- Phantom Shuttle se hacía pasar por herramienta de proxy o VPN en Chrome Web Store mientras espiaba el tráfico.
- Las extensiones redirigían datos a servidores proxy controlados por atacantes y robaban credenciales sensibles.
- El ataque se centraba en unos 170 dominios de alto valor, incluidos servicios en la nube y redes sociales.
- El modelo de permisos de Chrome y la confianza en la Web Store facilitan la propagación de extensiones maliciosas.
En los últimos años se ha disparado la preocupación por las extensiones maliciosas de Google Chrome, un tipo de amenaza que aprovecha la confianza de los usuarios en la Chrome Web Store para colarse en sus navegadores. El caso más reciente que ha salido a la luz es el de Phantom Shuttle, un supuesto servicio de proxy o VPN que, en realidad, llevaba años robando datos sin levantar sospechas.
Este incidente vuelve a poner el foco en el modelo de seguridad de las extensiones del navegador, especialmente en entornos como España y el resto de Europa, donde Chrome es uno de los navegadores más usados tanto a nivel doméstico como profesional. Aunque muchas campañas se centran en usuarios de China, el tránsito internacional de dispositivos y cuentas hace que el impacto pueda extenderse con facilidad a otros países.
Qué es Phantom Shuttle y cómo se coló en Chrome Web Store
Phantom Shuttle es el nombre con el que se identifican al menos dos extensiones maliciosas publicadas en la Chrome Web Store, presentadas como herramientas para probar la conectividad, medir la velocidad de la red y ofrecer servicios de proxy o VPN. A primera vista parecían complementos legítimos, con descripciones en apariencia técnicas, dirigidas a desarrolladores, trabajadores de comercio exterior y usuarios que necesitaban probar conexiones desde diferentes ubicaciones.
Los análisis de la empresa de ciberseguridad Socket apuntan a que las primeras variantes se publicaron en 2017 y 2023, y que han estado operando de forma silenciosa durante unos ocho años. Una de ellas llegó a reunir alrededor de 2.000 usuarios y la otra en torno a 180, cifras que pueden parecer modestas, pero más que suficientes para afectar a perfiles de alto valor, como profesionales que gestionan infraestructuras en la nube o cuentas corporativas.
El gancho principal era que, además de ser una extensión gratuita en la instalación inicial, ofrecía funciones “VIP” mediante suscripción, pagadera en yuanes chinos a través del servicio Alipay. Para muchos usuarios, este pago reforzaba la sensación de estar ante un producto serio. Sin embargo, justo a partir de ese estado “VIP” es cuando la extensión desplegaba todo su potencial malicioso.
Desde Europa, un usuario podía instalar la extensión, por ejemplo durante un viaje de trabajo o al descargarla desde un equipo corporativo configurado para operar con proveedores de Asia, y ver comprometidas sus credenciales de acceso a servicios críticos sin darse cuenta de lo que estaba ocurriendo.
Cómo funcionaba el ataque: del proxy legítimo al espionaje total
Una vez instalada y activada, Phantom Shuttle mezclaba funciones aparentemente legítimas con comportamientos propios de un ataque de tipo man-in-the-middle. La clave estaba en el manejo del tráfico web del usuario, que terminaba pasando por servidores proxy controlados por los atacantes.
Los investigadores detectaron que la extensión inyectaba código malicioso en librerías JavaScript muy habituales, como jQuery y ficheros genéricos como script.js. De esta forma, se aseguraba de ejecutarse cada vez que el navegador cargaba dichas librerías, algo extremadamente frecuente en la mayoría de páginas web modernas.
Ese código insertado al comienzo de jQuery incluía un sistema propio de ofuscación y credenciales de proxy codificadas directamente dentro del código. Mediante un mecanismo de decodificación personalizado, la extensión extraía y utilizaba estas credenciales para configurar automáticamente los ajustes de proxy de Chrome.
El siguiente paso consistía en aplicar un script de auto-configuración de proxy (PAC) que indicaba al navegador qué tráfico debía pasar por los servidores de los atacantes. No todo el tráfico era redirigido: la extensión escuchaba y filtraba alrededor de 170 dominios considerados de alto valor, entre ellos plataformas de desarrollo, consolas de servicios en la nube, redes sociales populares y sitios de contenido adulto.
Durante este proceso, la extensión manipulaba las solicitudes de autenticación HTTP. Cuando un sitio requería credenciales, Phantom Shuttle inyectaba credenciales de proxy modificadas, mientras que en paralelo capturaba y reenviaba a su infraestructura de mando y control datos sensibles del usuario, como direcciones de correo, contraseñas y otros identificadores de sesión.
Qué datos robaba y por qué los atacantes apuntaban a 170 dominios clave
Lejos de limitarse a recopilar información básica, Phantom Shuttle estaba diseñada para aprovechar al máximo cada conexión valiosa. La lista de unos 170 dominios monitorizados incluía nombres tan relevantes como GitHub, Stack Overflow, Docker, plataformas de computación en la nube como AWS o Azure, proveedores de infraestructura como DigitalOcean, y compañías tecnológicas de primer nivel como Cisco, IBM o VMware.
También se encontraron en la lista redes sociales muy utilizadas en Europa, como Facebook, Instagram o Twitter (X), así como portales de contenido para adultos. El objetivo era claro: acceder a cuentas con alto potencial de abuso, desde repositorios de código y entornos de desarrollo hasta perfiles corporativos en redes sociales o consolas de administración en la nube.
Según los análisis publicados, esta extensión maliciosa podía interceptar credenciales de inicio de sesión, números de tarjeta de pago, cookies de sesión, historiales de navegación, datos de formularios, claves API y tokens de acceso. Todo ello proporciona a los atacantes una vía directa para tomar el control de servicios críticos, desplegar campañas de phishing selectivo o incluso introducir código malicioso en proyectos de software.
Para reducir las probabilidades de ser descubiertos, los atacantes excluían del espionaje la red local y los dominios asociados al propio servidor de mando y control. Así se evitaba que herramientas internas de monitorización o soluciones de seguridad corporativas detectasen un comportamiento anómalo asociado a la propia infraestructura de los ciberdelincuentes.
Además, cada pocos minutos, la extensión enviaba de manera continua al servidor de control los datos que iba recolectando: cuentas de usuario, contraseñas introducidas recientemente y otros elementos de autenticación, generando una fuga de información constante y silenciosa.
Un engaño bien construido: VPN funcional y apariencia legítima
Uno de los elementos que más inquieta a los expertos es que, pese a su comportamiento malicioso, Phantom Shuttle cumplía con parte de lo que prometía en su descripción. Es decir, actuaba como un servicio de proxy o VPN que aparentemente funcionaba de manera correcta: permitía probar la latencia, mostraba el estado de la conexión en tiempo real y daba la sensación de ser una herramienta profesional.
Este funcionamiento “normal” reforzaba la confianza de los usuarios, que veían un producto que respondía a lo que esperaban. Además, la extensión se presentaba con reseñas y valoraciones en la Chrome Web Store, lo que contribuía a la percepción de legitimidad. Muchos usuarios asumían que estar en la tienda oficial de Google era sinónimo de seguridad.
El modelo de suscripción también jugaba a favor del engaño. Al requerir un pago mensual o anual en yuanes, a través de un sistema de pago conocido en China, la extensión parecía un servicio profesional y de nicho, orientado a usuarios con necesidades específicas de proxy. Incluso algunos perfiles técnicos podían pensar que se trataba de una solución especializada más.
Mientras tanto, en segundo plano, la extensión mantenía activo su sistema de interceptación, actuando como intermediaria entre el usuario y los sitios web. El usuario creía estar protegido por una VPN, cuando en realidad cada autenticación y cada formulario sensible quedaba al alcance de los atacantes.
Desde el punto de vista de la ciberseguridad en Europa, este tipo de esquema es especialmente preocupante para empresas que permiten a sus empleados instalar extensiones por su cuenta, sin controles adicionales ni listas blancas, ya que basta un complemento malicioso para comprometer cuentas críticas.
La respuesta de Google y las carencias del modelo de permisos de Chrome
Tras la publicación de los hallazgos de Socket, Google procedió a eliminar las dos extensiones Phantom Shuttle de la Chrome Web Store. Actualmente, una búsqueda por el nombre de la extensión ya no ofrece resultados en la tienda oficial, al menos en las versiones públicas de la misma.
Pese a esa reacción, numerosos expertos señalan que el problema no se limita a un par de complementos maliciosos, sino al propio modelo de permisos y revisión de Chrome. A lo largo de los últimos años se han descubierto múltiples extensiones capaces de eludir los mecanismos de filtrado automáticos de Google, accediendo a datos extremadamente sensibles de los usuarios.
El sistema actual permite que una extensión solicite acceso al tráfico web, al historial de navegación e incluso a las credenciales asociadas a distintos servicios. Aunque el navegador muestra advertencias durante la instalación, muchos usuarios las aceptan sin leer, confiando en que, si la extensión está en la tienda oficial, habrá pasado controles suficientes.
Chrome se considera, en general, un navegador con un nivel de seguridad razonablemente alto en lo que respecta al propio motor y al manejo de vulnerabilidades de día cero. Sin embargo, los complementos se han convertido en una vía de entrada preferente para los atacantes, precisamente porque la atención de los usuarios y de muchas organizaciones está menos centrada en este componente.
Las voces críticas reclaman que Google refuerce sus sistemas de análisis estático y dinámico de extensiones, que someta a una revisión más exhaustiva a los complementos que solicitan permisos de proxy o que integran sistemas de suscripción, y que establezca mecanismos adicionales de auditoría continua para detectar cambios sospechosos en versiones futuras de las extensiones.
Riesgos para usuarios en España y Europa y cómo protegerse
Aunque Phantom Shuttle estaba principalmente orientada a usuarios chinos, el carácter global de la Web Store y de los servicios en la nube hace que este tipo de amenazas pueda afectar a cualquier región, incluida España y el resto de Europa. Un profesional europeo que trabaje con proveedores de Asia, un desarrollador que pruebe herramientas de proxy o un usuario que simplemente busque una VPN barata puede terminar instalando una extensión similar sin ser consciente del riesgo.
Entre los escenarios más delicados se encuentran aquellos en los que la extensión se instala en ordenadores que manejan cuentas corporativas, accesos a plataformas de desarrollo o consolas de administración en la nube. En estos entornos, una sola cuenta comprometida puede abrir la puerta a ataques de mayor alcance, robo de código fuente, secuestro de repositorios o intrusiones en infraestructuras críticas.
Para reducir este riesgo, los especialistas recomiendan adoptar una serie de buenas prácticas: limitar el número de extensiones instaladas al mínimo imprescindible, revisar periódicamente qué complementos se utilizan realmente y desinstalar aquellos que no sean estrictamente necesarios.
En entornos empresariales es aconsejable establecer políticas corporativas que definan listas blancas de extensiones permitidas, así como mecanismos de supervisión centralizada que detecten instalaciones no autorizadas en los navegadores de empleados. También conviene formar a los usuarios para que desconfíen de extensiones que pidan acceso completo al tráfico o al historial sin que exista una justificación clara.
A nivel individual, es importante fijarse en los permisos solicitados, en la reputación del desarrollador y en la evolución de las valoraciones, así como comprobar si organizaciones de confianza o medios especializados han alertado sobre posibles comportamientos maliciosos relacionados con una extensión concreta.
Todo este caso de Phantom Shuttle pone de relieve cómo una extensión aparentemente inocua puede convertirse en una puerta abierta al robo masivo de datos cuando se combina un modelo de permisos excesivamente amplio con revisiones automáticas insuficientes y la confianza casi ciega de muchos usuarios en la tienda oficial del navegador.