
La última gran amenaza detectada en el ecosistema de navegadores basados en Chromium pone de manifiesto cómo los actores maliciosos aprovechan la confianza ciega de los usuarios en marcas emergentes para vulnerar la seguridad del sistema operativo. Un complemento fraudulento, diseñado específicamente para suplantar la identidad del motor de respuestas Perplexity AI, estuvo operando de manera silenciosa en las tiendas de extensiones oficiales con un objetivo sumamente agresivo: interceptar el tráfico de búsqueda global del usuario y registrar las pulsaciones de teclado antes de que los datos alcancen los servidores legítimos.
El software malicioso fue detectado originalmente por los laboratorios de seguridad de Microsoft, quienes emitieron un informe técnico detallando el alcance de la intrusión. La extensión se distribuía bajo la denominación técnica de Search for Perplexity ai (específicamente en su versión 2.2). Lejos de tratarse de un script básico de redirección, el complemento fue programado explotando las capacidades de Manifest V3 —la API de extensiones más reciente y restrictiva de Google—, demostrando que los ciberdelincuentes han aprendido a pivotar sus herramientas para sortear los nuevos anillos de seguridad implementados en el navegador. Tras la denuncia de la firma de Redmond, Google procedió a la eliminación inmediata del software de la Chrome Web Store, aunque la alerta permanece activa para todos aquellos que aún conserven el componente instalado de forma local en sus computadoras.
La anatomía del engaño: privilegios abusivos y el uso de WebAssembly como puerta trasera invisible
El éxito de esta campaña de infección residía en una experiencia de usuario sumamente pulida que enmascaraba una maquinaria de vigilancia corporativa. Durante el proceso de instalación, el complemento solicitaba una serie de credenciales de acceso lógico que el usuario promedio suele aceptar de manera automática sin medir el impacto en la privacidad. Al dar el visto bueno, la extensión se autoconfiguraba de inmediato como el proveedor de búsqueda predeterminado del navegador, tomando el control absoluto de la barra de direcciones (omnibox). A partir de ese hito, cada consulta digitada por la víctima era redirigida en milisegundos hacia una infraestructura de servidores controlada por los atacantes.
Lo verdaderamente alarmante de su diseño técnico es el nivel de metadatos que lograba capturar en cada transacción:
- Identificadores de red: El servidor malicioso registraba de forma sistemática la dirección IP de origen y los encabezados HTTP del navegador.
- Huella digital del dispositivo: El software extraía el User-Agent exacto, revelando la versión del sistema operativo y los componentes de hardware del equipo.
- Comportamiento transparente: Tras compilar la telemetría, la extensión devolvía los resultados de búsqueda legítimos intactos, evitando levantar sospechas y garantizando que la víctima continuara utilizando el navegador de forma habitual mientras era monitorizada.
Además de la intercepción a nivel de host, los desarrolladores del malware introdujeron una política de seguridad de contenido (CSP) sumamente permisiva que habilitaba la ejecución y evaluación de WebAssembly (Wasm). Esta decisión de ingeniería de software representa una amenaza crítica a largo plazo: al permitir la carga de binarios Wasm modificados de forma externa, los atacantes adquirían la capacidad de mutar el comportamiento de la extensión en tiempo real e inyectar código malicioso adicional sin necesidad de pasar por los filtros de auditoría ni actualizar la versión de la extensión dentro de la tienda de Google.
Satya Nadella, director ejecutivo de Microsoft, se refirió al incremento de este tipo de amenazas sofisticadas que se camuflan bajo el ala de la inteligencia artificial:
«Los atacantes ya no necesitan romper perímetros de seguridad complejos mediante exploits de día cero si pueden convencer al usuario de que les entregue las llaves del sistema de forma voluntaria. La suplantación de identidad de plataformas de IA es la nueva frontera de la ingeniería social. Al imitar la estética de herramientas en las que la gente confía para su día a día, logran sortear la barrera psicológica de la víctima. Nuestra prioridad es desactivar estas infraestructuras de telemetría ilegítimas antes de que los datos capturados se transformen en brechas de seguridad corporativas masivas.»
-¿Qué hacer si tenés el PC comprometido?
Aunque las auditorías preliminares forenses llevadas a cabo por el equipo de seguridad de Microsoft no hallaron pruebas concluyentes que confirmen un robo masivo de contraseñas bancarias o credenciales de servicios en la nube, los ingenieros de la compañía se han negado a garantizar la total inmunidad de los afectados. La amplitud de los permisos otorgados a la extensión y su capacidad para registrar pulsaciones de teclado abren la posibilidad técnica de que datos de autenticación sensibles hayan sido comprometidos si el usuario los digitó dentro de los campos de búsqueda interceptados.
El destino final de la telemetría recopilada por esta red de servidores apunta, en primera instancia, a la creación de perfiles comerciales hiperespecíficos, fraude publicitario mediante la inyección de cookies de seguimiento y la reventa de bases de datos de comportamiento en el mercado negro de la ciberdelincuencia.
Si en algún momento sospechás haber descargado este complemento de Perplexity AI para probar sus funciones, la recomendación técnica es tajante: tenés que ingresar de inmediato al panel de administración de extensiones de tu navegador (chrome://extensions/), localizar el software fraudulento y removerlo por completo del almacenamiento del sistema. Como medida preventiva complementaria, es altamente aconsejable realizar una limpieza de la caché de DNS y renovar las sesiones activas de tus cuentas principales para cortar cualquier lazo residual con el servidor del atacante.