Rusia, China y fraude en Chrome: Sabotaje energético en Polonia, malware "Stanley" en ChatGPT y ataques BadIIS en Asia
02 de February de 2026Descubren red de extensiones de Chrome que roban tokens de ChatGPT y manipulan enlaces de afiliados
NUEVA YORK – Investigadores de ciberseguridad han encendido las alarmas tras el hallazgo de una sofisticada red de extensiones para el navegador Google Chrome diseñadas para actividades fraudulentas. Según el último reporte, estas herramientas, que prometen funciones útiles como bloqueadores de anuncios, están siendo utilizadas para interceptar credenciales de inteligencia artificial y manipular transacciones comerciales en línea.
El engaño de "Amazon Ads Blocker" y la red de 10Xprofit
El centro de la investigación señala a una extensión denominada Amazon Ads Blocker, publicada por un desarrollador bajo el nombre de "10Xprofit". Aunque se promociona como una herramienta para navegar en Amazon sin contenido patrocinado, los expertos descubrieron que forma parte de un ecosistema de 29 extensiones maliciosas que afectan a los principales gigantes del comercio electrónico, incluidos AliExpress, Amazon, Best Buy, Shein, Walmart y Shopify.
Estas extensiones operan mediante el secuestro de enlaces de afiliados. Cuando un usuario realiza una compra, la extensión inyecta o reemplaza los códigos de referido, desviando las comisiones de venta hacia las cuentas de los atacantes. Además, se detectó que las versiones para AliExpress muestran temporizadores de "ofertas limitadas" falsos para presionar a los usuarios a comprar rápidamente.
Robo de tokens de ChatGPT: La nueva frontera del espionaje
Uno de los hallazgos más preocupantes es la identificación de un subgrupo de 16 extensiones (15 en la Chrome Web Store y una en Microsoft Edge) diseñadas específicamente para inyectar scripts en el dominio chatgpt.com.
El objetivo principal es interceptar y robar los tokens de autenticación de ChatGPT. Al obtener estos tokens, los ciberdelincuentes pueden:
Acceder a los historiales de conversación privados de los usuarios.
Suplantar la identidad del usuario en la plataforma de OpenAI.
Extraer información sensible compartida con el modelo de lenguaje sin necesidad de conocer la contraseña de la cuenta.
El auge del Malware-as-a-Service: "Stanley"
La investigación coincide con la aparición de un nuevo kit de herramientas en foros de cibercrimen rusos llamado "Stanley". Este software, que se comercializa por precios que oscilan entre los 2,000 y 6,000 dólares, permite a criminales con pocos conocimientos técnicos generar sus propias extensiones maliciosas de Chrome de forma automatizada.
Stanley facilita la creación de marcos (iframes) invisibles para servir páginas de phishing directamente dentro del navegador, lo que hace que los ataques sean extremadamente difíciles de detectar para un usuario promedio.
Recomendaciones para los usuarios
Expertos advierten que este tipo de ataques es particularmente efectivo porque las extensiones a menudo solicitan permisos elevados para "leer y modificar datos en todos los sitios web", lo que les otorga un control total sobre la sesión del navegador.
Se recomienda a los usuarios:
Auditar sus extensiones: Eliminar cualquier herramienta que no sea estrictamente necesaria o de desarrolladores desconocidos.
Revisar permisos: Desconfiar de extensiones de propósito simple (como un reloj o bloqueador) que pidan acceso a todos los datos de navegación.
Cerrar sesiones: Cerrar la sesión de servicios sensibles como ChatGPT o banca en línea cuando no se estén utilizando para invalidar los tokens temporales.
Google ya ha sido notificado sobre estos hallazgos para proceder con la eliminación de las extensiones identificadas de su tienda oficial.