Lo que parecía una herramienta fiable de privacidad terminó siendo un caso de espionaje digital masivo. La firma de ciberseguridad KOI Security ha destapado el comportamiento malicioso de FreeVPN.One, una extensión para Chrome con más de 100 000 descargas y con sello de verificación en la Chrome Web Store, que en realidad captura la actividad completa de sus usuarios y la envía a servidores externos.
De la promesa de privacidad al spyware encubierto
FreeVPN.One se presentaba como una VPN gratuita y segura, con la garantía de la insignia Featured de Google. En su descripción aseguraba no recopilar datos, pero la investigación de KOI Security demostró lo contrario: la extensión dispara un proceso oculto cada 1,1 segundos para capturar pantallazos del navegador, asegurándose de que la página esté completamente cargada.
El resultado: exposición directa de contraseñas, datos bancarios, documentos corporativos, mensajes privados e incluso fotografías personales.
Una línea temporal del engaño
Según KOI Security y medios especializados como Tom’s Hardware, CyberNews y The Register, la actividad maliciosa no estuvo presente desde el inicio, sino que fue introducida en distintas fases:
- Abril 2025 (v3.0.3): se añaden permisos excesivos (
tabs,<all_urls>). - Junio 2025 (v3.1.1): se introduce la función “AI Threat Detection” como fachada.
- Julio 2025 (v3.1.3): comienza la recolección activa de capturas de pantalla.
- Julio 2025 (v3.1.4): se suma cifrado AES-256-GCM y técnicas de ocultación para dificultar la detección.
Contradicciones en su política de privacidad
Aunque la política de la extensión afirmaba que la función de captura solo se activaba con el consentimiento del usuario, los investigadores detectaron que el espionaje se ejecutaba igualmente en segundo plano. Además, el desarrollador detrás de la app, identificado como CMO Ltd, no proporcionó pruebas de identidad ni transparencia corporativa, y cortó comunicación con los analistas tras ser cuestionado.
El problema de fondo: la confianza en los marketplaces
Lo más preocupante de este caso es que FreeVPN.One contaba con insignia de verificación oficial de Google y ocupaba una posición destacada en la Chrome Web Store. La situación refleja fallos en los mecanismos de validación de extensiones, ya que incluso software malicioso puede escalar hasta las primeras posiciones de descarga, generando una falsa sensación de seguridad.
Estudios recientes confirman que más del 80 % de las extensiones maliciosas imitan a otras verificadas, y que su detección puede tardar meses.
Recomendaciones para CTOs y equipos IT
Para los líderes tecnológicos, este incidente es un recordatorio de que la seguridad debe extenderse también al ecosistema de extensiones de navegador:
- Monitorear comportamientos inusuales en endpoints, incluso en entornos aparentemente seguros.
- Auditar extensiones corporativas antes de su despliegue.
- Restringir permisos excesivos (
<all_urls>,scripting, proxy). - Mantener listas blancas aprobadas de software en navegadores de la empresa.
- Formar a usuarios y empleados para que no confíen ciegamente en insignias de verificación.
El caso FreeVPN.One demuestra cómo una herramienta que se vende como garante de privacidad puede convertirse en un vector de espionaje masivo. Para los CTOs, la lección es clara: verificación no es sinónimo de seguridad. La confianza en herramientas digitales debe estar sustentada en auditorías continuas, gobernanza de TI y vigilancia activa de todo el software que entra en la organización.
