Lo que parecía una herramienta práctica para llevar la experiencia de Google Lens al navegador terminó convertido en un riesgo de seguridad. La extensión QuickLens, que alcanzó más de 7.000 instalaciones en Google Chrome, fue retirada de la tienda oficial el 17 de febrero tras confirmarse que una actualización la transformó en un canal de distribución de malware.

El objetivo principal: robo de credenciales, con especial interés en plataformas de criptomonedas.

---

De herramienta legítima a puerta trasera

QuickLens se publicó en octubre como una solución para hacer búsquedas visuales en cualquier página web, replicando funciones de Google Lens directamente en el navegador.

En sus primeras versiones:

• Cumplía con lo prometido.
• Los permisos solicitados eran amplios, pero coherentes con su función de captura de pantalla.
• No presentaba vulnerabilidades evidentes, según la firma de ciberseguridad Annex.

Sin embargo, todo cambió con la versión 5.8.

---

La actualización que encendió las alarmas

El 17 de febrero se publicó una nueva versión que incorporó:

• Permisos adicionales considerados invasivos.
• Scripts capaces de exponer el tráfico del usuario.
• Comunicación con un servidor externo de comando y control.
• Un mecanismo de ejecución remota oculto mediante carga de píxeles de imagen.
• Exposición a técnicas como el clickjacking.

Este último método permite manipular lo que el usuario cree estar haciendo en pantalla, facilitando el robo de datos o la autorización involuntaria de acciones.

En términos prácticos, la extensión pasó de ser una herramienta funcional a convertirse en un intermediario capaz de interceptar información sensible.

---

El giro inesperado: cambio de propietario

La investigación reveló un detalle clave: el desarrollador original no fue quien introdujo el código malicioso.

Dos días después de su publicación en la tienda, QuickLens fue puesta en venta en ExtensionHub, un mercado de compraventa de extensiones. El nuevo propietario asumió el control el 1 de febrero y, apenas dieciséis días después, lanzó la versión 5.8 con los cambios sospechosos.

Este patrón —comprar una extensión con buena reputación y base de usuarios para luego modificarla— es una estrategia creciente en el ecosistema de ciberataques.

---

¿Por qué apuntar a criptomonedas?

Las billeteras digitales y plataformas de intercambio son objetivos atractivos porque:

• Las transacciones son rápidas y difíciles de revertir.
• Los fondos pueden transferirse sin intermediarios.
• Muchas cuentas están protegidas solo por credenciales y autenticación básica.

Si un atacante obtiene acceso, puede vaciar fondos en minutos.

---

Lecciones clave para los usuarios

Este caso deja varias advertencias:

🔐 No confíe ciegamente en extensiones verificadas.
La insignia en la tienda no garantiza que futuras actualizaciones sean seguras.

🔄 Revise los permisos después de cada actualización.
Si una herramienta pide nuevos accesos que no necesita para su función, desinstálela.

🧩 Instale solo extensiones esenciales.
Cuantas más extensiones tenga, mayor es la superficie de ataque.

🔑 Active autenticación en dos pasos en servicios financieros y de criptomonedas.

📢 Manténgase atento a notificaciones oficiales de seguridad.

---

Una amenaza silenciosa

El caso QuickLens demuestra cómo una herramienta aparentemente inofensiva puede convertirse, mediante una sola actualización, en un canal de ataque masivo.

No fue un error visible ni un enlace sospechoso: fue una modificación interna, silenciosa y estratégica.

En el entorno digital actual, la seguridad no depende solo de evitar correos fraudulentos. También exige revisar qué herramientas instalamos y qué permisos concedemos. Porque, como en este caso, la puerta de entrada puede estar justo en el navegador que usamos todos los días.