Lima, octubre de 2025.- Investigadores de ESET Latinoamérica detectaron una extensión maliciosa para Google Chrome que simula ser una herramienta de seguridad, pero en realidad roba información sensible, incluyendo datos bancarios y de billeteras virtuales, permitiendo el desvío de fondos hacia cuentas controladas por cibercriminales.
El Laboratorio de Investigación de ESET Latinoamérica, compañía líder en detección proactiva de amenazas, identificó este código malicioso que afecta principalmente a sistemas operativos Windows. Según los especialistas, el malware se presenta como una supuesta extensión de seguridad para Chrome y es detectado por las soluciones de ESET como JS/Spy.Banker.CV, un infostealer diseñado para extraer datos confidenciales de las víctimas.
Cómo se propaga el malware
De acuerdo con el informe de ESET, esta amenaza se distribuye en la región —especialmente en México— mediante archivos comprimidos enviados por correo electrónico que aparentan provenir de instituciones financieras reconocidas. En el código malicioso se hallaron variables y textos en portugués, lo que evidencia que los ataques trascienden fronteras y podrían afectar a otros países de América Latina.
Una vez instalada, la extensión tiene la capacidad de detectar cuando el usuario accede a un sitio financiero. Al hacerlo, modifica el DOM (Document Object Model) del navegador, alterando visualmente el contenido y mostrando formularios falsos con apariencia legítima. Los datos ingresados por el usuario son enviados directamente a servidores controlados por los atacantes.
Además, el malware puede reemplazar datos de billeteras de criptomonedas y cuentas bancarias por los pertenecientes a los ciberdelincuentes, lo que permite el desvío inmediato de fondos.
Robo de datos y manipulación visual
“Estamos ante un infostealer con capacidad de robar información sensible de una víctima cuando completa un formulario en línea. Su habilidad para modificar billeteras y datos de pago demuestra que los cibercriminales buscan un rédito financiero directo. Esta amenaza trasciende fronteras y aprovecha la reputación de instituciones financieras en toda la región”, explica Mario Micucci, Investigador de Seguridad Informática de ESET Latinoamérica.
Durante la fase de análisis, el equipo observó que la extensión maliciosa incluía dos archivos JavaScript diseñados para robar datos, manipular la visualización de sitios web y exfiltrar información a servidores de comando y control (C2). También se identificaron patrones comunes en páginas relacionadas con bancos, como los términos “CPF”, “CNPJ” o “valor”, utilizados para inyectar lógica maliciosa que engaña al usuario y sustituye los datos legítimos por los del atacante.
Micucci advierte que la amenaza persiste en el navegador afectado:
“Las muestras que contienen la extensión operan de forma sincronizada. Mientras una recolecta datos sensibles, la otra manipula el entorno visual del usuario para inducir errores o desviar transferencias. Cada vez que la víctima utiliza Chrome, el malware se ejecuta nuevamente, canalizando la información a dominios maliciosos comunes”, detalla el especialista.
Medidas de prevención y seguridad
ESET resalta que el uso de técnicas avanzadas de manipulación visual y evasión hace que este tipo de ataques sean difíciles de detectar. Por ello, recomienda a los usuarios verificar las extensiones instaladas en sus navegadores y asegurarse de que provengan de fuentes confiables antes de instalarlas. También es clave mantener los sistemas actualizados y utilizar soluciones de seguridad con detección proactiva.
La compañía comparte más detalles de la investigación en su portal corporativo:
https://www.welivesecurity.com/es/investigaciones/malware-extension-chrome-robo-datos-bancarios/
Además, invita a escuchar Conexión Segura, su podcast especializado en temas de seguridad informática, donde abordan los casos y tendencias más recientes en ciberseguridad.