FreeVPN.One: la extensión de Chrome que espía datos con capturas

Última actualización: agosto 23, 2025
Autor: Prodad Software
  • KOI Security detecta que FreeVPN.One realiza capturas de pantalla y las envía a un servidor externo.
  • La extensión adjunta URL, ID de pestaña e identificador de usuario a cada captura, pese a prometer privacidad.
  • El comportamiento comenzó tras actualizaciones desde abril y se reforzó en julio con cifrado.
  • Con más de 100.000 usuarios y verificación en la tienda, se recomiendan medidas inmediatas: desinstalar y cambiar contraseñas.

Extensión de Chrome que espía datos

Una investigación de KOI Security ha puesto bajo el foco a FreeVPN.One, una extensión de Chrome que espía datos mientras el usuario navega. Pese a presentarse como VPN de privacidad y lucir una insignia de verificación en la Chrome Web Store, supera las 100.000 instalaciones y muestra un comportamiento incompatible con lo que promete.

Según los hallazgos, la extensión realiza capturas de pantalla de la actividad del navegador y las sube a una infraestructura controlada por sus desarrolladores, junto a metadatos que permiten identificar la sesión. Este proceder contradice los mensajes comerciales sobre no recopilar datos personales y obliga a extremar la precaución con cualquier complemento del navegador.

Qué han descubierto los investigadores

Una vez instalada, FreeVPN.One activa en segundo plano un disparador que toma capturas de pantalla sin consentimiento de lo que el usuario ve, ya sea una web, una hoja de cálculo o el panel de su banco. Todo ocurre sin interacción ni avisos claros.

Con cada imagen, la extensión adjunta la URL abierta, el ID de la pestaña y un identificador único de usuario, y envía ese paquete a un servidor externo. De este modo, las capturas quedan asociadas a una sesión concreta y a un contexto de navegación preciso.

En su ficha pública se sugiere que las capturas solo se activarían con la función de «detección de amenazas con IA», pero los análisis apuntan a que se producen incluso con dicha opción deshabilitada. Es decir, la recolección se mantiene al margen de la configuración visible para el usuario.

Cómo opera el espionaje y su evolución

Las capturas se realizan poco después de cargar cada página, cuando el contenido ya se ha renderizado, algo que maximiza la información obtenida. Al ser a pantalla completa, pueden incluir contraseñas visibles, códigos de un solo uso, paneles financieros, mensajes privados o información de trabajo.

Además, los investigadores señalan permisos excesivos para una extensión de este tipo: acceso a ubicación y a detalles del dispositivo durante el arranque, datos que también se envían fuera del navegador.

Este patrón no habría estado presente desde el inicio. La línea temporal sugiere que en abril se introdujeron cambios (v3.0.3) que habilitaron permisos clave; a partir de julio (v3.1.3) se activó la toma sistemática de capturas, y en una versión posterior (v3.1.4) se añadió cifrado para dificultar el análisis del tráfico.

Reacción del desarrollador y situación en la tienda

El desarrollador ha defendido que las capturas se limitarían a dominios sospechosos. Sin embargo, las pruebas de los analistas muestran registros también en sitios completamente comunes, lo que desmonta esa explicación.

La extensión mantiene una insignia de verificación en la Chrome Web Store y suma más de 100.000 usuarios, un hecho que reabre el debate sobre cómo se revisan los complementos y qué implica realmente esa verificación. Conviene recordar que no equivale a una auditoría plena de privacidad.

Riesgos para los usuarios

Si has utilizado FreeVPN.One, pueden haberse expuesto datos altamente sensibles, con impacto directo en tu seguridad digital y financiera.

  • Credenciales y contraseñas visibles en pantalla, además de tokens y códigos temporales.
  • Información bancaria y movimientos en paneles de entidades financieras.
  • Documentos y datos corporativos abiertos en el navegador (hojas, informes, paneles internos).
  • Mensajes personales e imágenes, así como hábitos de navegación e intereses.

Qué hacer si la tienes instalada

Ante la evidencia de comportamiento malicioso, los expertos recomiendan actuar con celeridad y orden para cortar el riesgo y mitigar daños.

  • Desinstala inmediatamente la extensión desde chrome://extensions/ y cierra el navegador.
  • Elimina caché y cookies y, si es posible, inicia Chrome con un perfil limpio.
  • Cambia las contraseñas de todos los servicios a los que accediste mientras la extensión estuvo activa y habilita 2FA.
  • Revoca sesiones y tokens en Google, redes sociales, correo, banca y herramientas de trabajo.
  • Revisa el resto de extensiones y sus permisos; desinstala las que no uses o no confíes.
  • Supervisa tus cuentas financieras y configura alertas de actividad.
  • Denuncia la extensión desde la Chrome Web Store para ayudar a su retirada.

Como pauta general, prioriza las funciones nativas del navegador para privacidad y seguridad, instala solo complementos imprescindibles y revisa qué permisos solicitan y a qué dominios se conectan.

Cómo identificar comportamientos anómalos en extensiones

Más allá de este caso, hay señales que ayudan a detectar una extensión potencialmente problemática y reforzar tu higiene digital.

  • Permisos desproporcionados respecto a la función que promete.
  • Consumo inusual de CPU, memoria o tráfico en segundo plano.
  • Conexiones frecuentes a dominios opacos o recién registrados.
  • Valoraciones contradictorias o genéricas en la tienda, con textos repetidos.

El caso de FreeVPN.One ilustra cómo una herramienta de privacidad puede convertirse en un riesgo si cambia su código con el tiempo: conviene auditar periódicamente lo que instalamos, mantener Chrome actualizado y reaccionar rápido ante cualquier indicio de comportamiento sospechoso.

Extensiones en Microsoft Edge
Artículo relacionado:
Extensiones en Microsoft Edge: riesgos y novedades que debes conocer