Una extensión de Chrome con virus obliga a limpiar el PC si está instalada
Las extensiones de Chrome siguen en el punto de mira de los ciberdelincuentes. Y el motivo es simple: se instalan en segundos, se confía en ellas a ciegas y, cuando algo sale mal, el daño ya puede estar hecho.
Esta vez, la alarma salta por una extensión famosa para bloquear publicidad. Se ofrecía como una herramienta de privacidad, pero escondía una trampa con efectos inmediatos en el rendimiento del equipo.
El hallazgo lo firma el equipo de seguridad de Huntress: una extensión con malware llegó a publicarse en la Google Chrome Web Store y también apareció en la tienda de extensiones de Edge. Google ya la ha retirado, pero el problema sigue: miles de usuarios podrían tenerla instalada sin saberlo.
El peligro real detrás de NexShield
La extensión se llamaba NexShield y ganó notoriedad por su capacidad para bloquear anuncios. Además, se presentaba arropada por el nombre de Raymond Hill, el desarrollador asociado a la conocida uBlock Origin. Pero era un señuelo: ese gancho buscaba impulsar descargas y generar confianza.
Según Huntress, el comportamiento real de NexShield encajaba con un ataque de tipo DoS. Lejos de ser un problema “a largo plazo”, el impacto podía notarse pronto con señales claras:
- Un aumento en el uso de memoria RAM
- Uso excesivo de la CPU
- Posibles cuelgues del navegador sin motivo aparente
- Cierres inesperados
La mecánica era insistente: la extensión generaba conexiones chrome.runtime sin parar hasta dejar el sistema totalmente “noqueado”. Huntress vincula este patrón con este ataque y note los ClickFix ya comentados anteriormente. Por cómo actúa NexShield, el equipo le ha puesto un nombre propio: CrashFix.
La finalidad era forzar una situación límite para que el usuario terminara reiniciando el navegador. En ese momento aparecía un popup con un mensaje creíble: algo iba mal y convenía analizar el ordenador para localizar el origen del fallo. Todo parecía legítimo, pero era parte del guion malicioso.
Tras ese supuesto análisis, llegaba el paso más delicado: un aviso aseguraba que había “problemas de seguridad” y mostraba instrucciones para “arreglarlo”. En realidad, esas pautas empujaban a ejecutar acciones que abrían la puerta a una infección mayor.
Lo que ocurría a continuación elevaba el riesgo al máximo:
- En el Bloc de notas se copiaba un código que se debía pegar y ejecutar desde CMD.
- Al lanzarlo, se utilizaba una conexión remota para activar un script de PowerShell que descargaba un virus y dejaba el equipo expuesto a más amenazas.
El engaño incluía un detalle clave: después de instalar NexShield no siempre se notaba nada. La extensión ponía en marcha un contador de 60 minutos y, al completarse, se activaba la cadena de acciones descrita. Ese retraso dificultaba relacionar el caos del sistema con la extensión recién instalada.
Qué hacer si NexShield sigue en el navegador
Huntress lo deja claro: desinstalar la extensión no basta. Eliminar NexShield del navegador no garantiza que el problema haya terminado, porque puede dejar rastros en forma de scripts y componentes maliciosos. La recomendación pasa por una limpieza completa del sistema.
La medida se aplica tanto si se llegó a ejecutar el código en CMD como si solo se instaló la extensión. El motivo es el mismo: la presencia de restos maliciosos puede mantener el equipo en riesgo incluso después de borrar el complemento.
El consejo afecta por igual a Chrome y a Edge. Toca limpiar el disco duro y apoyarse en un buen antivirus para dejar el equipo libre de infección.
El caso también sirve de recordatorio urgente: conviene confiar solo en extensiones de calidad, aunque estén publicadas en Chrome Web Store. Los filtros no son infalibles y, con ciberdelincuentes cada vez más sofisticados, una sola instalación puede convertirse en el inicio del problema.