¿Descargaste un VPN gratis? Ahora cualquiera puede acceder a tus contraseñas

¿Descargaste un VPN gratis? Ahora cualquiera puede acceder a tus contraseñas

El servicio se hizo pasar por un asistente durante mucho tiempo y esperó el momento oportuno para atacar.

image

Las extensiones del navegador solicitan cada vez más permisos, pero en el caso del VPN gratuito los usuarios recibieron no protección de la privacidad, sino un canal oculto para robar datos copiados. Los especialistas de Socket detectaron dos extensiones bajo la marca VPN Go que se distribuían a través de Chrome Web Store y el catálogo de complementos de Firefox y que se presentaban como servicios VPN gratuitos.

En el momento del análisis la extensión para Chrome contaba con 146 usuarios, la versión para Firefox — 3499 usuarios. Ambos productos mostraban funciones habituales de proxy y permitían elegir ubicaciones de VPN, por lo que los amplios permisos de red parecían creíbles. La parte maliciosa funcionaba en paralelo y vigilaba el portapapeles.

El esquema se desarrolló a través de actualizaciones. La primera versión analizada para Chrome, publicada el 22 de diciembre de 2025, se comportó como una extensión proxy normal. El 31 de mayo de 2026, en la versión 1.1 apareció código para leer el portapapeles. En Firefox la lógica maliciosa se encontró por primera vez en la versión 1.3.3. Versiones posteriores mantuvieron el robo de datos, pero cambiaron la infraestructura.

El mecanismo era simple y peligroso. La extensión leía regularmente el texto copiado, omitía repeticiones, dividía los datos nuevos en fragmentos de aproximadamente 1000 caracteres y los enviaba a direcciones HTTP fijas. En Chrome la comprobación se ejecutaba cada medio segundo mediante un script en todos los sitios; en Firefox una lógica similar funcionaba desde un script en segundo plano cada 1,5 segundos.

Este enfoque no requiere comprometer el sistema directamente. El usuario copia por sí mismo contraseñas, códigos de autenticación multifactor, claves API, tokens, frases semilla o direcciones de billeteras de criptomonedas, y la extensión accede a esos datos mediante el permiso para leer el portapapeles. Para un VPN real ese permiso no es necesario, ni tampoco el envío constante de fragmentos de texto a direcciones IP por HTTP.

Socket remitió la información sobre las extensiones a Google y Mozilla para su comprobación y eliminación. Se aconseja a los usuarios eliminar VPN Go: Free VPN de Chrome y Free VPN by VPN GO de Firefox si las extensiones estaban instaladas. Todos los secretos que se copiaron mientras la extensión estaba activa deben considerarse comprometidos y reemplazarse.

A las organizaciones les conviene revisar las extensiones instaladas, examinar por separado los permisos clipboardRead, proxy, tabs, webRequest y el acceso a todos los sitios, y también buscar solicitudes HTTP salientes a las direcciones identificadas con los parámetros uid, part, total y data.