“peligro en la web: una extensión de chrome roba datos bancarios y se propaga por américa latina”
“peligro en la web: una extensión de chrome roba datos bancarios y se propaga por américa latina”
Investigadores de seguridad detectaron una extensión maliciosa para Google Chrome —identificada como JS/Spy.Banker.CV— que se hace pasar por una utilidad de seguridad pero, en realidad, está diseñada para sustraer credenciales bancarias y datos de billeteras virtuales, facilitando el desvío de fondos hacia cuentas controladas por ciberdelincuentes.
La campaña afectó fundamentalmente equipos con Windows y se ha propagado en la región —con fuerte actividad en México— mediante correos electrónicos falsos que adjuntan archivos comprimidos y aparentan proceder de entidades financieras legítimas; al abrirlos, el usuario instala la extensión o ejecuta componentes que la descargan.
Técnicamente, los atacantes usan la extensión para alterar el Document Object Model (DOM) de las páginas bancarias: muestran formularios fraudulentos idénticos a los originales, sustituyen números de cuenta o direcciones de billeteras por las suyas y transmiten la información capturada a servidores de comando y control (C2). El análisis del código reveló además dos scripts JavaScript que garantizan persistencia y comunicación constante con la infraestructura del atacante.
El informe de ESET Latinoamérica detectó textos y variables en portugués en el código, lo que sugiere un despliegue regional más amplio y coordinación entre grupos que operan en distintos países de habla hispana y portuguesa.
Entre los riesgos más graves figura el reemplazo automático de datos bancarios o de criptomonedas en el momento de realizar transferencias, de modo que el usuario envía fondos sin darse cuenta
Para defenderse, los expertos recomiendan: revisar y eliminar extensiones desconocidas o que pidan permisos excesivos; descargar complementos únicamente desde fuentes confiables; mantener el navegador y el sistema operativo actualizados; usar una solución de seguridad actualizada; desconfiar de correos no solicitados con adjuntos; y activar autenticación de doble factor en bancos y servicios de cripto. Además, comprobar siempre —antes de confirmar una transferencia— que los datos de destino sean correctos y, si algo parece extraño, comunicarse directamente con la entidad financiera por un canal independiente.
La aparición de JS/Spy.Banker.CV vuelve a poner en evidencia que incluso componentes aparentemente inofensivos del navegador pueden ser una puerta de entrada crítica para fraudes sofisticados; la prevención y la curiosidad (verificar permisos, revisar extensiones y desconfiar de urgencias por correo) siguen siendo las mejores barreras contra estos ataques.
