Durant més de set anys seguits, una operació de cibercrim a gran escala ha aconseguit colar-se als principals navegadors del mercat, incloent Google Chrome i Microsoft Edge, a través d'extensions aparentment inofensives. L'abast de l'atac és tan gran que es calcula que almenys 8,8 milions d'usuaris a tot el món podrien haver-se vist afectats, molts d'ells a Europa i Espanya.
La investigació, liderada per especialistes en ciberseguretat com la firma Koi.ai, ha destapat una xarxa criminal altament organitzada, batejada com Espectre Fosc, que hauria aprofitat la confiança en les botigues oficials d'extensions per distribuir programari maliciós. El més preocupant és que la majoria dels afectats no tenia cap sospita que les seves dades bancàries, credencials o informació corporativa estaven sent capturades en segon pla.
Un atac silenciós que va explotar les extensions de Chrome i Edge
Segons les dades revelades pels investigadors, DarkSpectre va construir una infraestructura complexa per publicar i mantenir prop de 300 extensions malicioses a les botigues oficials de Chrome, Edge, Firefox i Opera. Moltes d'aquestes extensions es presentaven com a utilitats molt quotidianes: des de gestors de pestanyes i traductors fins a bloquejadors d'anuncis o eines per millorar la productivitat.
El truc consistia a oferir funcions legítimes en un primer moment, guanyant així descàrregues i una bona reputació basada en ressenyes i valoracions positives generades de forma artificial. Quan les extensions assolien un nombre significatiu d'usuaris, els atacants empenyien actualitzacions encobertes que incorporaven el codi maliciós sense que l'usuari apreciés canvis evidents en el funcionament.
En el cas dels navegadors basats en Chromium, com Google Chrome i Microsoft Edge, es va detectar una xarxa d'extensions tipus "cavall de Troia" que es camuflaven com a eines de personalització o bloquejadors d'anuncis. En una fase de l'atac es van identificar almenys 30 extensions especialment populars capaços de robar credencials bancàries, contrasenyes de xarxes socials i dades de formularis d'autocompletat, enviant tota aquesta informació en temps real a servidors sota control dels ciberdelinqüents.
A més del robatori de dades, diverses d'aquestes extensions incloïen funcions de injecció de publicitat i redirecció de cerques. Això permetia mostrar anuncis invasius, desviar l'usuari cap a llocs de pesca i multiplicar les possibilitats de frau, incloent-hi la suplantació de pàgines de bancs o serveis de pagament molt utilitzats a Espanya i la resta d'Europa.
Més de 8,8 milions de víctimes i tres grans campanyes coordinades
La magnitud de l'atac es reflecteix en les xifres que manegen els serveis d'intel·ligència i les empreses de ciberseguretat: s'estima que 8,8 milions d'usuaris han estat impactats a tot el món per les diferents campanyes associades a DarkSpectre. Per aconseguir-ho, el grup hauria mantingut tres línies d'atac ben diferenciades, conegudes com ShadyPanda, GhostPoster i Zoom Stealer.
La campanya ShadyPanda va ser la més agressiva en termes de volum. A través de més de 100 extensions malicioses, principalment orientades a manipular el trànsit de comerç electrònic, hauria arribat a comprometre les dades de aproximadament 5,6 milions d'usuaris. Un cop activades les funcions ocultes, aquestes extensions podien modificar enllaços a portals de compres, redirigir pagaments a pàgines fraudulentes o injectar codi addicional per seguir rastrejant l'activitat de l'usuari.
Els experts assenyalen que aquestes maniobres van afectar botigues en línia i serveis de pagament molt utilitzats a la Unió Europea, cosa que obre la porta a fraus financers transfronterers i possibles problemes de compliment normatiu per a les plataformes que no van detectar a temps la manipulació del trànsit.
La segona gran ofensiva, anomenada GhostPoster, va tenir com a objectiu principal els navegadors Firefox i Opera, que comptaven amb controls de seguretat una mica menys estrictes que Chrome i Edge. En aquest cas, l'element diferencial va ser l'ús de esteganografia: els atacants ocultaven codi JavaScript maliciós dins d'arxius d'imatge PNG, cosa que permetia executar instruccions remotes i descarregar nous mòduls de codi maliciós sense aixecar sospites.
Un dels exemples més cridaners va ser la clonació d'una extensió de Google Translate per a Opera, que actuava com una eina legítima a simple vista. Tot i això, en segon pla instal·lava una porta del darrere mitjançant un iframe ocult, desactivava proteccions antifrau del navegador i establia connexió amb servidors vinculats prèviament a altres operacions de DarkSpectre, generant un canal permanent d'accés al sistema de la víctima.
Zoom Stealer: el salt a l'espionatge en videotrucades corporatives
La tercera fase de l'atac, identificada com Lladre de zoom, va fer un salt qualitatiu en enfocar-se de ple al entorn empresarial. A finals del 2025, els investigadors van detectar almenys 18 extensions específiques dirigides a plataformes de videoconferència com Zoom, Microsoft Teams i Google Meet, amb un impacte estimat a 2,2 milions d'usuaris.
Aquestes extensions es promovien com a complements ideals per a teletreball i reunions a distància: prometien resumir vídeos, desar enllaços d'interès, generar llistats de participants o elaborar un resum automàtic de cada sessió. Un perfil molt atractiu per a companyies espanyoles i europees que van consolidar el treball híbrid i remot durant els darrers anys.
Després de la seva instal·lació, les eines començaven a interceptar informació crítica de les videotrucades: enllaços d'accés, identificadors de reunió, contrasenyes de convidat i, en alguns casos, continguts compartits o metadades relacionades amb presentacions i documents discutits durant les sessions.
Amb aquestes dades, els atacants aconseguien accedir a reunions privades, moltes d'alt nivell, i creaven repositoris de intel·ligència professional i comercial amb un valor estratègic enorme. Segons les fonts consultades, es van veure compromeses comunicacions internes sobre plans de negoci, acords d?inversió, estratègies de mercat i altres assumptes molt sensibles per a la competitivitat de les empreses implicades.
Paral·lelament, Zoom Stealer aprofitava els amplis permisos concedits a les extensions per dur a terme exfiltració de credencials en temps real. Això incloïa dades d'inici de sessió corporatives, claus d'accés a eines al núvol i perfils professionals que després es podien reutilitzar en atacs dirigits, com ara campanyes de pesca altament personalitzades contra empleats d'organitzacions europees.
Impacte en usuaris i empreses d'Europa i Espanya
El cas DarkSpectre ha posat de manifest fins a quin punt la cadena de confiança a les botigues d'extensions es pot convertir en un punt feble per a ciutadans i organitzacions. Tot i que l'atac va tenir un abast global, les autoritats europees i els equips de resposta a incidents de diversos països, incloent-hi Espanya, vigilen de prop l'impacte sobre usuaris locals.
Per als usuaris particulars, les conseqüències es tradueixen en vigilància encoberta de la seva activitat online, possible sostracció d'identitat, càrrecs indeguts en compres per internet i filtració de dades personals que podrien acabar en fòrums clandestins. Molts afectats ni tan sols advertiran que han estat víctimes, ja que la majoria de les extensions seguia funcionant amb normalitat en aparença.
Al terreny corporatiu, el cop és encara més seriós. Les companyies europees que basen bona part de les seves operacions en eines al núvol i videoconferències s'enfronten a riscos d'espionatge industrial, filtracions d‟acords estratègics i exposició d‟informació confidencial sobre clients, proveïdors i socis. A més, les empreses es poden veure obligades a notificar incidents de seguretat en el marc de normatives com el Reglament General de Protecció de Dades (RGPD), assumint costos reputacionals i possibles sancions.
Els informes preliminars apunten que la xarxa criminal hauria construït autèntics magatzems de dades corporatives a partir de converses privades, documents compartits en reunions i accessos no autoritzats a intranets o serveis interns. Aquesta informació resulta extremadament valuosa tant per a la venda en mercats clandestins com per a campanyes de xantatge o competència deslleial.
Les autoritats europees col·laboren amb proveïdors tecnològics per millorar els sistemes de detecció a les botigues d'extensions i per reforçar els controls sobre l'ús de dades personals. Tot i això, els especialistes recorden que cap sistema automàtic és infal·lible i que la darrera línia de defensa continua sent el mateix usuari i els seus hàbits de seguretat.
Com protegir-se després del ciberatac massiu a Chrome i Edge
Davant d'un escenari tan perllongat i sofisticat, els experts en ciberseguretat recomanen una sèrie de mesures immediates per reduir l'impacte de l'atac i evitar infeccions noves, especialment entre els usuaris de Chrome i Edge a Espanya i la resta d'Europa.
El primer pas és fer-ne una auditoria completa de les extensions instal·lades a tots els navegadors. És aconsellable revisar una per una i desinstal·lar qualsevol complement que no es reconegui, que no s'utilitzi habitualment o que no provingui d'un desenvolupador de confiança. En cas de dubte, és millor eliminar i tornar a instal·lar només des de la font oficial del proveïdor si realment és necessari.
També és fonamental comprovar que el navegador està actualitzat a l'última versió disponible. Tant Google com Microsoft han anat incorporant pegats per bloquejar part de les tècniques utilitzades per DarkSpectre, de manera que les versions més recents inclouen millores específiques en la detecció de comportaments sospitosos i en la gestió de permisos d'extensions.
Pel que fa als comptes en línia, es recomana canviar-los contrasenyes de serveis crítics (correu electrònic, banca digital, xarxes socials, eines corporatives) si hi ha la sospita d'haver utilitzat alguna extensió compromesa. Convé aprofitar per utilitzar claus úniques i robustes a cada servei, idealment amb l'ajuda d'un gestor de contrasenyes.
A més, els especialistes insisteixen a activar la autenticació en dos factors (2FA) sempre que sigui possible. Aquest mecanisme afegeix una capa de protecció extra, de manera que encara que un atacant aconsegueixi una contrasenya, ho tindrà molt més difícil per accedir al compte sense el codi temporal o el segon element de verificació.
Finalment, per a les organitzacions que depenen intensament de plataformes com Zoom, Teams o Google Meet, es recomana fer revisions periòdiques de les extensions instal·lades als navegadors corporatius, implantar polítiques de seguretat que limitin la instal·lació de complements no autoritzats i formar els empleats en la detecció de possibles enganys, tant en extensions com en correus o enllaços que puguin acompanyar campanyes similars.
Tot allò descobert al voltant de DarkSpectre i les seves campanyes ShadyPanda, GhostPoster i Zoom Stealer reflecteix fins a quin punt les extensions de navegador han esdevingut un objectiu prioritari per als ciberdelinqüents. La combinació de confiança en les botigues oficials, funcions útils i ressenyes manipulades ha permès mantenir durant anys un atac silenciós amb enorme impacte en usuaris particulars i empreses, cosa que obliga a replantejar-se la manera com instal·lem i gestionem aquests complements en el nostre dia a dia digital.
