- Más de 40 extensiones falsas en Firefox suplantan billeteras de criptomonedas populares para robar datos de los usuarios.
- La campaña utiliza identidades visuales y reseñas falsas para lograr que parezcan aplicaciones legítimas.
- El ataque sigue activo y puede vincularse provisionalmente a un grupo de habla rusa, según analistas.
- Recomendaciones clave: instalar solo extensiones verificadas y supervisar cualquier comportamiento anómalo.

En las últimas semanas, ha salido a la luz una campaña de ciberataques que afecta directamente a usuarios de criptomonedas que confían en el navegador Firefox. El ataque se caracteriza por el despliegue de extensiones maliciosas que, camufladas como billeteras digitales confiables, buscan capturar las credenciales de acceso de los internautas y vaciar sus fondos sin que lo perciban.
Firmas especializadas en ciberseguridad como Koi Security han soltado la voz de alarma tras detectar más de 40 extensiones fraudulentas distribuidas en la tienda oficial de Firefox. Todas ellas imitaban la apariencia y nombre de aplicaciones de criptomonedas reconocidas, como Coinbase, MetaMask, Trust Wallet, Phantom, Exodus, OKX y MyMonero, entre otras, logrando así engañar a usuarios desprevenidos mediante logotipos idénticos y valoraciones de cinco estrellas generadas artificialmente.
Cómo operan las extensiones maliciosas en Firefox
El modus operandi de esta campaña resulta especialmente peligroso por su capacidad de emular la experiencia de usuario legítima. Los ciberdelincuentes han aprovechado código fuente abierto de las billeteras auténticas, clonando su estructura y añadiendo fragmentos de código diseñados para recopilar información confidencial como frases semilla y claves privadas.
Una vez instalada la extensión, al usuario le resulta prácticamente imposible distinguir una versión genuina de una alterada. La información robada es enviada directamente a servidores remotos bajo control de los atacantes, que pueden proceder a vaciar las billeteras rápidamente.
La campaña, activa desde abril y aún en curso según los investigadores, no solo utiliza identidades visuales y nombres calcados a los originales, sino que infla artificialmente las reseñas positivas para generar confianza y así ampliar su número de víctimas.
Indicios que apuntan a un grupo de habla rusa
La labor de rastreo realizada por Koi Security ha detectado diversos elementos en ruso incrustados en los archivos de las extensiones y documentos internos hallados en los servidores utilizados para el robo de datos. Si bien la atribución no es definitiva, múltiples pistas sugieren que el ataque proviene de un grupo o actor de amenaza vinculado a Rusia.
Analizando metadatos en archivos recuperados, junto a comentarios en ruso en el código de las aplicaciones fraudulentas, los expertos sostienen que la operación podría estar coordinada más allá de simples estafadores aficionados, lo que incrementa la sofisticación y peligrosidad del incidente.
Riesgos para los usuarios: por qué han funcionado estas extensiones
El gran éxito de la campaña reside en el uso de estrategias de manipulación de la confianza: no solo replican nombres y logotipos, sino que aprovechan las opciones de reseñas y valoraciones de la tienda de Firefox para legitimar sus productos falsos. Al ser la mayoría de las billeteras afectadas de código abierto, los atacantes han tenido fácil acceso para clonar las funciones visibles y añadir el código dañino sin levantar sospechas inmediatas.
Este enfoque ha permitido que muchos internautas, confiados por la apariencia y las valoraciones, instalen estos complementos sin dudarlo, lo que ha facilitado la exfiltración masiva de datos sensibles.
Recomendaciones para minimizar el impacto de extensiones maliciosas
Ante la magnitud y persistencia del ataque, los especialistas aconsejan extremar las precauciones al instalar extensiones, optando únicamente por las publicadas por desarrolladores verificados y revisando periódicamente las aplicaciones instaladas en el navegador.
Algunos consejos esenciales son:
- Verificar siempre la identidad y reputación del desarrollador antes de instalar cualquier extensión.
- Sospechar de valoraciones excesivamente positivas o repetitivas que puedan haber sido manipuladas.
- Estar atentos a solicitudes de permisos inusuales o cambios inesperados en el comportamiento de la extensión.
- Eliminar de inmediato cualquier extensión sospechosa o que no haya sido instalada por el propio usuario.
Desde Koi Security también se recomienda tratar las extensiones con la misma cautela que cualquier otro programa, utilizando listas blancas y monitorizando exhaustivamente cualquier comportamiento extraño, además de instalar actualizaciones únicamente desde fuentes oficiales.
Este incidente pone de manifiesto la importancia de aplicar buenas prácticas de ciberseguridad en el entorno de las criptomonedas y en la gestión de las herramientas digitales. La vigilancia, la protección activa y la actualización constante son fundamentales para evitar ser víctima de estos ataques.
Soy un apasionado de la tecnología que ha convertido sus intereses «frikis» en profesión. Llevo más de 10 años de mi vida utilizando tecnología de vanguardia y trasteando todo tipo de programas por pura curiosidad. Ahora me he especializado en tecnología de ordenador y videojuegos. Esto es por que desde hace más de 5 años que trabajo redactando para varias webs en materia de tecnología y videojuegos, creando artículos que buscan darte la información que necesitas con un lenguaje entendible por todos.
Si tienes cualquier pregunta, mis conocimientos van desde todo lo relacionado con el sistema operativo Windows así como Android para móviles. Y es que mi compromiso es contigo, siempre estoy dispuesto a dedicarte unos minutos y ayudarte a resolver cualquier duda que tengas en este mundo de internet.