El ataque DarkSpectre que infectó a 8,8 millones de usuarios

Trucoteca » Otros » El ataque DarkSpectre que infectó a 8,8 millones de usuarios

Durante más de siete años, un ataque silencioso se incrustó en los navegadores más utilizados del mundo, afectando tanto a usuarios particulares como a empresas en Europa, España y el resto del planeta. Lo que a simple vista parecían simples complementos para facilitar la vida digital escondían, en realidad, una de las operaciones de espionaje y fraude online más amplias detectadas recientemente.

La ofensiva, bautizada como DarkSpectre por la firma de ciberseguridad Koi.ai, logró infectar a unos 8,8 millones de usuarios a través de casi 300 extensiones maliciosas publicadas en tiendas oficiales de Google Chrome, Microsoft Edge, Mozilla Firefox y Opera. El ataque aprovechó la confianza que generan estos repositorios oficiales, colándose en la rutina diaria de navegación sin levantar sospechas durante años.

Un ciberataque encubierto en tiendas de extensiones oficiales

Según la investigación de Koi.ai, la operación DarkSpectre comenzó en 2018 y se mantuvo activa hasta finales de 2025, tiempo durante el cual las extensiones afectadas se ofrecían como utilidades totalmente legítimas. Entre sus descripciones figuraban funciones como bloqueadores de anuncios, gestores de reuniones, traductores, descargadores de contenido o ayudas para compras online, algo muy habitual entre usuarios españoles y europeos que buscan optimizar su día a día digital.

Estas extensiones acumularon más de 8,8 millones de instalaciones en navegadores de escritorio, con un alcance especialmente notable en Chrome y Edge, aunque también afectaron a Firefox y Opera. Las valoraciones positivas y reseñas generadas de manera artificial reforzaban la sensación de confianza, lo que facilitó su rápida difusión sin despertar alarmas entre los equipos de seguridad ni entre la propia comunidad de usuarios.

El grupo responsable, identificado como DarkSpectre, diseñó una infraestructura distribuida de mando y control que permitía gestionar todas estas extensiones desde una misma red oculta. Los investigadores detectaron que múltiples complementos, aparentemente sin relación, compartían dominios, patrones de comunicación y modus operandi, lo que llevó a unir las piezas hasta destapar la campaña en su conjunto.

Durante buena parte de su ciclo de vida, las extensiones funcionaban como cualquier otra herramienta legítima: bloqueaban anuncios, automatizaban tareas o mejoraban la experiencia de videollamadas. Esa normalidad aparente fue clave para evitar sospechas y permitió que permanecieran disponibles en las tiendas oficiales durante años.

Solo cuando los operadores lo decidían, las extensiones recibían cambios de configuración o actualizaciones silenciosas que activaban funcionalidades ocultas. Este modelo de activación retardada convirtió a DarkSpectre en una amenaza especialmente difícil de detectar tanto por parte de los navegadores como de las soluciones de seguridad tradicionales.

Técnicas avanzadas para pasar desapercibidos

La eficacia de DarkSpectre se basó en una combinación de ingeniería social y recursos técnicos sofisticados. En primer lugar, los atacantes cuidaron al detalle la apariencia de las extensiones: nombres creíbles, iconos profesionales, descripciones bien redactadas y opiniones positivas falsas que daban la sensación de que eran herramientas populares y seguras.

A nivel técnico, muchas de estas extensiones permanecían inactivas en términos maliciosos durante un largo periodo. Hacían exactamente lo que prometían al usuario, sin comportamientos extraños visibles. Esta fase “limpia” reducía el riesgo de que fueran marcadas como sospechosas durante las revisiones iniciales de las tiendas o por los sistemas de análisis automatizados.

Una vez alcanzado un volumen considerable de instalaciones, los operadores lanzaban actualizaciones encubiertas que ampliaban permisos y añadían código adicional. Esos cambios permitían comunicarse con servidores remotos, modificar el contenido de páginas visitadas o espiar el uso que hacía el usuario del navegador. Al tratarse de actualizaciones aparentemente rutinarias, pasaban casi inadvertidas para la mayor parte de la gente.

En muchos casos, el malware real se descargaba bajo demanda desde los servidores de mando y control. A través de código JavaScript ofuscado y cargado de forma remota, los atacantes podían variar el comportamiento de las extensiones, adaptar las campañas a nuevos objetivos o apagar temporalmente ciertas funciones para evitar ser descubiertos.

Esta arquitectura flexible, basada en cargas dinámicas y activación diferida, ayudó a que las extensiones maliciosas permanecieran años operando dentro de ecosistemas considerados seguros, con impacto tanto en hogares como en oficinas, administraciones públicas y organizaciones de todo tipo en Europa.

Campañas ShadyPanda, GhostPoster y otras variantes relacionadas

Al profundizar en el análisis, Koi.ai identificó que DarkSpectre no era un ataque único, sino un conjunto de campañas enlazadas que compartían la misma infraestructura. Al menos tres líneas principales quedaron claramente definidas: ShadyPanda, GhostPoster y Zoom Stealer, cada una con objetivos y técnicas particulares.

La campaña ShadyPanda se convirtió en la más extendida en términos de número de afectados. Mediante más de un centenar de extensiones disponibles principalmente para Chrome y Edge, esta rama comprometió a unos 5,6 millones de usuarios. En muchos casos, se trataba de complementos relacionados con compras online, cupones de descuento, bloqueadores de anuncios o herramientas de productividad.

En un primer momento, estas extensiones se comportaban de manera legítima. Sin embargo, una vez que contaban con una base amplia de instalaciones, activaban funciones ocultas destinadas a manipular enlaces de comercio electrónico, sustituir direcciones de pago por otras controladas por los atacantes o registrar información sensible asociada a transacciones, como credenciales y datos de tarjetas.

Otra línea identificada fue GhostPoster, orientada a usuarios de Firefox y Opera y con más de un millón de instalaciones detectadas. En este caso, la seña de identidad fue el uso de esteganografía: los atacantes escondían código malicioso dentro de imágenes, normalmente archivos PNG que se presentaban como simples iconos o recursos gráficos de las propias extensiones.

Al cargar estas imágenes, las extensiones extraían instrucciones ocultas y las ejecutaban tras un tiempo de espera, normalmente alrededor de 48 horas, lo que añadía otra capa de dificultad para la detección. Entre los ejemplos estudiados figura una versión manipulada de un traductor muy popular para Opera, que incorporaba un iframe oculto para establecer una puerta trasera persistente, desactivar ciertos mecanismos antifraude y comunicarse con servidores previamente vinculados a DarkSpectre.

El giro hacia el espionaje corporativo: Zoom Stealer

Mientras ShadyPanda y GhostPoster se centraban en el fraude online y la recopilación masiva de datos, otra rama del ataque se orientó claramente al ámbito empresarial. Se trata de Zoom Stealer, una campaña que emergió con fuerza hacia finales de 2025 y que afectó, según las estimaciones, a alrededor de 2,2 millones de usuarios.

Las extensiones asociadas a Zoom Stealer se presentaban como complementos para mejorar la experiencia en plataformas de videoconferencia como Zoom, Microsoft Teams o Google Meet. Ofrecían utilidades aparentemente inocuas, como grabar reuniones, gestionar accesos, automatizar invitaciones o simplificar la descarga de contenidos.

En segundo plano, sin embargo, estas herramientas podían interceptar enlaces de reuniones, recopilar credenciales en tiempo real y acceder a información profesional sensible. Aprovechando permisos excesivos en el navegador, los atacantes eran capaces de observar qué sesiones se organizaban, quién participaba, qué documentos se compartían y qué conversaciones tenían lugar.

La exfiltración de datos se realizaba mediante conexiones cifradas y técnicas basadas en WebSockets, lo que permitía enviar información a los servidores de DarkSpectre prácticamente en tiempo real. Con ello, el grupo construyó repositorios de inteligencia con un enorme valor estratégico: agendas de reuniones, estrategias comerciales, planes de producto, negociaciones internas o discusiones sobre proyectos sensibles.

En un contexto como el europeo, donde el teletrabajo y las reuniones virtuales se han consolidado en empresas, universidades y administraciones públicas, este tipo de acceso supone un riesgo claro de espionaje corporativo y filtración de secretos. No se trata solo de robo de datos aislados, sino de la posibilidad de reconstruir la actividad interna de organizaciones completas a lo largo del tiempo.

Consecuencias para usuarios y empresas en Europa

La magnitud del ataque DarkSpectre se refleja en el número de víctimas y en la diversidad de daños causados. A nivel individual, millones de usuarios se vieron expuestos a vigilancia constante mientras navegaban, sufrían modificaciones invisibles de las páginas que visitaban y arriesgaban sus credenciales de acceso a servicios online, tiendas digitales y plataformas de comunicación.

El robo de datos personales, historiales de navegación, hábitos de compra y patrones de comportamiento digital abre la puerta a fraudes financieros, suplantaciones de identidad y campañas de phishing dirigidas; además facilita riesgos como el fraude por tarjetas SIM. Para muchos afectados, es posible que el impacto se haya materializado en cargos no reconocidos, accesos sospechosos a sus cuentas o intentos de engaño difíciles de vincular directamente con estas extensiones.

En el ámbito empresarial, especialmente en organizaciones europeas sujetas a normativas de protección de datos como el RGPD, las implicaciones son aún más delicadas. La filtración de documentos internos, acuerdos comerciales, estrategias de negocio o conversaciones entre directivos puede resultar en pérdidas económicas, daño reputacional y posibles sanciones regulatorias si se considera que no se adoptaron medidas de protección adecuadas.

Para sectores críticos —como tecnología, energía, defensa, sanidad o finanzas—, la capacidad de un actor externo para acceder de forma silenciosa a reuniones y documentos internos representa un riesgo de seguridad con alcance geopolítico. Aunque no se ha hecho público el listado completo de organizaciones afectadas, la naturaleza transversal de las plataformas de videoconferencia sugiere que el impacto fue amplio y no se limitó a un país concreto.

Más allá de las pérdidas inmediatas, DarkSpectre ha puesto sobre la mesa una cuestión incómoda: la confianza casi automática que se deposita en las tiendas oficiales de extensiones. Incluso cumpliendo con controles y auditorías, estas plataformas no son infalibles, y los atacantes han demostrado ser capaces de adaptarse a sus requisitos para colarse durante largos periodos.

Lecciones de seguridad para usuarios y organizaciones

El caso DarkSpectre se ha convertido en un ejemplo de referencia para expertos en ciberseguridad en España y el resto de Europa, precisamente por cómo combina técnicas avanzadas con gestos cotidianos por parte de los usuarios. La instalación de un simple bloqueador de anuncios, un traductor o una herramienta para gestionar reuniones puede convertirse en la puerta de entrada a un problema mayor si no se adoptan ciertos criterios mínimos de prudencia.

Entre las recomendaciones que se desprenden de este incidente destaca la necesidad de revisar cuidadosamente los permisos solicitados por cada extensión. Cuando una herramienta aparentemente sencilla pide acceso a todos los datos de navegación, a la gestión de descargas o a la lectura y modificación de contenido en cualquier sitio web, conviene plantearse si realmente es imprescindible.

También es aconsejable limitar el número de extensiones instaladas al mínimo estrictamente necesario. Cuantas más se acumulen en el navegador, mayor es la superficie de ataque y más difícil resulta controlar su comportamiento. Desinstalar las que ya no se usan, comprobar periódicamente la lista de complementos activos y evitar instalar extensiones desde enlaces aleatorios son pasos básicos pero efectivos.

En el caso de empresas y administraciones, la gestión centralizada de extensiones y políticas de control más estrictas se vuelve casi obligatoria. Definir qué complementos están permitidos, auditar su uso, vigilar el origen de las instalaciones y desplegar soluciones de monitorización del tráfico de red ayuda a mitigar el riesgo de que una campaña como DarkSpectre vuelva a encontrar terreno fértil.

Por último, la colaboración entre proveedores de navegadores, empresas de seguridad, organismos reguladores y equipos de respuesta a incidentes será clave para mejorar los procesos de revisión de extensiones y la detección temprana de patrones sospechosos. La experiencia de DarkSpectre demuestra que los atacantes pueden tomarse su tiempo, perfeccionar sus tácticas y, aun así, pasar desapercibidos durante años si no se refuerzan estas barreras.

Lo ocurrido con DarkSpectre ilustra hasta qué punto un conjunto de extensiones aparentemente inofensivas puede convertirse en el hilo del que tirar para desvelar una operación global de fraude, robo de datos y espionaje corporativo. Millones de usuarios, incluidos muchos en España y el resto de Europa, se vieron implicados sin saberlo, simplemente por confiar en herramientas disponibles en las tiendas oficiales de sus navegadores. La investigación de Koi.ai ha permitido reconstruir las piezas de este puzle y ofrece, al mismo tiempo, un recordatorio claro: en el entorno digital actual, revisar permisos, limitar instalaciones y mantener una actitud crítica ante cualquier complemento es tan importante como contar con un buen antivirus o saber cómo recuperar la contraseña de tu Wi‑Fi en Android.