Alerta: NexShield, troyano oculto en extensión de navegador
Google / PR-ADN
La extensión NexShield, que aparenta ser inofensiva, ha sido identificada como una amenaza informática, ya que oculta un troyano capaz de comprometer la seguridad de los usuarios al instalarse en sus navegadores.
Tl;dr
- Falsa extensión NexShield propaga malware en empresas.
- Satura el navegador y lanza engaños de soporte falso.
- Solo instalar extensiones verificadas y revisar comentarios.
Un nuevo peligro acecha entre las extensiones de navegador
En el panorama digital actual, donde la precaución debería ser una constante, se ha detectado un sofisticado ataque que aprovecha la confianza depositada en las extensiones de Google Chrome y Edge. Recientemente, la aparición de una falsa extensión denominada NexShield, que prometía navegación sin publicidad, ha servido como puerta de entrada para técnicas maliciosas dirigidas principalmente a entornos profesionales. Detrás de una apariencia legítima, este software oculta estrategias cada vez más elaboradas.
Estrategias de suplantación y manipulación
Los desarrolladores de esta extensión no dudaron en suplantar la identidad del creador original de uBlock Origin, Raymond Hill, logrando así dotar de credibilidad a su producto fraudulento. El engaño se completaba con una página web específica y anuncios patrocinados en buscadores. Este despliegue hacía que NexShield pasara inadvertida incluso para usuarios experimentados.
Al instalarse, NexShield desencadenaba un ataque técnico: saturaba la memoria del sistema mediante conexiones infinitas, dejando el navegador bloqueado e inutilizable. La reacción inmediata del usuario solía ser buscar ayuda para resolver el problema, momento que los atacantes aprovechaban para desplegar la siguiente fase.
El falso soporte técnico: ClickFix y CrashFix
En pleno bloqueo del equipo, emergía una alerta falsa incitando al usuario a analizar su máquina. Si seguía las instrucciones y ejecutaba comandos sugeridos —acción conocida en jerga como ClickFix o su variante CrashFix— permitía sin saberlo que se descargara un script PowerShell malicioso desde internet. Esta maniobra añadía confusión: los ciberdelincuentes retrasaban hasta una hora la activación real del ataque para evitar ser detectados y aumentar la incertidumbre en sus víctimas.
Varios elementos explican la gravedad de esta campaña:
- ModeloRAT, un malware avanzado, infecta a empleados tras el engaño.
- A nivel doméstico, por ahora solo aparecen mensajes simulados.
- La falsa extensión ya ha sido retirada del Chrome Web Store.
Lecciones y recomendaciones básicas de seguridad
Aunque el riesgo inmediato se ha reducido con la retirada de NexShield, conviene recordar algunos principios esenciales: descargar solo desde tiendas oficiales como el Chrome Web Store, consultar opiniones antes de instalar cualquier complemento y nunca ejecutar comandos copiados desde fuentes desconocidas. A fin de cuentas, mientras los ataques perfeccionan sus técnicas, nuestra cautela sigue siendo —a día de hoy— la defensa más eficaz frente a estas amenazas digitales.