Advertencia de seguridad: La extensión de Chrome de “wallet” mejor posicionada roba tu frase semilla

Durante algunos días de noviembre, una extensión maliciosa de Chrome apareció como el cuarto resultado al buscar “Ethereum wallet” en la Chrome Web Store.

La extensión, llamada “Safery: Ethereum Wallet”, tenía un aspecto lo suficientemente pulido como para pasar por legítima. Mostraba un ícono limpio, un nombre genérico acompañado de lenguaje de seguridad, una avalancha de reseñas de cinco estrellas y descripciones estándar conocidas por cualquiera que haya descargado una wallet cripto.

Detrás de esa fachada se encontraba un ataque diseñado específicamente para robar frases semilla y vaciar wallets de usuarios, codificando los secretos robados en microtransacciones en la blockchain de Sui.

Socket, una empresa de herramientas de seguridad enfocada en cadenas de suministro de software open-source, instaló y analizó la extensión después de su descubrimiento.

Su objetivo era entender cómo “Safery” evitó la detección, escaló en el ranking de la Chrome Store y movió frases semilla robadas sin levantar sospechas, así como qué pueden hacer los usuarios para identificar amenazas similares. El informe detalla el enfoque del atacante y sirve tanto como autopsia como advertencia de que las extensiones de navegador siguen siendo un punto ciego peligroso en el mundo cripto.

Este caso es relevante porque los hackers no solo robaron frases semilla. Esa parte, lamentablemente, es terreno conocido en el ecosistema cripto.

Lo que lo hace destacable es que Safery no imitó una marca de wallet existente. No era un clon de MetaMask ni un dominio de phishing reciclado. Inventó una identidad, compró o generó reseñas falsas para escalar en los rankings de búsqueda y se lanzó como una opción de wallet “nueva”.

Este enfoque permitió que la publicación no mostrara señales de alerta inmediatas: sin errores gramaticales, sin permisos extraños y sin redirección a dominios sospechosos.

La página del publicador en la Chrome Web Store no tenía quejas previas, y su URL de soporte llevaba a un sitio fuera de la plataforma que no había sido marcado por rastreadores de seguridad al momento del análisis de Socket.

Dado su aspecto pulido, la mayoría de los usuarios no habría dudado antes de hacer clic en “Agregar a Chrome”. La extensión solicitaba ejecutarse en “todos los sitios web”, una petición común para wallets cripto que necesitan acceso a aplicaciones descentralizadas.

Notablemente, no pedía permisos adicionales ni intentaba inyectar scripts de contenido que activarían advertencias más agresivas de Chrome. La marca era minimalista, el sitio web coincidía con el nombre de la extensión y la pantalla de configuración pedía crear o importar una wallet, nuevamente, comportamiento estándar.

El robo de la semilla, transmitido por Sui

El verdadero daño comenzaba una vez que se ingresaba una frase semilla. En lugar de almacenarla localmente o cifrarla para el acceso del usuario, la extensión la dividía silenciosamente en fragmentos y los codificaba como si fueran direcciones de wallet aleatorias.

La investigación de Socket muestra que estos fragmentos se insertaban en transacciones de la blockchain de Sui. Específicamente, la extensión emitía pequeñas transferencias de tokens SUI, montos diminutos que no llamarían la atención, a direcciones controladas por el atacante.

Ocultos dentro de esas transacciones, ya sea en campos de memo o direcciones ofuscadas, estaban partes de la frase semilla del usuario.

Este enfoque tenía ventajas tácticas. No requería que la extensión enviara solicitudes salientes a servidores maliciosos. No había baliza de comando y control ni exfiltración por HTTP o WebSockets que un navegador o antivirus pudiera detectar.

La carga salía del dispositivo del usuario como una transacción de blockchain de apariencia normal, enrutada a través de una cadena ampliamente utilizada y de bajas comisiones. Una vez en la cadena, los datos eran accesibles públicamente, permitiendo al atacante recuperarlos más tarde, reconstruir la frase semilla y vaciar las wallets sin volver a tocar el dispositivo del usuario.

En efecto, la estafa utilizó la blockchain de Sui como canal de comunicación. Y como Sui tiene tiempos de confirmación rápidos y costos de transacción insignificantes, funcionaba como un bus de mensajes de baja latencia.

Socket rastreó múltiples ejemplos de estas transacciones con fragmentos de semillas y confirmó el vínculo entre el ingreso de la semilla y la eventual pérdida de activos. Si bien los robos ocurrieron fuera de la cadena, ya sea en Ethereum u otras L1 donde las wallets de las víctimas tenían fondos, las instrucciones para ejecutarlos estaban ocultas a simple vista.

Antes de lanzar la versión que llegó a los primeros resultados de wallets en Chrome, es probable que el publicador haya probado este método en privado. La evidencia muestra que versiones anteriores experimentaron con filtraciones de datos más simples antes de perfeccionar la codificación en Sui.

Para cuando la extensión activa fue marcada, ya tenía suficientes instalaciones para alcanzar la categoría “trending” de Chrome, aumentando aún más su visibilidad. Brave New Coin informó que la wallet “Safery” se encontraba entre los principales resultados para búsquedas de “Ethereum wallet” incluso cuando circulaban reportes de comportamiento sospechoso en Reddit y Telegram.

Cómo el algoritmo de Chrome permitió que sucediera

El éxito de “Safery” dependió de la lógica de ranking de Chrome. El algoritmo de búsqueda de la Web Store pondera coincidencia de palabras clave, cantidad de instalaciones, velocidad de reseñas, calificación promedio y fecha de actualización.

Extensiones con un pico de actividad, especialmente en categorías de nicho, pueden escalar rápidamente si los competidores mejor evaluados no se actualizan con frecuencia. En este caso, “Safery” tenía un nombre que puntuaba bien para búsquedas comunes, una avalancha de reseñas positivas, muchas de ellas plantillas o duplicadas, y una fecha de carga reciente.

No hay evidencia de que Google haya revisado manualmente esta publicación antes de su publicación. La política de la Chrome Web Store trata la mayoría de las nuevas extensiones con un escaneo automatizado breve y análisis estático fundamental.

Las extensiones son sometidas a un escrutinio más profundo cuando solicitan permisos elevados, como acceso a pestañas, portapapeles, sistemas de archivos o historial. Las extensiones de wallet suelen evitar estas alertas operando dentro de iframes o usando APIs aprobadas. “Safery” se mantuvo dentro de esos límites.

Incluso cuando los usuarios expresaron preocupaciones, el tiempo entre el reporte y la eliminación fue lo suficientemente largo como para que ocurriera el daño. Parte de esa demora es estructural: Chrome no actúa sobre extensiones marcadas de inmediato a menos que haya un consenso abrumador o firmas de malware conocidas.

En este caso, la carga era JavaScript ofuscado que dependía de la infraestructura blockchain, no de hosts externos. Los métodos tradicionales de detección de malware no lo detectaron.

No es la primera vez que se utilizan extensiones de Chrome para robar cripto. Estafas previas incluyen aplicaciones falsas de Ledger Live que solicitaban frases de recuperación, o extensiones legítimas secuestradas que permitían a los atacantes acceder a la clave de publicación del desarrollador.

Lo que diferencia a “Safery” es la suavidad de la fachada y la ausencia de infraestructura backend. No había un sitio de phishing para eliminar, ni un servidor para bloquear, solo una extensión moviendo secretos a una cadena pública y alejándose.

Los usuarios aún tenían algún recurso. Si actuaban rápido, podían limitar la exposición rotando semillas y revocando aprobaciones de transacciones.

Socket y otros proporcionaron pasos de emergencia para quienes instalaron la extensión: desinstalar inmediatamente, revocar cualquier aprobación de tokens, transferir los activos a una nueva wallet usando un dispositivo limpio y monitorear las direcciones asociadas. Para los usuarios que no notaron la exfiltración o que almacenaban grandes sumas en wallets calientes, la recuperación seguía siendo poco probable.

El verdadero problema comienza antes de que la wallet siquiera cargue

Investigadores de seguridad y desarrolladores están pidiendo heurísticas más estrictas por parte de Chrome. Una solución propuesta es marcar automáticamente cualquier extensión que incluya elementos de UI que soliciten una frase de 12 o 24 palabras.

Otro enfoque es requerir la certificación del publicador para extensiones de wallet, lo que provee prueba verificable de que un publicador controla el código detrás de una marca de wallet conocida. También se pide una inspección más rigurosa de los permisos relacionados con wallets, incluso cuando estos no incluyan patrones de acceso peligrosos.

Para los usuarios finales, Socket publicó una lista de verificación práctica para la gestión de extensiones. Antes de instalar cualquier extensión cripto, los usuarios deben revisar el historial del publicador, verificar la asociación con un proyecto conocido, inspeccionar el patrón de reseñas, especialmente ráfagas de reseñas idénticas, chequear enlaces a sitios web reales con repositorios públicos en GitHub y escanear la pestaña de permisos en busca de accesos vagos o amplios.

Un nombre limpio y una alta calificación no son suficientes.

Este caso plantea preguntas más amplias sobre el rol del navegador en el mundo cripto. Las wallets de navegador ganaron popularidad por su accesibilidad y facilidad de uso. Permiten a los usuarios interactuar con aplicaciones descentralizadas sin cambiar de plataforma ni descargar apps separadas.

Pero esa accesibilidad ha venido acompañada de exposición. El navegador es un entorno de alto riesgo sujeto a manipulación de extensiones, secuestro de sesiones, scrapers de portapapeles y ahora exfiltración encubierta vía blockchain.

Es probable que los desarrolladores de wallets reconsideren los modelos de distribución. Algunos equipos ya desalientan las instalaciones desde la Chrome Web Store, prefiriendo apps móviles o binarios de escritorio. Otros pueden implementar advertencias para usuarios que intenten instalar desde fuentes no verificadas.

El problema central persiste: la distribución está fragmentada y la mayoría de los usuarios no sabe cómo distinguir una wallet legítima de un clon pulido.

La extensión “Safery” no necesitó parecerse a MetaMask ni hacerse pasar por Phantom. Creó su propia marca, sembró señales falsas de confianza y construyó una puerta trasera invisible que usaba la blockchain de Sui como mensajero.

Eso debería forzar una reconsideración de cómo se establece la confianza en la experiencia de usuario cripto y cuán cerca del hardware están incluso herramientas casuales como las extensiones de navegador.

Los usuarios cripto asumen que Web3 significa soberanía y autocustodia. Pero en manos equivocadas, una wallet de navegador no es una bóveda, es un puerto abierto. Y Chrome no siempre te advertirá antes de que algo se cuele.