Las noticias han aparecido en los titulares durante el fin de semana sobre la extensa campaña de ataque dirigida a las extensiones del navegador e inyectándoles código malicioso para robar las credenciales de los usuarios. Actualmente, se ha descubierto que más de 25 extensiones, con una base instalada de más de dos millones de usuarios, están comprometidas y los clientes ahora están trabajando para determinar su exposición (LayerX, una de las empresas involucradas en la protección contra extensiones maliciosas, ofrece una extensión gratuita). servicio para auditar y remediar la exposición de las organizaciones: para registrarse, haga clic aquí).
Si bien este no es el primer ataque dirigido a extensiones de navegador, el alcance y la sofisticación de esta campaña son un paso significativo en términos de las amenazas que representan las extensiones de navegador y los riesgos que representan para las organizaciones.
Ahora que se han publicado los detalles del ataque, los usuarios y las organizaciones deben evaluar su exposición al riesgo de este ataque y de las extensiones del navegador en general. Este artículo tiene como objetivo ayudar a las organizaciones a comprender el riesgo que representan las extensiones del navegador, las implicaciones de este ataque y los pasos prácticos que pueden tomar para protegerse (para obtener una descripción general detallada, consulte un guía detallada sobre protección contra extensiones de navegador maliciosas).
Las extensiones del navegador son la parte más vulnerable de la seguridad web
Las extensiones del navegador se han convertido en una parte omnipresente de la experiencia de navegación y muchos usuarios suelen utilizarlas para corregir la ortografía, buscar cupones de descuento, fijar notas y otros usos de productividad. Sin embargo, la mayoría de los usuarios no se dan cuenta de que a las extensiones del navegador se les conceden habitualmente amplios permisos de acceso que pueden provocar una grave exposición de los datos si esos permisos caen en las manos equivocadas.
Los permisos de acceso comunes solicitados por las extensiones incluyen el acceso a datos confidenciales del usuario, como cookies, identidades, datos de navegación, entrada de texto y más, lo que puede provocar la exposición de datos en el punto final local y el robo de credenciales de las identidades de los usuarios.
Esto es particularmente un riesgo para las organizaciones, ya que muchas organizaciones no controlan qué extensiones de navegador instalan los usuarios en sus terminales, y el robo de credenciales de una cuenta corporativa puede provocar exposición y una violación de datos a nivel organizacional.
Una amenaza nueva y más peligrosa:
Aunque las consecuencias de esta campaña de ataque aún se están desarrollando y aún se están descubriendo extensiones comprometidas, hay una serie de conclusiones que ya se pueden observar:
- Las extensiones del navegador se están convirtiendo en una importante amenaza. Esta campaña dirigida a múltiples extensiones demuestra que los piratas informáticos se están dando cuenta del amplio acceso otorgado a muchos permisos y de la falsa sensación de seguridad con la que operan muchos usuarios, y están apuntando explícitamente a las extensiones del navegador como vehículos para el robo de datos.
- Las extensiones GenAI, Productividad y VPN fueron el objetivo particular: La lista de extensiones afectadas indica que las extensiones que se ocupan de VPN, procesamiento de datos (como la toma de notas o la seguridad de los datos, o extensiones habilitadas para IA) fueron el objetivo principal. Es demasiado pronto para decir si esto se debe a que estas extensiones tienden a ser más populares (y por lo tanto más atractivas para un atacante en términos de alcance) o a los permisos que se otorgan a estas extensiones y que los atacantes quieren explotar.
- Las extensiones públicas en Chrome Store están expuestas. Parece que las extensiones se vieron comprometidas como resultado de una campaña de phishing dirigida a los editores de extensiones del navegador en Chrome Web Store. Los detalles sobre a quién dirigirse aparentemente se recopilaron de la propia tienda web, que incluye detalles del autor de la extensión, incluida su dirección de correo electrónico. Si bien Chrome Web Store es la fuente de extensiones más conocida, no es la única y algunas extensiones de nivel empresarial se implementan directamente.
Cómo proteger su organización:
Si bien muchos usuarios y organizaciones no son conscientes de los riesgos potenciales asociados con las extensiones del navegador, existen una serie de acciones clave que pueden tomar para protegerse:
- Auditar todas las extensiones: Muchas organizaciones no tienen una imagen completa de todas las extensiones instaladas en su entorno. Muchas organizaciones permiten a sus usuarios utilizar cualquier navegador (o navegadores) que deseen utilizar e instalar las extensiones que deseen. Sin embargo, sin una imagen completa de todas las extensiones en todos los navegadores de todos los usuarios, es imposible comprender la superficie de amenazas de su organización. Es por eso que una auditoría completa de todas las extensiones del navegador es un requisito fundamental para protegerse contra extensiones maliciosas.
- Categorizar extensiones: Como lo demuestra esta campaña de ataque, dirigida principalmente a extensiones de productividad, VPN y IA, algunas categorías de extensiones son más susceptibles a la vulnerabilidad que otras. Parte de esto se debe a la popularidad de ciertos tipos de extensiones que las hace atractivas para los ataques debido a su amplia base de usuarios (como varias extensiones de productividad), y en parte a los permisos otorgados a dichas extensiones, que los piratas informáticos pueden desear exploit (como el acceso a la red y a los datos de navegación proporcionados a las extensiones VPN, por ejemplo). Es por eso que categorizar las extensiones es una práctica útil para evaluar la postura de seguridad de las extensiones del navegador.
- Enumerar permisos de extensión: Mientras entendemos cual Las extensiones instaladas en entornos corporativos son una cara de la moneda, la otra cara de la moneda es la comprensión. qué esas extensiones pueden hacer. Esto se hace enumerando sus permisos de acceso precisos y enumerando toda la información a la que potencialmente pueden acceder.
- Evaluar el riesgo de extensión: Una vez que comprenden qué permisos han instalado en los puntos finales corporativos y la información que estas extensiones pueden acceder (a través de sus permisos), las organizaciones deben evaluar el riesgo que representa cada extensión individual. Una evaluación de riesgos integral debe abarcar tanto el alcance del permiso de la extensión (es decir, lo que puede hacer), como también parámetros externos como su reputación, popularidad, editor, método de instalación y más (es decir, cuánto confiamos en ella). . Estos parámetros deben combinarse en una puntuación de riesgo unificada para cada extensión.
- Aplicar una aplicación de la ley adaptativa y basada en el riesgo: Finalmente, teniendo en cuenta toda la información que tienen a mano, las organizaciones deben aplicar políticas de cumplimiento adaptativas y basadas en riesgos adaptadas a sus usos, necesidades y perfil de riesgo. Pueden definir políticas para bloquear extensiones que tienen ciertos permisos (por ejemplo, acceso a cookies) o definir reglas más complejas adaptadas a su caso de uso específico (por ejemplo, bloquear extensiones de IA y VPN con una puntuación de riesgo “alto”).
Si bien las extensiones de navegador ofrecen muchos beneficios de productividad, también amplían la superficie de amenazas y el riesgo de exposición de las organizaciones. La reciente campaña de ataque dirigida a extensiones de navegador con código malicioso debería ser una llamada de atención para que las organizaciones definan su enfoque para protegerse contra extensiones de navegador maliciosas y comprometidas.
haga clic aquí para descargar una guía completa sobre protección contra extensiones de navegador maliciosas para ayudar a las organizaciones a comprender completamente la amenaza, por qué las soluciones existentes no brindan una cobertura adecuada y cómo pueden protegerse.
About the Author
