Noticias

Las extensiones falsas bloquean los navegadores para engañar a los usuarios y que se infecten ellos mismos.

por Pieter Arntz | 20 de enero de 2026
Ordenador portátil mostrando una advertencia

Los investigadores han descubierto otro método utilizado con el mismo espíritu que ClickFix: CrashFix.

Las campañas de ClickFix utilizan señuelos convincentes, históricamente pantallas de «verificación humana», para engañar al usuario y que pegue un comando del portapapeles. Tras las pantallas falsas Windows , los tutoriales en vídeo para Mac y muchas otras variantes, los atacantes han introducido ahora una extensión del navegador que lo bloquea a propósito.

Los investigadores encontraron una copia pirata de un conocido bloqueador de anuncios y lograron introducirla en la tienda oficial Chrome Store con el nombre «NexShield – Advanced Protection». En sentido estricto, bloquear el navegador proporciona cierto nivel de protección, pero no es lo que los usuarios suelen buscar.

Si los usuarios instalan la extensión del navegador, esta se comunica con nexsnield[.]com (fíjate en el error ortográfico) para rastrear instalaciones, actualizaciones y desinstalaciones. La extensión usa la API (interfaz de programación de aplicaciones) Alarms que viene Chromepara esperar 60 minutos antes de empezar con su comportamiento malicioso. Este retraso hace que sea menos probable que los usuarios se den cuenta de inmediato de la relación entre la instalación y el fallo que viene después.

Tras esa pausa, la extensión inicia un bucle de denegación de servicio que abre repetidamente conexiones al puerto chrome.runtime, agotando los recursos del dispositivo hasta que el navegador deja de responder y se bloquea.

Después de reiniciar el navegador, los usuarios ven una ventana emergente que les informa de que el navegador se ha detenido de forma anómala, lo cual es cierto pero no inesperado, y les ofrece instrucciones sobre cómo evitar que vuelva a ocurrir en el futuro.

Le muestra al usuario las ya clásicas instrucciones para abrir Win+R, pulse Ctrl+V, y pulsa Intro para «solucionar» el problema. Este es el comportamiento típico de ClickFix. La extensión ya ha colocado un comando malicioso de PowerShell o cmd en el portapapeles. Al seguir las instrucciones, el usuario ejecuta ese comando malicioso e infecta efectivamente su propio ordenador.

Basándose en comprobaciones de huellas digitales para ver si el dispositivo está unido al dominio, actualmente hay dos resultados posibles.

Si el equipo está unido a un dominio, se trata como un dispositivo corporativo y se infecta con un troyano de acceso remoto (RAT) en Python denominado ModeloRAT. En equipos no unidos a un dominio, la carga útil es actualmente desconocida, ya que los investigadores solo recibieron una respuesta «TEST PAYLOAD!!!!». Esto podría implicar un desarrollo en curso u otra huella digital que hizo que el equipo de prueba no fuera adecuado.

Cómo mantenerse seguro

En el momento de redactar este artículo, la extensión ya no estaba disponible en Chrome Store, pero sin duda volverá a aparecer con otro nombre. Por lo tanto, aquí tienes algunos consejos para mantenerte a salvo:

  • Si estás buscando un bloqueador de anuncios u otras extensiones útiles para el navegador, asegúrate de instalar las auténticas. A los ciberdelincuentes les encanta suplantar la identidad de software de confianza.
  • Nunca ejecute código o comandos copiados de sitios web, correos electrónicos o mensajes a menos que confíe en la fuente y comprenda el propósito de la acción. Verifique las instrucciones de forma independiente. Si un sitio web le indica que ejecute un comando o realice una acción técnica, consulte la documentación oficial o póngase en contacto con el servicio de asistencia antes de continuar.
  • Proteja sus dispositivos. Utilice una solución antimalware actualizada en tiempo real con un componente de protección web.
  • Infórmese sobre las técnicas de ataque en constante evolución. Comprender que los ataques pueden provenir de vectores inesperados y evolucionar ayuda a mantener la vigilancia. ¡Siga leyendo nuestro blog!

Consejo profesional: el programa gratuito Malwarebytes Browser Guard es un bloqueador de anuncios muy eficaz y te protege de sitios web maliciosos. También te avisa cuando un sitio web copia algo en tu portapapeles y añade un pequeño fragmento de código para inutilizar cualquier comando.

No nos limitamos a informar de las amenazas: las eliminamos

Los riesgos de ciberseguridad nunca deben propagarse más allá de un titular. Mantenga las amenazas alejadas de sus dispositivos descargando Malwarebytes hoy mismo.

Acerca del autor

Pieter Arntz

Pieter Arntz

Investigador de inteligencia sobre malware

Fue MVP de Microsoft en seguridad del consumidor durante 12 años consecutivos. Habla cuatro idiomas. Huele a caoba y a libros encuadernados en cuero.

ÚLTIMOS ARTÍCULOS

AI
Una mano se inclina para coger un asterisco de una contraseña escrita.

Las contraseñas generadas por IA suponen un riesgo para la seguridad.

Febrero 19, 2026

Las contraseñas generadas por IA son «muy predecibles» y no son verdaderamente aleatorias, lo que facilita su descifrado por parte de los ciberdelincuentes.

Noticias
Logotipo de Tenga

El fabricante de productos íntimos Tenga filtró datos de clientes.

Febrero 19, 2026

Un ataque de phishing contra un empleado de Tenga podría haber expuesto los datos de clientes estadounidenses. Los clientes deben estar atentos a los intentos de phishing relacionados con la sextorsión.

Filtraciones de datos
Logotipo de Betterment

La filtración de datos de Betterment podría ser peor de lo que pensábamos.

Febrero 18, 2026

Esta filtración parece ahora mucho más grave. Los datos filtrados incluyen información personal y financiera detallada que los phishers podrían utilizar.

Icono de colaborador

Colaboradores

Icono del Centro de Amenazas

Centro de amenazas

Icono Podcasts

Podcast

Icono del glosario

Glosario

Icono de estafa

Estafas