Extensión maliciosa de Chrome roba claves API de MEXC al disfrazarse de herramienta de trading

Investigadores de ciberseguridad detectaron una extensión maliciosa para Google Chrome que suplanta una supuesta herramienta de análisis de trading y que ha estado robando claves API de usuarios de la exchange de criptomonedas MEXC. La campaña afecta principalmente a traders en Latinoamérica y permite a los atacantes drenar fondos de cuentas vinculadas.

El hallazgo fue realizado por la firma de ciberseguridad Kaspersky, que advierte sobre un crecimiento sostenido de este tipo de amenazas dirigidas al ecosistema cripto.

Una falsa herramienta de análisis

La extensión, denominada “MEXC Trading Pro Analyzer”, se distribuye a través de:

• Sitios web falsos que imitan la identidad visual de MEXC

• Campañas de SEO envenenado

• Anuncios pagos y publicaciones en foros y redes como Reddit y Telegram

Una vez instalada, la extensión inyecta código malicioso en formularios de login y paneles de configuración de API, logrando extraer:

• Claves API de MEXC

• Frases semilla

• Credenciales de wallets cripto

Robo silencioso y fraude automatizado

Los atacantes explotan la confianza de los usuarios en extensiones de trading automatizado, una práctica común entre traders activos. La información robada se envía a servidores alojados en dominios ofuscados y se utiliza para ejecutar transacciones no autorizadas, incluyendo ventas forzadas de criptoactivos y movimientos de fondos hacia cuentas controladas por los criminales.

Impacto en México y la región

En México, se reportaron decenas de víctimas locales, en un contexto marcado por el crecimiento acelerado del trading de criptomonedas durante 2025. De acuerdo con datos de Bitso, el volumen de operaciones en el país creció más de un 40% interanual.

Las pérdidas iniciales asociadas a esta campaña se estiman en hasta 500.000 dólares, mientras que las claves API comprometidas se comercializan en mercados clandestinos por valores que oscilan entre 50 y 200 dólares cada una.

Un problema estructural del ecosistema cripto

Según un informe de 2025 de Chainalysis, cerca del 70% de los traders utiliza extensiones no verificadas, lo que convierte a los navegadores en un vector crítico de ataque.

En México, aunque la CNBV exige mayores controles para aplicaciones financieras, las extensiones de navegador continúan operando en una zona gris regulatoria.

Medidas de mitigación recomendadas

Los especialistas recomiendan:

• Instalar extensiones únicamente desde la Chrome Web Store oficial

• Utilizar wallets hardware y habilitar 2FA físico, como YubiKey, para operaciones sensibles

• Monitorear transacciones con alertas en tiempo real provistas por MEXC

• Revocar inmediatamente cualquier clave API sospechosa

Kaspersky confirmó que notificó a Google para la eliminación de las variantes detectadas, mientras que MEXC emitió un boletín de seguridad instando a los usuarios a revocar claves API comprometidas.

En paralelo, la Guardia Nacional Cibernética mantiene el caso bajo monitoreo ante posibles vínculos con grupos regionales de phishing cripto.