¿Qué pasó?
El equipo de seguridad de Microsoft descubrió y eliminó 119 extensiones maliciosas de la tienda oficial de Edge que llevaban años robando contraseñas, secuestrando sesiones de navegador y generando fraude publicitario. La operación, bautizada como StegoAd, estaba activa desde 2021 y había acumulado más de 2.6 millones de descargas.
Lo más preocupante: las extensiones funcionaban exactamente como prometían bloqueadores de anuncios, herramientas de PDF, descargadores de video, apps del clima, mientras escondían código malicioso dentro de archivos de imagen (PNG, WebP) y fuentes tipográficas (WOFF2) mediante una técnica llamada esteganografía. El malware no se activaba hasta 3 a 5 días después de la instalación, lo que dificultaba su detección.
En Código Vigía ya habíamos documentado un caso similar en Chrome hace apenas dos semanas. El patrón se repite: extensiones que parecen inofensivas, publicadas desde decenas de cuentas de desarrollador distintas (más de 90 en este caso), que comparten la misma infraestructura y el mismo objetivo.
¿Por qué importa para tu empresa?
Edge es el navegador que viene preinstalado en cada computadora con Windows. En muchas PyMEs mexicanas, los empleados instalan extensiones sin supervisión ni aprobación del área de TI. Una sola extensión comprometida puede entregar las credenciales de Google Workspace, WordPress o cualquier plataforma web que use tu equipo.
Microsoft documentó toda la operación en un reporte técnico que incluye la lista completa de las 119 extensiones. La operación también tenía extensiones en Chrome y Firefox, así que el problema no se limita a un solo navegador.
Qué hacer ahora
Esta semana: Abre Edge en cada equipo de tu empresa, ve a edge://extensions y revisa qué extensiones están instaladas. Elimina cualquiera que no reconozcas o que tu equipo de TI no haya aprobado. Haz lo mismo en Chrome (chrome://extensions). Si encuentras alguna de la lista de Microsoft, cambia inmediatamente las contraseñas de Google y WordPress de ese equipo.
Este mes: Implementa una política que requiera aprobación antes de instalar extensiones en navegadores corporativos. Si no tienes equipo de TI dedicado, un programa de concientización en ciberseguridad ayuda a que tus empleados identifiquen herramientas riesgosas antes de instalarlas. Combínalo con monitoreo continuo de los endpoints para detectar comportamiento anómalo en navegadores.
¿Sabes qué extensiones tienen instaladas los equipos de tu empresa? Si la respuesta es no, ese es tu primer problema. Agenda un diagnóstico gratuito de 30 minutos en codigovigia.com/contactanos sin compromisos, sin tecnicismos.