<img height="1" width="1" src="https://www.facebook.com/tr?id=341469269971813&amp;ev=PageView &amp;noscript=1">
Skip to content
Ciberseguridad

108 extensiones de Chrome para el robo de sesiones Telegram y Google

108 extensiones de Chrome para el robo de sesiones Telegram y Google
Tiempo estimado de lectura: 4 min

 

El robo de sesiones Telegram es una vulnerabilidad de secuestro de identidad donde extensiones de Chrome maliciosas exfiltran tokens de Telegram Web cada 15 segundos hacia un servidor C2. La causa principal es el uso de identidades de desarrollador fraudulentas que inyectan scripts para evadir la seguridad del navegador. La solución definitiva implica auditorías de extensiones, cierre de sesiones activas y el endurecimiento de políticas de navegación corporativa. 

Esto es lo que descubrirás:

Descubrirás cómo una red de 108 extensiones maliciosas ha logrado burlar los controles de la Chrome Web Store para ejecutar el robo de sesiones Telegram y comprometer identidades de Google. Aprenderás a identificar el "cerebro" detrás de la infraestructura de comando y control (C2), las tácticas de manipulación de encabezados de seguridad y los pasos críticos para blindar tu arquitectura TI frente a exfiltraciones de datos en tiempo real.

 

 

En el dinámico ecosistema tecnológico de 2026, las empresas enfrentan el reto constante de equilibrar la agilidad operativa con un control de seguridad férreo. La proliferación de herramientas de productividad en el navegador ha abierto una puerta trasera silenciosa donde la infraestructura crítica puede verse comprometida por una simple extensión de traducción o un juego aparentemente inofensivo.

Para los líderes de TI, el robo de sesiones Telegram no es solo un incidente aislado, sino un síntoma de una arquitectura de confianza excesiva en los complementos de terceros. Gobernar estos activos digitales es esencial para garantizar el cumplimiento normativo y proteger la propiedad intelectual de la organización frente a adversarios que operan con infraestructuras de comando y control altamente centralizadas.

La anatomía del ataque: 108 extensiones bajo un mismo C2

Recientes investigaciones han destapado una red masiva de 108 extensiones maliciosas que, bajo una apariencia de utilidades legítimas para YouTube o TikTok, esconden un código diseñado para el espionaje. Lo más alarmante es que todas estas aplicaciones comparten un único servidor de comando y control (C2), lo que facilita a los atacantes la gestión masiva de la información robada. Esta estructura centralizada permite que, independientemente de la extensión instalada, los datos converjan en un mismo punto de exfiltración.

Hasta la fecha, se estima que más de 20,000 usuarios han sido afectados por esta red, evidenciando que los filtros de seguridad tradicionales de las tiendas de aplicaciones pueden ser vulnerados mediante técnicas de ingeniería social y ofuscación de código.

Mecánica técnica: Cómo funciona el robo de sesiones Telegram

El robo de sesiones Telegram identificado recientemente destaca por su eficiencia y sigilo. Investigadores de la firma Socket han confirmado que el malware se especializa en la exfiltración de sesiones de Telegram Web mediante una tarea programada que envía datos al atacante cada 15 segundos.

Este proceso permite que el perpetrador acceda a mensajes privados y contactos sin requerir contraseñas o segundos factores de autenticación, ya que posee el token de sesión activo. Para una empresa, el robo de sesiones Telegram significa una pérdida total de confidencialidad en sus comunicaciones estratégicas.

  • Frecuencia de exfiltración: Envío de datos cada 15 segundos.

  • Acceso persistente: Permite leer mensajes sin necesidad de contraseñas.

  • Alcance: Afecta a usuarios que utilizan clientes de Telegram en barra lateral o versiones web.

filtración de datos

Vulnerabilidades en la identidad: El abuso de OAuth2 y Google

Más allá del robo de sesiones Telegram, la red maliciosa tiene un objetivo claro: las cuentas de Google. Se ha detectado que 54 de estas extensiones están diseñadas específicamente para robar la identidad de los usuarios abusando del protocolo OAuth2. Este método permite a los atacantes obtener acceso a servicios vinculados sin conocer la contraseña del usuario, simplemente interceptando los tokens de autorización.

Este tipo de ataque es especialmente crítico en entornos corporativos donde el Single Sign-On (SSO) es la norma, ya que una sola extensión maliciosa puede comprometer todo el ecosistema de aplicaciones de un empleado.

También te puede interesar: Filtraciones de datos 2026: Impacto y riesgos actuales 

Manipulación del navegador: Eliminación de encabezados de seguridad

Un aspecto técnico alarmante es el uso de la API declarativeNetRequest de Chrome para sabotear las defensas del usuario. Las extensiones configuradas para el robo de sesiones Telegram eliminan proactivamente los encabezados de seguridad de los sitios web antes de que la página se cargue.

Esto anula políticas de seguridad críticas como CSP (Content Security Policy), dejando al usuario totalmente vulnerable a la inyección de scripts maliciosos.Al deshabilitar estas protecciones, el atacante no solo facilita el robo de sesiones Telegram, sino que también puede inyectar anuncios fraudulentos en cualquier portal visitado. Esta manipulación convierte al navegador en una herramienta de espionaje bajo control total del atacante.

Identidades de desarrollador fraudulentas a vigilar

Para evadir la detección, los atacantes operaron bajo cinco identidades de desarrollador distintas: Yana Project, GameGen, SideGames, Rodeo Games e InterAlt. Bajo estos nombres, distribuyen herramientas que parecen legítimas, como traductores de texto o juegos de casino, pero que en realidad ejecutan el robo de sesiones Telegram en segundo plano.

Conocer estos nombres es vital para las auditorías de software. Si alguna de estas firmas aparece en el inventario de extensiones de tu organización, la probabilidad de un compromiso activo es extremadamente alta.

Guía de mitigación y cumplimiento normativo

Para prevenir el robo de sesiones Telegram, es fundamental adoptar un enfoque proactivo basado en el principio de mínimo privilegio. Google ya ha sido notificado para retirar estas aplicaciones, pero la persistencia en los equipos locales requiere acción inmediata de los departamentos de TI.

  • Auditoría técnica: Revisar periódicamente chrome://extensions/ y eliminar cualquier complemento de origen dudoso.

  • Control de permisos: Desconfiar de herramientas sencillas que soliciten "leer y modificar todos los datos de los sitios web".

  • Respuesta ante iIncidentes: Si se sospecha de un robo de sesiones Telegram, cerrar todas las sesiones activas en los ajustes de Telegram y Google, y forzar un cambio de credenciales.

Guía de mitigación y cumplimiento normativo csirt

Gobernanza TI para un entorno seguro

En E-dea Networks, entendemos que la ciberseguridad en 2026 no se trata solo de instalar firewalls, sino de gobernar cada rincón de la infraestructura, incluyendo el navegador del usuario final. El robo de sesiones Telegram a través de extensiones maliciosas demuestra que los atacantes están refinando sus métodos para atacar la identidad y la sesión, los perímetros más sensibles de la actualidad.

Establecer políticas estrictas de control de software y monitorear la infraestructura de comando y control (C2) externa es vital para mantener el cumplimiento normativo y la resiliencia operativa. La seguridad de la información es un proceso de vigilancia constante; no permitas que una extensión de 100 KB ponga en riesgo años de reputación corporativa. Nuestro compromiso en E-dea Networks es ser tu aliado estratégico, garantizando que tu equipo trabaje en un entorno controlado, seguro y alineado con los más altos estándares de protección de datos.

 

navegación segura

 

Por E-dea Networks

 

 

También te interesaría

¡Mantente informado!

Te invitamos a suscribirte a nuestro blog