Se ha descubierto una red de 131 extensiones de Google Chrome que operan como “spamware”. Aunque no se clasifican como malware tradicional (troyanos, spyware, etc.), su único propósito es abusar de la plataforma WhatsApp Web para campañas de spam a gran escala. Estas extensiones, que acumulan colectivamente más de 20,900 usuarios activos, han estado operativas durante al menos nueve meses, con actualizaciones detectadas hasta el 17 de octubre de 2025.

¿Cómo Ocurrió Técnicamente?

El vector de ataque se basa en el abuso de los permisos de las extensiones de navegador. El proceso es el siguiente:

1. Instalación y Permisos: El usuario instala una de las extensiones (ej. YouSeller, Botflow, ZapVende), creyendo que es una herramienta legítima de CRM.
2. Inyección de Código: Una vez instalada, la extensión inyecta su propio código JavaScript directamente en la página de web.whatsapp.com cuando el usuario la visita.
3. Ejecución en Contexto: Este script se ejecuta en el mismo contexto que los scripts legítimos de WhatsApp, dándole acceso y control sobre la interfaz de usuario y la comunicación de la aplicación web.
4. Automatización y Evasión: El código inyectado automatiza la programación y el envío de mensajes en masa. Su funcionalidad principal está diseñada explícitamente para eludir los mecanismos anti-spam de WhatsApp, como los límites de frecuencia (rate limits) y otros controles de detección de comportamiento anómalo.

¿A Quién Afecta?

• Usuarios (Instaladores): Los aproximadamente 20,905 usuarios que tienen estas extensiones instaladas. Están violando directamente los Términos de Servicio de WhatsApp y corren un alto riesgo de que sus cuentas sean suspendidas o baneadas permanentemente.
• Usuarios (Objetivos): Principalmente usuarios de WhatsApp en Brasil, que son los receptores de las campañas de spam masivo.
• Plataformas: Google (por la violación de su política de “Spam y Abuso” en la Chrome Web Store) y WhatsApp (por el abuso de su plataforma).

¿Qué Consecuencias Tiene?

La principal consecuencia para las organizaciones o individuos que instalan estas herramientas es la suspensión de la cuenta de WhatsApp. Además, se degrada la confianza en el ecosistema de extensiones de Chrome y se facilita una infraestructura resiliente para los operadores de spam.

¿Qué Medidas Deben Tomarse?

1. Auditoría de Extensiones (Acción Inmediata): Los administradores de sistemas deben auditar todas las extensiones de navegador implementadas en los dispositivos corporativos, específicamente aquellas que solicitan permisos de lectura/escritura en web.whatsapp.com o dominios similares.
2. Desinstalación: Cualquier extensión que prometa automatización de mensajería masiva o elusión de las reglas de la plataforma debe ser desinstalada de inmediato.
3. Implementación de Políticas: Considerar la implementación de políticas de allow-listing (lista blanca) para extensiones de navegador en entornos corporativos, permitiendo solo aquellas que han sido explícitamente verificadas y aprobadas por el equipo de TI/Seguridad.
4. Concienciación: Educar a los equipos (especialmente ventas y marketing) sobre los riesgos de usar herramientas no oficiales que se integran con plataformas de mensajería.

Conexiones y Contexto Adicional

• Modelo de Franquicia: La investigación de la firma de seguridad Socket revela que la mayoría de las extensiones fueron publicadas por dos cuentas (“WL Extensão” y “WLExtensao”). Estas parecen ser parte de un programa de white-label (marca blanca) ofrecido por una entidad llamada “DBX Tecnologia”.
• Intención Explícita: DBX Tecnologia no solo vende este software, sino que ha publicado videos instrutiendo a sus “socios” sobre cómo evadir los algoritmos anti-spam de WhatsApp.
• Violación de Políticas: Esta operación viola directamente la política de Google Chrome Web Store, que prohíbe a los desarrolladores y sus afiliados enviar múltiples extensiones con funcionalidad duplicada.
• Contexto Regional: Es notable que este incidente coincida con otros informes recientes (de Trend Micro, Sophos y Kaspersky) sobre el troyano bancario Maverick, que también se distribuye en Brasil a través de un gusano de WhatsApp denominado SORVEPOTEL. Esto subraya el enfoque actual de los actores de amenazas en WhatsApp como vector de distribución y abuso en la región.

Fuente: thehackernews[.]com