Detectan extensiones falsas de TikTok en Chrome y Edge que roban datos

Trucoteca » Otros » Detectan extensiones falsas de TikTok en Chrome y Edge que roban datos

Una reciente investigación de LayerX Security ha sacudido el panorama de la ciberseguridad al destapar una campaña masiva de extensiones falsas de TikTok para navegadores como Google Chrome y Microsoft Edge. Bajo la apariencia de simples descargadores de vídeos, estos complementos han logrado infiltrarse en las tiendas oficiales y recopilar datos sensibles de más de 130.000 usuarios en todo el mundo, con miles de instalaciones que siguen activas.

Lejos de ser un problema puntual, lo que se ha descubierto es una operación muy bien organizada que aprovecha el tirón de TikTok para colarse en los equipos de los usuarios. Las extensiones prometen descargar vídeos sin marca de agua y funcionar de forma cómoda desde el navegador, pero en segundo plano se convierten en una herramienta de seguimiento avanzado y robo de información, afectando también a usuarios de España y el resto de Europa.

Cómo funcionan las extensiones falsas de TikTok

Según el análisis de LayerX Security, la campaña se apoya en al menos 12 extensiones maliciosas interrelacionadas, todas ellas publicadas en las tiendas oficiales de Chrome y Edge. No se trata de proyectos independientes, sino de variantes casi clonadas de un mismo código base, con pequeños cambios de nombre o descripción para aparentar ser herramientas diferentes.

Estas extensiones se anuncian como descargadores de vídeos de TikTok, con nombres como “TikTok Video Downloader” o “Mass TikTok Video Downloader”, y variantes en castellano del estilo “Descargador de vídeos de TikTok” o “Descargador masivo de TikTok”. El gancho es sencillo: permitir guardar contenido de la red social directamente desde el navegador, sin complicaciones.

En una primera fase, las extensiones cumplen exactamente lo que prometen. Funcionan de forma legítima, descargan vídeos y no muestran comportamientos sospechosos. Este detalle es clave, porque les permite ganar reseñas positivas, acumular instalaciones y generar confianza entre los usuarios y los propios sistemas de revisión de las tiendas.

La campaña está diseñada para ser resistente a los controles. Cuando una extensión concreta es detectada y retirada, los atacantes publican rápidamente otra versión casi idéntica, reutilizando el mismo código, las mismas imágenes promocionales e incluso descripciones muy similares. De esta forma mantienen una presencia constante en los marketplaces oficiales, pese a los esfuerzos de limpieza.

Uno de los aspectos más preocupantes es que algunas de estas extensiones llegaron a recibir la etiqueta de “destacadas” o “Featured” en las tiendas, lo que multiplica la visibilidad y la sensación de seguridad para el usuario medio. Si una extensión aparece recomendada por la propia plataforma, muchos tienden a instalarla sin pensárselo demasiado.

Arquitectura técnica: Manifest V3 y control remoto

En el plano técnico, todas las extensiones identificadas comparten el uso de la arquitectura Manifest V3 (MV3), el nuevo modelo de permisos y funcionamiento que Google impulsa para las extensiones de Chrome y que también ha llegado a Microsoft Edge. Lejos de ser una garantía absoluta, los atacantes han aprovechado las capacidades de este modelo para reforzar su campaña.

Gracias a Manifest V3, los complementos son capaces de conectarse a servidores externos controlados por los ciberdelincuentes. A través de esos servidores, reciben archivos de configuración y órdenes en tiempo real, lo que permite modificar su comportamiento sin necesidad de publicar una actualización visible en la tienda. Para el usuario, la extensión sigue siendo la misma, pero su lógica interna puede haber cambiado por completo.

Este sistema de configuración remota hace posible habilitar o deshabilitar funciones específicas cuando los atacantes lo deciden. Por ejemplo, pueden activar la carga maliciosa solo después de un tiempo, ajustar qué datos se recopilan o redirigir ciertas peticiones del navegador hacia puntos finales controlados por ellos, todo sin que aparezca ningún aviso adicional.

La infraestructura que hay detrás también está pensada para pasar desapercibida. Los servidores utilizan dominios cuidadosamente diseñados mediante técnicas de typosquatting, es decir, nombres muy similares a dominios legítimos, con pequeñas variaciones apenas perceptibles. A simple vista pueden parecer direcciones normales, lo que complica su identificación tanto para los usuarios como para muchas herramientas de seguridad automatizadas. Por eso es clave saber reconocer un sitio falso.

Hasta el momento, los investigadores no han atribuido con claridad esta campaña a un grupo concreto, pero la consistencia en la infraestructura y la coordinación observada apuntan a un único actor o grupo muy organizado, con recursos y experiencia en este tipo de operaciones de larga duración, similar a ataques como el ataque DarkSpectre.

Activación retardada: meses funcionando “bien” antes de atacar

Una de las tácticas más llamativas es la llamada activación retardada de las funciones maliciosas. Las extensiones pueden operar durante un periodo de entre seis y doce meses como si fueran totalmente legítimas: descargan vídeos, no muestran errores extraños y no generan alertas evidentes en el sistema.

Durante ese tiempo, los complementos se dedican a acumular reputación. Sumando descargas, valoraciones positivas y comentarios de usuarios satisfechos, construyen una imagen de herramienta fiable. De hecho, este comportamiento inicial “limpio” puede haber permitido que algunas de ellas fueran destacadas en las tiendas.

Solo cuando han alcanzado un volumen de usuarios suficiente, los atacantes activan desde sus servidores la carga útil maliciosa. Ese cambio se produce de forma silenciosa, sin que el usuario tenga que actualizar nada ni otorgar nuevos permisos. A partir de ese momento, la extensión empieza a recopilar datos, modificar tráfico o redirigir actividad de forma encubierta.

Este enfoque demuestra una evolución clara en las tácticas del cibercrimen. En lugar de ataques rápidos y burdos, nos encontramos con operaciones pacientes, donde los delincuentes invierten tiempo en construir credibilidad para maximizar el impacto cuando deciden dar el paso a la fase maliciosa.

Además, el hecho de que muchas víctimas no noten cambios visibles en el uso diario del navegador hace que la detección sea especialmente complicada. La extensión sigue descargando vídeos, así que la mayoría de usuarios no sospechan que, en paralelo, se está registrando su actividad y enviándola a servidores remotos.

Qué datos roban estas extensiones y por qué son tan valiosos

Una vez activadas las funciones maliciosas, las extensiones empiezan a recoger información con un nivel de detalle que va mucho más allá del simple historial de navegación. No se trata solo de adware; el objetivo es crear perfiles únicos de cada usuario, lo que se conoce como huella digital o fingerprinting avanzado.

Entre los datos que, según los investigadores, pueden llegar a recopilar se encuentran aspectos como la frecuencia de uso del navegador, el tipo de contenido que se descarga, la configuración del sistema, la zona horaria y otros parámetros técnicos que, combinados, permiten identificar a una persona a lo largo del tiempo, incluso si cambia ciertas preferencias.

Uno de los detalles más llamativos es la utilización de indicadores poco habituales, como el estado de la batería del dispositivo. Aunque pueda parecer irrelevante, este tipo de variable añade un grado extra de precisión al perfilado, ya que puede ayudar a distinguir equipos aparentemente similares y refinar la huella digital.

Con toda esta información, los atacantes pueden construir perfiles extremadamente precisos que permiten rastrear a los usuarios a través de diferentes sesiones y, potencialmente, vincular su actividad en varios servicios online. Esto abre la puerta no solo al robo directo de datos, sino también a usos posteriores como la venta de perfiles a otros delincuentes o la preparación de ataques más dirigidos.

Aunque desde LayerX Security no se detalla de forma exhaustiva el destino final de esos datos, la propia naturaleza de la información recopilada sugiere que estamos ante una campaña de vigilancia digital a gran escala, que podría tener implicaciones relevantes también desde el punto de vista de la privacidad en la Unión Europea y la aplicación de normativas como el RGPD.

Listado de extensiones falsas afectadas

La investigación ha identificado al menos doce extensiones concretas relacionadas con esta campaña. Aunque podrían aparecer nuevas variantes, estas son las que se han mencionado de forma directa y que conviene revisar en los navegadores Chrome y Edge:

• TikTok Downloader – Save Videos, No Watermark
• TikTok Video Downloader – Bulk Save
• TikTok Downloader
• TikTok Video Downloader – Save Without Watermark
• Mass TikTok Video Downloader
• TikTok Video Downloader – Save Without Watermark (otra variante)
• TikTok Downloader – Save Videos, No Watermark (otra variante)
• Mass Tiktok Video Downloader (varias variantes con el mismo nombre)
• TikTok Downloader – Save Videos, No Watermark (tercera variante)
• TikTok Video Keeper
• Video Downloader for Tiktok

En total, estas extensiones suman más de 130.000 instalaciones, con unas 12.500 que seguían activas en el momento del último análisis. Algunas llegaron a acumular decenas de miles de usuarios antes de que las tiendas oficiales empezaran a retirarlas de sus catálogos.

Es importante remarcar que estas extensiones no tienen ninguna relación oficial con TikTok. La plataforma no ofrece complementos de navegador para descargar contenido, por lo que cualquier extensión que prometa esa función debe considerarse sospechosa o, al menos, analizada con mucho cuidado antes de instalarla.

Para los usuarios de España y de otros países europeos, el impacto es similar al del resto del mundo: si en algún momento se ha instalado uno de estos complementos, existe la posibilidad de que se hayan visto comprometidos datos personales y patrones de uso del navegador, con el riesgo añadido de que parte de esa información pueda haberse transferido fuera de la UE, y conviene tener en cuenta los riesgos de VPN gratis.

La propia dinámica de esta campaña sugiere que, aunque muchas extensiones concretas ya hayan sido retiradas, la amenaza no ha desaparecido por completo. Los atacantes pueden volver a la carga con nuevos nombres y ligeros cambios, por lo que conviene mantener una cierta desconfianza hacia cualquier herramienta que se presente como descargador de TikTok.

Cómo comprobar si estás afectado en Chrome o Edge

Para saber si tu navegador podría estar comprometido por esta campaña, el primer paso es revisar las extensiones instaladas. En Google Chrome puedes hacerlo accediendo a la dirección chrome://extensions, mientras que en Microsoft Edge el panel equivalente se encuentra en edge://extensions.

Una vez dentro, conviene repasar uno por uno los complementos instalados, prestando especial atención a cualquier herramienta relacionada con TikTok o que se presente como descargador de vídeos. Si reconoces alguno de los nombres de la lista identificada por LayerX Security, lo más prudente es desinstalarlo en el acto, y ayudarte de herramientas como WOT para valorar la reputación.

Aunque el nombre no coincida exactamente, también es recomendable desconfiar de extensiones con nombres muy similares o que parezcan duplicar funciones (por ejemplo, varios “TikTok Downloader” casi iguales). La práctica de publicar variantes mínimas es precisamente uno de los trucos utilizados por los atacantes para prolongar la vida de sus campañas.

Además del nombre, puedes fijarte en el origen del desarrollador y en la reputación general: número de descargas, comentarios, fecha de la última actualización… Si algo no encaja o la información resulta opaca, es mejor no asumir que se trata de una herramienta segura solo por estar en la tienda oficial.

En caso de duda, y más teniendo en cuenta el volumen de instalaciones afectadas, una buena práctica es reducir al mínimo el número de extensiones activas en el navegador, dejando únicamente aquellas que realmente utilizas y que proceden de desarrolladores reconocidos o de confianza.

Qué hacer si has tenido alguna de estas extensiones instaladas

Si descubres que tienes, o has tenido, alguna de estas extensiones instalada, es recomendable actuar con cierta rapidez. Lo primero es eliminar la extensión sospechosa desde el propio panel de gestión de complementos del navegador, asegurándote de que no quedan restos ni versiones duplicadas.

El siguiente paso es cambiar las contraseñas de las cuentas más sensibles que hayas utilizado mientras la extensión estaba activa: correo electrónico, redes sociales, servicios bancarios, tiendas online o cualquier plataforma en la que puedas haber introducido credenciales desde el navegador, y si procede restablecer la cuenta de Google.

También conviene revisar la actividad reciente en tus cuentas, en especial aquellas asociadas a pagos o información financiera. Si detectas movimientos extraños o accesos desde ubicaciones inusuales, lo prudente es contactar con el servicio correspondiente y seguir sus protocolos de seguridad, que pueden incluir bloqueo temporal, doble verificación o revisión manual.

Además, puede ser útil ejecutar un escaneo con un antivirus o suite de seguridad actualizada, por ejemplo el mejor antivirus gratuito, ya que algunas extensiones maliciosas podrían haber intentado descargar componentes adicionales o modificar ciertos ajustes del sistema más allá del propio navegador.

Por último, si utilizas el mismo navegador en varios dispositivos (por ejemplo, sincronizado entre un ordenador de sobremesa y un portátil), asegúrate de revisar y limpiar las extensiones en todos los equipos, no solo en uno. La sincronización puede haber replicado el complemento malicioso sin que te dieras cuenta.

Consejos para evitar caer en futuras campañas similares

Aunque en este caso concreto la campaña se ha centrado en TikTok, el patrón es fácilmente reutilizable con cualquier otro servicio popular. Por eso, más allá de desinstalar estas extensiones concretas, es importante adoptar algunos hábitos de seguridad en el uso diario del navegador.

En primer lugar, plantéate si realmente necesitas todas las extensiones que tienes instaladas. Cada complemento abierto en el navegador es una posible vía de ataque. Mantener solo las imprescindibles y de desarrolladores reconocidos reduce la superficie de exposición ante campañas similares.

Antes de instalar una extensión nueva, dedica unos minutos a revisar sus permisos y origen. Si un simple descargador de vídeos solicita acceso amplio a todas tus pestañas, a tu historial o a datos que no parecen relacionados con su función principal, es una señal clara de alerta.

Siempre que sea posible, descarga las extensiones desde las tiendas oficiales de Chrome o Edge, pero sin caer en la falsa sensación de seguridad de pensar que todo lo que hay allí es fiable. Fíjate en la reputación, el número de usuarios, las reseñas y si el desarrollador mantiene una presencia consistente y transparente.

Además, resulta muy recomendable activar medidas adicionales como la verificación en dos pasos (2FA) en tus principales cuentas, usar gestores de contraseñas para generar claves robustas y diferentes, y mantener tanto el navegador como el sistema operativo actualizados con los últimos parches de seguridad, y seguir guías para seguridad gratuita y efectiva.

En un escenario donde los ciberdelincuentes han demostrado que pueden esperar meses antes de activar la parte maliciosa de sus herramientas, la mejor defensa pasa por combinar prudencia, actualizaciones constantes y una cierta desconfianza saludable hacia cualquier complemento que prometa demasiadas facilidades a cambio de muy poco.

Lo destapado por LayerX Security evidencia que incluso las tiendas oficiales de extensiones pueden convertirse en puerta de entrada para campañas sofisticadas, y que el simple hecho de buscar una forma rápida de descargar vídeos de TikTok puede acabar exponiendo una gran cantidad de datos personales. Mantener bajo control las extensiones, revisar con regularidad qué tenemos instalado y reaccionar con rapidez ante cualquier sospecha se ha convertido en una parte imprescindible de navegar con cierta tranquilidad, tanto en España como en el resto de Europa.