente en un intruso con claves para el reino SaaS de su empresa. Si una extensión toma la cookie o el token de sesión de un usuario, puede desbloquear las cuentas de ese usuario en Slack, Salesforce o cualquier otro servicio web en el que haya iniciado sesión.
En este caso, millones de tokens de sesión robados podrían haber dado lugar a un acceso no autorizado a correos electrónicos, archivos, mensajes de chat y más de la empresa, todo ello sin activar las alarmas de seguridad habituales. Se omitieron las defensas de identidad tradicionales como MFA, porque la sesión del navegador ya estaba autenticada y la extensión se aprovechaba de ella.
El riesgo se extiende más allá del usuario individual. Muchas organizaciones permiten a los empleados instalar extensiones de navegador libremente, sin el escrutinio aplicado a otro software. Las extensiones del navegador a menudo se deslizan sin supervisión, pero pueden acceder a cookies, almacenamiento local, sesiones de autenticación en la nube, contenido web activo y descargas de archivos.
Esto desdibuja la línea entre la seguridad de los terminales y la seguridad de la nube. Se puede ejecutar una extensión maliciosa en el dispositivo del usuario (un problema de terminal), pero compromete directamente las cuentas y los datos de la nube (un problema de identidad/SaaS). ShadyPanda muestra vívidamente la necesidad de unir la defensa de identidad de los terminales y SaaS: los equipos de seguridad deberían pensar en tratar el navegador como una extensión de la superficie de ataque de SaaS.
Pasos para reducir el riesgo de extensiones del navegador
Entonces, basándose en todo esto, ¿qué pueden hacer las organizaciones para reducir el riesgo de otra situación de ShadyPanda? A continuación encontrará una guía práctica con pasos para reforzar sus defensas contra extensiones maliciosas del navegador.
1. Hacer cumplir las listas de permisos y la gobernanza de las extensiones
Empiece por recuperar el control sobre qué extensiones se pueden ejecutar en su entorno. Realice una auditoría de todas las extensiones instaladas en los navegadores de la empresa (tanto las administradas por la empresa como BYOD, si es posible) y elimine las que sean innecesarias, no examinadas o de alto riesgo.
Es aconsejable exigir una justificación comercial para las extensiones que necesitan permisos amplios (por ejemplo, cualquier complemento que pueda leer todos los datos del sitio web). Utilice herramientas de administración de navegadores empresariales para implementar una lista de permitidos para que solo se puedan instalar extensiones aprobadas. Esta política garantiza que las extensiones nuevas o desconocidas se bloqueen de forma predeterminada, eliminando la larga cola de instalaciones aleatorias.
Recuerde que las extensiones populares no son automáticamente seguras; el malware de ShadyPanda se escondía en extensiones populares y confiables que la gente había usado durante años. Trate a todas las extensiones como culpables hasta que se demuestre su inocencia examinándolas a través del proceso de aprobación de su equipo de seguridad.
2. Trate el acceso a la extensión como el acceso OAuth
Cambie su forma de pensar y trate las extensiones del navegador de manera similar a las aplicaciones en la nube de terceros en términos del acceso que otorgan. En la práctica, esto significa integrar la supervisión de extensiones en sus procesos de gestión de identidad y acceso.
Así como podría mantener un catálogo de integraciones OAuth autorizadas, haga lo mismo con las extensiones. Determine qué datos o acciones de SaaS podría tocar una extensión; por ejemplo, si una extensión puede leer todo el tráfico web, efectivamente puede leer los datos de su aplicación SaaS en tránsito; si puede leer cookies, puede hacerse pasar por el usuario en cualquier servicio.
Debido a que las extensiones maliciosas pueden robar tokens de sesión, sus herramientas de seguridad de identidad deben estar atentos a signos de secuestro de sesión: configure alertas para patrones de inicio de sesión extraños, como un token OAuth utilizado desde dos ubicaciones diferentes o un intento de acceso que elude las comprobaciones de MFA.
El punto clave es administrar las extensiones con la misma precaución que cualquier aplicación a la que se le haya otorgado acceso a sus datos. Limite los permisos de extensión siempre que sea posible y, si un empleado abandona la empresa o cambia de función, asegúrese de que las extensiones de alto riesgo se eliminen del mismo modo que revocaría el acceso a aplicaciones innecesarias.
3. Audite los permisos de extensión con regularidad
Haga que la revisión de extensiones sea una parte recurrente de su programa de seguridad, similar a las revisiones de acceso trimestrales o las evaluaciones de aplicaciones. Cada pocos meses, haga un inventario de las extensiones y sus permisos en uso en toda su organización.
Preste atención a qué datos o funciones del navegador puede acceder cada extensión. Para cada extensión, pregunte: ¿Aún necesitamos esto? ¿Ha solicitado algún permiso nuevo? ¿Ha cambiado su promotor o propietario?
Los atacantes a menudo compran extensiones benignas o introducen nuevos mantenedores antes de publicar actualizaciones incorrectas. Al revisar el editor de la extensión y el historial de actualizaciones, puede detectar señales de alerta.
Además, esté atento a cualquier extensión que de repente solicite permisos más amplios que antes; esa es una pista de que puede haberse vuelto maliciosa.
4. Supervisar comportamientos sospechosos en extensiones
Debido a que los navegadores generalmente actualizan automáticamente las extensiones de manera silenciosa, un complemento confiable puede volverse malicioso de la noche a la mañana sin ninguna advertencia obvia para el usuario. Por lo tanto, los equipos de seguridad deben implementar monitoreo para detectar compromisos silenciosos.
Esto puede incluir medidas técnicas y señales de concienciación del usuario.
Desde el punto de vista técnico, considere registrar y analizar la actividad de las extensiones: por ejemplo, monitorear las instalaciones de extensiones del navegador, eventos de actualización o llamadas de red inusuales desde extensiones (como comunicaciones frecuentes con dominios externos desconocidos).
Algunas organizaciones inspeccionan los registros del navegador o utilizan agentes de punto final para señalar si los archivos de una extensión cambian inesperadamente. Si es posible, puede restringir o organizar las actualizaciones de las extensiones; por ejemplo, probar las actualizaciones en un subconjunto de máquinas antes de una implementación amplia.
Del lado del usuario, eduque a los empleados para que informen si una extensión que ha estado instalada durante mucho tiempo de repente comienza a comportarse de manera diferente (nuevos cambios en la interfaz de usuario, ventanas emergentes inesperadas o problemas de rendimiento podrían indicar una actualización maliciosa). El objetivo es acortar el tiempo entre que una extensión falla y su equipo la detecta y elimina.
Uniendo la seguridad de endpoints y SaaS (cómo puede ayudar Reco)
El incidente de ShadyPanda muestra que los atacantes no siempre necesitan exploits de día cero para infiltrarse en nuestros sistemas; A veces, sólo necesitan paciencia, confianza del usuario y una extensión del navegador que se pasa por alto. Para los equipos de seguridad, es una lección que las extensiones del navegador son parte de su superficie de ataque.
El navegador es efectivamente un punto final que se encuentra entre sus usuarios y sus aplicaciones SaaS, por lo que es importante incorporar la administración y el monitoreo de extensiones a su estrategia de seguridad general. Al hacer cumplir las listas de permisos, auditar los permisos, monitorear las actualizaciones y tratar las extensiones como las poderosas aplicaciones de terceros que son, puede reducir drásticamente el riesgo de que una extensión se convierta en su eslabón más débil.
Finalmente, considere cómo las plataformas de seguridad SaaS modernas pueden respaldar estos esfuerzos.
Están surgiendo nuevas soluciones, como las plataformas de seguridad dinámicas SaaS, para ayudar a las organizaciones a controlar este tipo de riesgos. La plataforma Dynamic SaaS Security de Reco está diseñada para mapear y monitorear continuamente el uso de SaaS (incluidas las aplicaciones y extensiones conectadas de riesgo) y proporcionar detección de amenazas basada en identidad.
Con la plataforma adecuada, puede obtener visibilidad unificada de las extensiones en todo su entorno y detectar actividades sospechosas en tiempo real. Reco puede ayudar a cerrar la brecha entre el punto final y la nube al correlacionar los riesgos del lado del navegador con el comportamiento de la cuenta SaaS, brindando a los equipos de seguridad una defensa cohesiva. Al tomar estas medidas proactivas y aprovechar herramientas como Reco para automatizar y escalar su seguridad SaaS, podrá estar un paso por delante del próximo ShadyPanda.
Solicite una demostración: comience con Reco.
Nota: Este artículo está escrito y contribuido por expertos de Gal Nakash, cofundador y CPO de Reco. Gal es un ex teniente coronel de la oficina del primer ministro israelí. Es un entusiasta de la tecnología con experiencia como investigador de seguridad y hacker. Gal ha liderado equipos en múltiples áreas de ciberseguridad, con experiencia en el elemento humano.