El ciberataque a la extensión de navegador de la empresa de prevención de pérdida de datos Cyberhaven ha generado gran preocupación en la comunidad de tecnología. Este incidente, ocurrido en diciembre, dejó expuestos a miles de usuarios corporativos a posibles robos de credenciales sensibles. A continuación, analizamos los detalles del caso, las medidas adoptadas y qué pueden hacer los usuarios para protegerse.
¿Qué sucedió exactamente?
Cyberhaven, conocida por sus productos de seguridad que protegen contra la exfiltración de datos, confirmó que los atacantes comprometieron su cuenta de administrador en la Chrome Web Store. Esto permitió a los piratas publicar una versión maliciosa de su extensión de navegador el 25 de diciembre, según un correo enviado por la empresa a los clientes afectados.
La versión comprometida, identificada como 24.10.4, fue diseñada para robar contraseñas, cookies y tokens de sesión almacenados en los navegadores. Estos datos podían ser utilizados por los atacantes para acceder a cuentas sin necesidad de contraseñas o autenticación de dos factores.
Cyberhaven detectó el ataque horas después y retiró la versión maliciosa de la Chrome Web Store. Posteriormente, lanzó una nueva actualización segura (24.10.5) para mitigar el impacto.
Impacto del ataque
En el momento del ataque, la extensión de Cyberhaven era utilizada por más de 400,000 usuarios corporativos, incluidos clientes de alto perfil como Motorola, Reddit y Snowflake. Aunque la empresa no especificó cuántos usuarios fueron afectados directamente, recomendó acciones inmediatas a todos sus clientes para minimizar el riesgo:
- Revocar y rotar contraseñas.
- Cambiar tokens API y otras credenciales basadas en texto.
- Analizar registros en busca de actividad sospechosa o maliciosa.
¿Cómo fue posible este ataque?
El correo enviado por Cyberhaven indicó que los atacantes comprometieron la cuenta única de administrador utilizada para gestionar la extensión en la Chrome Web Store. No obstante, no se especificó cómo lograron este acceso ni qué fallos de seguridad pudieron haber contribuido al incidente.
Cyberhaven afirmó haber iniciado una revisión exhaustiva de sus prácticas de seguridad y contrató a la firma especializada Mandiant para llevar a cabo una investigación forense. Además, está colaborando con las autoridades federales para identificar a los responsables.
Ataques similares a otras extensiones
Expertos en seguridad, como Jaime Blasco de Nudge Security, indicaron que este ataque pudo haber sido parte de una campaña más amplia dirigida a desarrolladores de extensiones de Chrome. Según Blasco, otras extensiones populares relacionadas con IA, productividad y VPN también fueron comprometidas durante el año.
Blasco agregó que esta campaña parece tener un enfoque oportunista, atacando extensiones con altos volúmenes de usuarios mediante el uso de credenciales robadas de desarrolladores.
¿Qué pueden hacer los usuarios para protegerse?
Este ataque resalta la importancia de mantener medidas de seguridad estrictas al utilizar extensiones de navegador. Si eres usuario de Cyberhaven o de cualquier otra extensión comprometida, considera las siguientes acciones:
- Revoca sesiones activas: Si sospechas que tus tokens de sesión fueron robados, cierra todas las sesiones activas desde la configuración de tus cuentas importantes.
- Cambia contraseñas y activa 2FA: Actualiza tus contraseñas en todas las cuentas relevantes y habilita la autenticación de dos factores para mayor protección.
- Analiza actividad sospechosa: Revisa los registros de acceso y monitorea posibles intentos de intrusión.
- Actualiza extensiones: Asegúrate de tener siempre la última versión de tus extensiones instaladas.
- Instala extensiones con precaución: Antes de instalar una extensión, verifica su desarrollador y lee comentarios recientes sobre posibles problemas de seguridad.
¿Qué medidas está tomando Cyberhaven para prevenir futuros ataques?
Tras el incidente, Cyberhaven declaró estar reforzando sus controles de seguridad, pero no ha detallado qué medidas específicas implementará. Entre las posibles acciones podrían estar:
- Autenticación multifactor: Para proteger sus cuentas administrativas.
- Revisiones regulares: Auditorías internas y externas de sus sistemas.
- Monitorización avanzada: Uso de herramientas automatizadas para detectar accesos no autorizados.
El ciberataque a Cyberhaven es un recordatorio de que ninguna empresa está exenta de riesgos, incluso aquellas dedicadas a la seguridad. Los usuarios y las organizaciones deben permanecer vigilantes, adoptando prácticas que minimicen el impacto de este tipo de amenazas.
