El ecosistema de Google Chrome en Argentina y el mundo se encuentra bajo una nueva amenaza de ciberseguridad este enero de 2026. Investigadores han detectado una sofisticada campaña de malware basada en extensiones maliciosas que no solo espían la navegación, sino que tienen la capacidad de “secuestrar” el navegador, bloquear funciones de seguridad y extraer credenciales bancarias y redes sociales en tiempo real.
Este tipo de ataque, conocido técnicamente como browser hijacking, ha evolucionado para evadir los controles tradicionales de la Chrome Web Store, camuflándose bajo herramientas de apariencia inofensiva.
El modus operandi: NexShield y el ataque ClickFix
Una de las amenazas más recientes y peligrosas detectadas es NexShield, una extensión que se hace pasar por una versión ligera del popular bloqueador de anuncios uBlock Origin. Una vez instalada, esta herramienta utiliza una técnica denominada ClickFix.
El proceso de infección es engañoso: la extensión provoca fallos simulados en el navegador, saturando la memoria y el procesador hasta que la aplicación parece “colgarse”. En ese momento, muestra un aviso de seguridad falso sugiriendo un escaneo del sistema. Si el usuario acepta, se ejecuta un script que otorga a los atacantes control total sobre el equipo, permitiendo el robo de cookies de sesión y contraseñas guardadas.
Stanley: el kit de malware que “clona” sitios web
Otra detección crítica de este mes es el toolkit Stanley. Este software malicioso permite a los ciberdelincuentes crear extensiones que superponen una capa invisible (iframe) sobre sitios legítimos, como bancos o plataformas de criptomonedas (Binance, Coinbase).
Lo más alarmante de Stanley es su capacidad de persistencia:
- Engaño visual: Aunque el usuario ve la URL correcta en la barra de direcciones (por ejemplo, el sitio oficial de su banco), en realidad está interactuando con una réplica controlada por el hacker.
- Captura de datos: Todo lo que se tipea en los formularios de inicio de sesión es enviado directamente a servidores externos.
- Evasión de filtros: Estas extensiones están diseñadas específicamente para pasar las revisiones automáticas de Google, lo que las mantiene activas en la tienda oficial durante semanas.
Cómo saber si tu navegador fue secuestrado
Para los usuarios en Argentina, donde el uso de home banking y billeteras virtuales es masivo, identificar estas señales es vital:
- Cambio del motor de búsqueda: Si al buscar algo en la barra de direcciones terminás en sitios desconocidos o llenos de publicidad.
- Extensiones que no instalaste: Aparición de complementos con nombres genéricos como “Web Speed Test”, “PDF Manager” o “Video Downloader”.
- Imposibilidad de abrir la configuración: Muchas de estas extensiones maliciosas bloquean el acceso a la pestaña de chrome://extensions para evitar ser eliminadas.
- Consumo excesivo de recursos: Si el ventilador de tu computadora se acelera sin razón aparente al abrir el navegador.
Guía de protección y limpieza
Si sospechás que tu navegador está comprometido, seguí estos pasos de inmediato:
- Eliminación manual: Escribí chrome://extensions en la barra de direcciones. Si ves alguna extensión sospechosa o que no recordás haber instalado, hacé clic en Quitar.
- Restablecer configuración: En el menú de Configuración de Chrome, seleccioná “Restablecer configuración y limpiar”. Esto devolverá el motor de búsqueda y la página de inicio a sus valores originales.
- Cerrar sesiones activas: Cambiá tus contraseñas principales (email y banco) desde otro dispositivo y activá siempre la autenticación de dos factores (2FA), preferentemente mediante apps como Google Authenticator y no por SMS.
- Verificar permisos: Antes de instalar cualquier complemento nuevo, revisá que no pida permiso para “leer y modificar todos tus datos en los sitios web que visites” a menos que sea estrictamente necesario.
