Está verificada por Google, pero esta extensión de Chrome te espía y hace capturas de pantalla

La firma de ciberseguridad KOI Security ha destapado una amenaza para la privacidad en un informe técnico publicado el 19 de agosto (disponible al final de nuestra noticia), donde detallan el descubrimiento de una popular extensión de Chrome que espía activamente a sus usuarios. Es importante saber qué extensión es para protegernos de ella, sobre todo porque, según explican, era una extensión segura hasta hace pocos meses. Algo ha cambiado.

Por desgracia, entre los millones de extensiones que hay disponibles de Chrome, es habitual encontrarnos con algunas que no son seguras o que, en algún momento, se han infectado. Por lo general, hasta que expertos en seguridad no las descubren es difícil llegar a saber qué está pasando a su alrededor. Por suerte, en este caso, el riesgo ha sido descubierto en un informe de KOI Security.

Una VPN que no es segura

Cuando descargamos una extensión de VPN en nuestro navegador lo hacemos con la intención de navegar de manera segura o de tener la posibilidad de disfrutar de la red de una forma más privada. Por ello, que se produzca un incidente con aplicaciones de VPN o extensiones es algo muy negativo. En este caso, tal y como informa KOI Security, el problema lo han encontrado en la extensión FreeVPN.One, la cual indican que, aparentemente, parece segura.

Tal y como remarcan, lo que está haciendo esta extensión de VPN es espiar de una manera constante a los usuarios y llegar a tener mucho más conocimiento de tus acciones de lo que podrías imaginar. Además, según explican, la extensión era segura hasta que se produjo la actualización 3.0.3. En ese momento, dice KOI Security que FreeVPN.One “abrió la puerta” a un cambio crítico que marcó un punto de inflexión en el uso de la extensión. Así es como la extensión incorporó un permiso en su sistema que les daba poder, sin pedir acceso a los usuarios ni proporcionar ningún tipo de aviso. Ese fue el momento que lo cambió todo y, tal y como explican, a partir de ahí la situación solo ha empeorado.

¿Qué está haciendo esta extensión?

Con la introducción de ese código en la extensión, lo que está haciendo FreeVPN.One es tener acceso a absolutamente todas las páginas que hayas visitado. Por lo tanto, se podría decir que le estás dando acceso a tu historial a los responsables de esta extensión, lo que no resulta una idea demasiado atractiva. De todas formas, dicen desde KOI Security que, con esta actualización de abril de 2025, el servicio de la VPN todavía no estaba espiando a los usuarios. Simplemente, abrieron la puerta para planes futuros.

En junio de 2025 lanzaron la versión 3.1.1, en la cual introdujeron lo que denominaron como un Detector de Amenazas con IA. Lo que parecía ser una actualización de seguridad que habría ayudado a los usuarios era, en realidad, tal y como explican los expertos en seguridad, “una forma de experimentar”. Porque, junto a ese supuesto detector de amenazas, la VPN también añadió un permiso de “scripting” sin solicitar la aprobación del usuario. Dicen en KOI Security que los desarrolladores estaban haciendo pruebas para saber hasta dónde podían llegar sin levantar sospechas.

La siguiente versión llegaría el 17 de julio de 2025 con la actualización 3.1.3. Según explican, el día 31 de mayo de 2025 se registró el dominio aitd.one y un mes después se publicó esta actualización que hizo que el spyware de la extensión comenzara a funcionar. A partir de ese momento, la extensión comenzó a hacer capturas de pantalla de todas las páginas visitadas por el usuario, a trazar la geolocalización desde la que se conecta cada persona y a sustraer información del dispositivo de conexión. Todos los datos extraídos se mandaban a los servidores de aitd.one para después ser gestionados por los autores de la amenaza.

En julio de 2025 lanzaron la actualización 3.1.4 porque, según KOI Security, se dieron cuenta que habían dejado un rastro que les podría descubrir. Con la intención de tratar de pasar desapercibidos, introdujeron encriptado AES-256 y un sistema RSA. También cambiaron del dominio aitd.one al subdominio scan.aitd.one, con la intención de evitar problemas.

Impacto y Alcance de FreeVPN.One

Indicador	Valor	Fuente
Instalaciones Activas	Más de 100.000	Chrome Web Store
Calificación de Usuarios	3.8 / 5 estrellas	Chrome Web Store
Datos Capturados	Historial de navegación, capturas de pantalla, geolocalización, información del dispositivo.	Informe Técnico de KOI Security
Estado en la Tienda	Verificada y Disponible	Chrome Web Store (a fecha 26/08/2025)

El riesgo se magnifica al considerar que la extensión cuenta con más de 100.000 instalaciones activas, según datos de la propia Chrome Web Store. A pesar de su comportamiento malicioso, mantiene un estado de ‘Verificada’ y una calificación de 3.8 sobre 5, lo que genera una falsa sensación de seguridad en una base masiva de usuarios. Esto demuestra, tal y como explican desde KOI Security, que hasta los férreos controles que tiene Google pueden llegar a fallar, sobre todo cuando se actualizan extensiones de manera maliciosa tiempo después de que hayan comenzado a estar disponibles.

Por el momento, la extensión sigue estando disponible en la tienda de Chrome, donde indica que tiene acceso al historial y a la ubicación del usuario. También menciona que la extensión tiene acceso a “contenido del sitio web”, lo que podría ser una forma de decir que está realizando, como indica KOI Security, capturas de pantalla de las páginas web. Si bien la extensión podría estar intentando ser más transparente, hoy por hoy, lo más recomendable para usar una VPN es elegir un servicio de calidad y confianza. Herramientas como NordVPN, ExpressVPN o SurfShark son, sin ninguna duda, las mejores opciones para disfrutar de un rendimiento de calidad y no tener dudas sobre nuestra privacidad.

Fuente: KOI Security | adslzone