- Más de 40 extensiones fraudulentas de carteras cripto han sido detectadas en la tienda oficial de Firefox.
- Las extensiones maliciosas clonan el aspecto y comportamiento de originales como MetaMask o Coinbase para robar credenciales y fondos.
- Un grupo de ciberdelincuentes de habla rusa estaría detrás de una campaña activa desde abril de 2025.
- Las autoridades y Mozilla han implantado nuevos sistemas de alerta, pero los usuarios deben extremar precauciones.
La amenaza de las extensiones fraudulentas en navegadores como Firefox ha cobrado protagonismo en los últimos meses, especialmente entre quienes gestionan activos digitales. Si bien estos complementos han sido, durante años, herramientas útiles para mejorar la experiencia de navegación, ahora se han convertido en una vía de entrada para ataques y fraudes especialmente peligrosos.
Desde el pasado mes de abril, distintos investigadores en ciberseguridad han dado la voz de alarma sobre la proliferación de extensiones de navegador diseñadas específicamente para robar credenciales y fondos de criptomonedas. Estas extensiones, que se hacen pasar por plataformas reconocidas como Coinbase, MetaMask o Trust Wallet, son prácticamente idénticas a las originales y, en muchos casos, han logrado colarse en la tienda oficial de complementos de Firefox. El engaño resulta tan sofisticado que incluso llegan a mostrar reseñas falsas y una apariencia legítima que dificulta percibir el peligro a simple vista.
Campañas de phishing: el modus operandi de los hackers
Según múltiples informes publicados por firmas como Koi Security, en los últimos meses se han detectado más de 40 extensiones maliciosas activas en la tienda de Firefox. El objetivo principal de estas campañas es apropiarse de las frases semilla, claves de acceso y datos confidenciales de las carteras cripto de los usuarios que caen en la trampa. Los ciberdelincuentes aprovechan el carácter de código abierto de muchas extensiones originales para clonar el código, modificarlo y añadir su propia lógica maliciosa, de modo que la extensión parece funcionar con normalidad mientras, en realidad, está enviando información sensible a servidores bajo su control.
Las investigaciones apuntan a la implicación de actores de habla rusa, identificados por comentarios y metadatos hallados en los archivos y servidores utilizados en la operación. La actividad maliciosa no ha dejado de evolucionar, añadiéndose nuevas extensiones fraudulentas a medida que las anteriores son bloqueadas o eliminadas.
Cómo afectan estas extensiones al usuario de criptomonedas
El principal riesgo para quienes instalan una de estas extensiones falsificadas es el robo total e irreversible de los fondos almacenados en la cartera afectada. Al capturar la información de acceso, los atacantes pueden vaciar las cuentas y transferir los activos digitales a otras billeteras, imposibilitando su recuperación.
El problema es aún mayor porque, en buena parte de los casos, las extensiones fraudulentas llegan a camuflarse perfectamente entre las legítimas. Sus nombres, logotipos, descripción y hasta las opiniones de otros usuarios (creadas mediante bots) refuerzan la ilusión de legitimidad. Esto ha provocado que la confianza en la propia tienda oficial de Firefox se vea comprometida.
Ante esta situación, tanto Mozilla como las compañías responsables de las criptocarteras han reforzado sus sistemas de detección y notificación de riesgos, aunque aún existen casos en los que las extensiones engañosas consiguen permanecer activas durante semanas antes de ser eliminadas.
Consejos básicos para mantener la seguridad con extensiones
La mejor estrategia para evitar ser víctima de estos fraudes consiste en adoptar una precaución extrema al instalar nuevas extensiones. Aunque provengan de la tienda oficial, es fundamental verificar el origen, consultar la reputación del desarrollador y desconfiar de aplicaciones recién publicadas, con pocas descargas o opiniones sospechosas.
Asimismo, se recomienda no almacenar frases semilla ni claves privadas en el navegador o en dispositivos conectados a Internet. Utilizar carteras físicas (hardware wallets), implementar métodos de doble autenticación y mantener actualizado el navegador y otros sistemas de seguridad ayuda a reducir significativamente el riesgo.
En caso de sospechar que se ha instalado una extensión potencialmente peligrosa, el primer paso es eliminarla de inmediato y cambiar todas las contraseñas relacionadas. También es conveniente realizar un análisis de seguridad en el equipo y trasladar los fondos a una cartera nueva, asegurando un entorno protegido.
Respuesta de Mozilla y retos en la lucha contra el fraude
Mozilla ha comunicado que está consciente de la amenaza que representan las extensiones fraudulentas y ha implementado herramientas automáticas para identificar y bloquear rápidamente complementos sospechosos. Sin embargo, reconocen que los ciberdelincuentes buscan constantemente nuevas formas de evitar los sistemas de detección, por lo que la lucha contra estas amenazas es un proceso continuo.
Ya han sido eliminadas varias extensiones peligrosas de la tienda de Firefox, y el equipo de seguridad continúa revisando otras todavía presentes, en busca de código malicioso. Mozilla recomienda descargar solo extensiones de desarrolladores verificados y, si es posible, emplear listas blancas de extensiones permitidas para reducir riesgos.
La cooperación entre plataformas, autoridades y usuarios resulta fundamental para mejorar los mecanismos de detección y respuestas frente a campañas de fraude. La creciente delincuencia relacionada con las criptomonedas evidencia que la educación y vigilancia del usuario siguen siendo las herramientas más efectivas para la protección.
Es importante mantener siempre la vigilancia al gestionar activos digitales y recordar que ni siquiera las tiendas oficiales garantizan una seguridad absoluta. Revisar la procedencia y reputación de las extensiones, así como seguir buenas prácticas de protección, puede marcar la diferencia entre disfrutar de la tecnología o ser víctima de ataques cibernéticos.
