Por fin se ha borrado de la Chrome Web Store la extensión falsa descubierta ayer de la herramienta Microsoft Authenticator que era en realidad un phishing. El problema es que llegó a permanecer dentro de esta Web Store durante casi un mes antes de desaparecer. Algo que, desafortunadamente, pasa a menudo.
Microsoft lanzó hace poco una extensión relacionada con esta herramienta para Chrome llamada Autofill, que forma parte de Microsoft Authenticator. Pero, durante las pasadas semanas, si alguien iba a la Chrome Web Store y buscaba "Microsoft Authenticator", el primer resultado que les aparecía era una extensión falsa que nada tiene que ver con Microsoft.
Eso sí, un usuario que no leyera bien podía caer en la trampa: era una estafa de phishing que ponían en peligro los datos. Para reconocerlo o para reconocer otros: quien ofrecía esta extensión no era Microsoft sino que era "extensiones" (debes siempre mirar que quien ofrece la extensións ea el fabricante real). La extensión también tenía algunos comentarios positivos que probablemente eran falsos y utilizados para hacer que la extensión pareciese genuina, como descubrió gHacks.
Además, un portavoz de Microsoft ha dicho que "Microsoft nunca ha tenido una extensión de Chrome de nombre Microsoft Authenticator". Solo tiene la mencionada Autofill que puede sincronizar las contraseñas con la cuenta de Microsoft que usemos y permite ofrecer un servicio de completado automático de contraseñas en dispositivos móviles. Por tanto, "la compañía anima a los usuarios a reportar cualquier extensión sospechosa a la Chrome Web Store", ha dicho un portavoz de Microsoft.
Casi 500 usuarios antes de ser eliminada
Según publica hoy Windows Central, antes de ser eliminada, esta extensión falsa contaba con tenía 448 usuarios y una calificación de tres estrellas. Llegó por primera vez a la Chrome Web Store el 23 de abril de 2021, lo que significa que estuvo funcionando durante casi un mes antes de ser eliminada.
Como era de esperar de una extensión falsa, no se puede utilizar para autenticar los inicios de sesión de la cuenta de Microsoft, que es el objetivo del real Authenticator. Al descargarla, aparece un botón. Quien pulsa sobre él llega a una página polaca que le pedía que crease una cuenta.
La costumbre de Google de pedir a terceros que solucionen problemas que no son de ellos
Google tiene un equipo de seguridad que impone "deadlines" para que otros fabricantes solucionen sus fallos rápido o que los rebelan sin que haya parche "para enseñar una lección". Microsoft y Google ya han tenido en el pasado algún encontronazo a este respecto.
Recordemos que en el año 2014 la de Mountain View creó Project Zero: un grupo de "hackers de élite" a los que Google pagará para que mejoren la seguridad en Internet. Una de sus funciones desde el inicio era busar nuevos fallos en cualquier producto que sea ampliamente usado en Internet.
Unos meses más tarde, a comienzos de 2015, este equipo revelaba uno de los bugs de Windows 8.1 días antes de que se publicara el parche, pocos días después hacía lo propio con tres bugs de día cero encontrados en el OS X de Apple. Esta actitud por parte de la empresa del buscador lleva tiempo levantando ampollas entre una competencia con opiniones encontradas.
Quien ejercía como director del Security Response Center de Microsoft, Chris Betz, llegó a decir que parecía que lo único que les interesaba a los del buscador era dejar a los demás en evidencia en vez de proteger a los usuarios.
En 2017 volvió a suceder: el equipo de Project Zero de Google dejó en evidencia malas prácticas de seguridad en Microsoft: en ese momento, específicamente el problema con la forma en la que Microsoft actualiza sus sistemas. Antes había hecho lo propio con Windows Defender y con los navegadores Explorer y Edge.
Estas extensiones falsas son comunes en Chrome Web Store
Han pasado más de tres años desde que hablamos sobre un plan de Google para hacer la instalación de extensiones de Chrome más segura, pero estos contenidos maliciosos, siguen campando a sus anchas y aguantan mucho tiempo antes de ser retiradas. Este no es un caso aislado.
Como ejemplo representativo: el año pasado hubo 32 millones de descargas de extensiones víctimas de una campaña de spyware, a pesar de que la Chrome Web Store comenzó a exigir extensiones más seguras hace un par de años, y anunciaron medidas para expulsar de la tienda a las extensiones maliciosas o de baja calidad.
