En el mundo digital de hoy, confiamos un montón en las herramientas que nos prometen hacer la vida más fácil. ¿Quién no querría una extensión que le ayude a gestionar sus mensajes de WhatsApp Web de forma más eficiente? Pues, ¡aguas! Porque lo que parecía una ayuda para miles de usuarios, resultó ser una trampa bien elaborada por una campaña masiva de spam. Una reciente investigación destapó cómo 131 extensiones fraudulentas de Chrome se hicieron pasar por herramientas legítimas, afectando a más de 20,000 usuarios y poniendo en riesgo su seguridad digital, todo para automatizar el envío de mensajes masivos en WhatsApp Web.
Los expertos de la firma de ciberseguridad Socket destaparon este ‘negocito’ turbio que operó por al menos nueve meses. Imagínate, 131 extensiones para Chrome, haciéndose pasar por herramientas de CRM o gestión de contactos para WhatsApp. Con nombres como YouSeller, Botflow o ZapVende, prometían el oro y el moro: aumentar tus ventas, mejorar tu productividad… pero la neta es que su chamba era otra. Estas extensiones inyectaban código directamente en WhatsApp Web para que mandara mensajes masivos sin tu permiso, burlándose de los sistemas antispam de la plataforma. Detrás de todo esto estaba una empresa brasileña, DBX Tecnologia, que vendía un programa de reventa de marca blanca. Los ‘afiliados’ pagaban una lana por adelantado, unos 2,000 euros, para ponerle su propio logo y nombre a la extensión, con la promesa de ganancias recurrentes muy jugosas de entre 5,000 y 15,000 euros. Un verdadero modus operandi para mantener el spam a todo lo que da, como explica el investigador Kirill Boychenko.
Quizás pienses, ‘bueno, solo mandaban mensajes, no es tan grave’, pero ¡ojo! Aunque no son el ‘malware clásico’ que te imaginas, el riesgo era enorme. Una extensión que inyecta código en aplicaciones web como WhatsApp tiene acceso a tus conversaciones, puede leer tus mensajes, controlar lo que haces y mandar contenido automático usando tu cuenta, ¡como si fueras tú! Tenían acceso total a la página de WhatsApp Web, lo que significaba que tus chats privados y datos personales estaban potencialmente expuestos. Además, estas no eran extensiones chafas. Usaban técnicas sofisticadas: se ejecutaban junto a los scripts legítimos de WhatsApp y hasta permitían configurar intervalos y pausas para evadir los algoritmos de detección. De hecho, DBX Tecnologia publicaba tutoriales en YouTube explicando cómo ajustar estos parámetros para que WhatsApp no bloqueara las cuentas. ¡Una cosa bárbara!
Afortunadamente, Google ya le bajó el switch a estas extensiones de su tienda, pero estuvieron ahí por más de nueve meses acumulando miles de descargas. Si tú, por casualidad, llegaste a instalar alguna extensión relacionada con WhatsApp o la automatización de mensajes y aparece en la lista de la investigación, ¡elimínala de inmediato! Es sencillo: ve a ‘chrome://extensions’ en tu navegador, revisa la lista y desinstala cualquier cosa que te parezca rara o que de plano no reconozcas. Ponle especial atención a las que te pidan permisos para ‘acceder a todos los sitios web’ o ‘modificar datos de páginas’. La lección aquí es clara: que algo esté en la Chrome Web Store no significa que sea seguro. Siempre es buena idea revisar tus extensiones de vez en cuando, negar permisos exagerados y desconfiar de cualquier herramienta que prometa ‘potenciar’ servicios populares de forma mágica. Tu seguridad digital es tu responsabilidad, ¡así que mantente trucha!
