Una extensión del navegador anunciada como una billetera Ethereum permaneció accesible en la Web Store a pesar de que los Chrome investigadores la identificaron como una herramienta diseñada para robar criptomonedas. La extensión, llamada Safery, apareció en los resultados de búsqueda de herramientas de billetera y se presentó como una opción legítima para los usuarios que buscan administrar activos digitales. Los analistas de seguridad descubrieron que Safery había estado disponible durante más de un año y pudo recopilar información confidencial de los usuarios que lo instalaron.
Los investigadores informaron que la extensión solicitó acceso a las frases iniciales de la billetera, que son los principales códigos de recuperación para las cuentas de criptomonedas. Una vez que un usuario ingresó la frase, la extensión transmitió la información en forma codificada a través de transacciones en la cadena de bloques Sui. Los datos se incrustaron en direcciones de transferencia específicas vinculadas a la billetera del atacante. Al reconstruir la frase semilla de estas transacciones, el operador obtuvo el control total de las cuentas criptográficas de la víctima y pudo retirar fondos sin ser detectado hasta que el titular de la cuenta notara la actividad.
La presencia continua de la extensión en la Chrome tienda web planteó preguntas sobre la efectividad de la supervisión del mercado. Los usuarios a menudo asumen que una extensión que figura en una plataforma oficial ha sido sometida a una revisión adecuada. En este caso, Safery mantuvo una posición entre los primeros resultados para las búsquedas de billeteras Ethereum, lo que aumenta la probabilidad de que los usuarios lo instalen sin verificar sus antecedentes. Aunque la lista había sido marcada públicamente, Safery seguía siendo accesible para su descarga en el momento de los hallazgos de los investigadores.
Riesgos para los usuarios de criptomonedas y medidas para reducir la exposición
Las frases semilla representan el acceso completo a una billetera de criptomonedas. Cuando esta información se ve comprometida, los atacantes pueden transferir activos a cuentas externas con poca resistencia. El método de Safery para ocultar datos robados dentro de las transacciones de blockchain hizo que la actividad fuera difícil de detectar incluso para usuarios experimentados. Este enfoque pasó por alto las advertencias de seguridad comunes porque no se basó en malware visible ni en la transmisión directa de la red. La extensión parecía funcional en la superficie, lo que ayudó a ocultar su propósito.
Incidentes como este resaltan los riesgos asociados con las extensiones del navegador, particularmente aquellas que manejan herramientas financieras o claves privadas. Los usuarios confían en estas extensiones por conveniencia, pero es posible que no consideren cuánto acceso brindan a la información confidencial. Una extensión maliciosa con permisos para ver o modificar los datos de la billetera representa una amenaza significativa. Incluso una pequeña cantidad de instalaciones puede resultar en pérdidas sustanciales si los usuarios almacenan grandes tenencias o administran varias cuentas a través de la plataforma comprometida.
La protección de las cuentas de criptomonedas requiere un control cuidadoso tanto de la información de la billetera como de los entornos del navegador. Los usuarios deben verificar el desarrollador de cualquier extensión y verificar si tiene un historial transparente, un registro de actualización consistente o un compromiso visible de clientes reales. Las extensiones con poca información sobre el editor o las que aparecieron recientemente en los rankings de búsqueda deben tratarse con cautela. Las reseñas pueden ofrecer pistas, pero no siempre son confiables porque pueden ser fabricadas.
Los usuarios también deben supervisar los permisos solicitados por una extensión. Si una herramienta de billetera solicita un amplio acceso a los datos del navegador o permisos no relacionados con sus funciones principales, esto puede indicar un comportamiento sospechoso. La configuración del navegador debe revisarse regularmente para eliminar las extensiones no utilizadas y limitar la exposición. La creación de un perfil de navegador separado para la actividad criptográfica puede reducir el riesgo al aislar las herramientas financieras de la navegación general.
Para los usuarios que almacenan activos digitales sustanciales, las billeteras de hardware ofrecen una mayor seguridad. Los dispositivos de hardware evitan que las frases semilla se expongan en una ventana del navegador o en la interfaz de extensión. Almacenan la frase de recuperación fuera de línea, lo que reduce el riesgo que representa el software malicioso. Las herramientas basadas en navegador aún se pueden usar para pequeñas transacciones o pruebas, pero la información confidencial no debe ingresarse en extensiones de fuentes desconocidas.
Los mercados que distribuyen extensiones de navegador enfrentan desafíos continuos para identificar y eliminar listados maliciosos. El caso de Safery muestra la facilidad con la que una extensión dañina puede permanecer en línea y atraer a los usuarios a través de los resultados de búsqueda. Hasta que mejoren los procesos de revisión automatizados y manuales, los usuarios no pueden asumir que una lista es segura únicamente porque aparece en una tienda oficial. Un enfoque cauteloso, combinado con un monitoreo regular de la cuenta, sigue siendo esencial para cualquier persona que administre activos digitales.