Oleada de extensiones maliciosas en Firefox: Miles de usuarios de criptomonedas en riesgo

Última actualización: 04/07/2025

  • Más de 40 extensiones falsas en Firefox suplantan billeteras de criptomonedas populares para robar datos de los usuarios.
  • La campaña utiliza identidades visuales y reseñas falsas para lograr que parezcan aplicaciones legítimas.
  • El ataque sigue activo y puede vincularse provisionalmente a un grupo de habla rusa, según analistas.
  • Recomendaciones clave: instalar solo extensiones verificadas y supervisar cualquier comportamiento anómalo.

En las últimas semanas, ha salido a la luz una campaña de ciberataques que afecta directamente a usuarios de criptomonedas que confían en el navegador Firefox. El ataque se caracteriza por el despliegue de extensiones maliciosas que, camufladas como billeteras digitales confiables, buscan capturar las credenciales de acceso de los internautas y vaciar sus fondos sin que lo perciban.

Firmas especializadas en ciberseguridad como Koi Security han soltado la voz de alarma tras detectar más de 40 extensiones fraudulentas distribuidas en la tienda oficial de Firefox. Todas ellas imitaban la apariencia y nombre de aplicaciones de criptomonedas reconocidas, como Coinbase, MetaMask, Trust Wallet, Phantom, Exodus, OKX y MyMonero, entre otras, logrando así engañar a usuarios desprevenidos mediante logotipos idénticos y valoraciones de cinco estrellas generadas artificialmente.

Cómo operan las extensiones maliciosas en Firefox

extensiones maliciosas en Firefox

El modus operandi de esta campaña resulta especialmente peligroso por su capacidad de emular la experiencia de usuario legítima. Los ciberdelincuentes han aprovechado código fuente abierto de las billeteras auténticas, clonando su estructura y añadiendo fragmentos de código diseñados para recopilar información confidencial como frases semilla y claves privadas.

Contenido exclusivo - Clic Aquí  ¿Cómo Maximizar la privacidad en ProtonMail?

Una vez instalada la extensión, al usuario le resulta prácticamente imposible distinguir una versión genuina de una alterada. La información robada es enviada directamente a servidores remotos bajo control de los atacantes, que pueden proceder a vaciar las billeteras rápidamente.

La campaña, activa desde abril y aún en curso según los investigadores, no solo utiliza identidades visuales y nombres calcados a los originales, sino que infla artificialmente las reseñas positivas para generar confianza y así ampliar su número de víctimas.

Artículo relacionado:
Extensiones maliciosas en VSCode: un nuevo vector de ataque para instalar criptomineros en Windows

Indicios que apuntan a un grupo de habla rusa

Koi Security detecta hackers rusos tras el malware de extensiones firefox criptomonedas

La labor de rastreo realizada por Koi Security ha detectado diversos elementos en ruso incrustados en los archivos de las extensiones y documentos internos hallados en los servidores utilizados para el robo de datos. Si bien la atribución no es definitiva, múltiples pistas sugieren que el ataque proviene de un grupo o actor de amenaza vinculado a Rusia.

Contenido exclusivo - Clic Aquí  Cómo deshacerse de RAMNIT

Analizando metadatos en archivos recuperados, junto a comentarios en ruso en el código de las aplicaciones fraudulentas, los expertos sostienen que la operación podría estar coordinada más allá de simples estafadores aficionados, lo que incrementa la sofisticación y peligrosidad del incidente.

Riesgos para los usuarios: por qué han funcionado estas extensiones

El gran éxito de la campaña reside en el uso de estrategias de manipulación de la confianza: no solo replican nombres y logotipos, sino que aprovechan las opciones de reseñas y valoraciones de la tienda de Firefox para legitimar sus productos falsos. Al ser la mayoría de las billeteras afectadas de código abierto, los atacantes han tenido fácil acceso para clonar las funciones visibles y añadir el código dañino sin levantar sospechas inmediatas.

Este enfoque ha permitido que muchos internautas, confiados por la apariencia y las valoraciones, instalen estos complementos sin dudarlo, lo que ha facilitado la exfiltración masiva de datos sensibles.

Artículo relacionado:
Como Ver Mis Extensiones en Chrome

Recomendaciones para minimizar el impacto de extensiones maliciosas

extensiones maliciosas en Firefox

Ante la magnitud y persistencia del ataque, los especialistas aconsejan extremar las precauciones al instalar extensiones, optando únicamente por las publicadas por desarrolladores verificados y revisando periódicamente las aplicaciones instaladas en el navegador.

Contenido exclusivo - Clic Aquí  ¿Cómo Saber si Tu Móvil Está Rastreado?

Algunos consejos esenciales son:

  • Verificar siempre la identidad y reputación del desarrollador antes de instalar cualquier extensión.
  • Sospechar de valoraciones excesivamente positivas o repetitivas que puedan haber sido manipuladas.
  • Estar atentos a solicitudes de permisos inusuales o cambios inesperados en el comportamiento de la extensión.
  • Eliminar de inmediato cualquier extensión sospechosa o que no haya sido instalada por el propio usuario.

Desde Koi Security también se recomienda tratar las extensiones con la misma cautela que cualquier otro programa, utilizando listas blancas y monitorizando exhaustivamente cualquier comportamiento extraño, además de instalar actualizaciones únicamente desde fuentes oficiales.

Este incidente pone de manifiesto la importancia de aplicar buenas prácticas de ciberseguridad en el entorno de las criptomonedas y en la gestión de las herramientas digitales. La vigilancia, la protección activa y la actualización constante son fundamentales para evitar ser víctima de estos ataques.

Artículo relacionado:
Eliminar Extensiones Malignas de Google Chrome

Deja un comentario