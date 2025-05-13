En el pasado, la mayoría de los ataques "man-in-the-browser" se ejecutaban mediante malware que escaneaba la memoria del navegador para identificar patrones HTML específicos e inyectaba una etiqueta <script> directamente en el contenido en memoria de la página. A pesar de la intención maliciosa, estos scripts seguían sujetos a los mecanismos de seguridad del navegador, como operar dentro de un entorno sandbox, adherirse a la política del mismo origen y estar vinculados al ciclo de vida de la página en la que se inyectaban.

Por ejemplo, los scripts inyectados no podían acceder a cookies o recursos de otros orígenes, ni podían persistir o ejecutarse una vez que se cerraba la página.

En cambio, los ataques modernos que utilizan extensiones maliciosas del navegador superan la mayoría de estas limitaciones. Las extensiones funcionan independientemente de cualquier página web específica, lo que les permite ejecutarse de forma persistente en segundo plano. También tienen privilegios elevados, lo que les permite saltarse las restricciones de mismo origen, acceder a recursos del navegador como cookies o almacenamiento y permanecer activos incluso cuando no hay páginas abiertas. Este cambio ha convertido a las extensiones del navegador en una poderosa herramienta para los atacantes, ya que proporcionan un nivel de persistencia y control muy superior a los métodos tradicionales de inyección web.

Las extensiones también introdujeron un cambio en el contexto de ejecución de JavaScript, que tiene sus propios beneficios maliciosos. Las inyecciones web tradicionales se ejecutaban en el mismo contexto que el código de la aplicación web, incluidas las herramientas de seguridad. Cualquier evidencia que quede (como elementos de script, peticiones de red, variables js, etc.) podría hacer que el malware sea detectable.

Ahora, hay dos entornos JavaScript diferentes además del contexto de la página:

En primer lugar, está el contexto del script de contenido, que tiene acceso al documento de la página pero está parcialmente aislado del entorno de la página principal. Además, existe un contexto de código en segundo plano (un service worker), que no tiene acceso al script de contenido ni al entorno de la página principal.

Todas las comunicaciones entre esos contextos se producen a través de interfaces de navegador definidas que no son visibles para la página ni para sus desarrolladores. La mayoría del comportamiento y la evidencia de las extensiones están aislados por diseño, y la detección es especialmente difícil si no hay cambios en el documento principal.

Además de ofrecer una evasión mejorada, el desarrollo de extensiones de navegador también es sencillo, gracias a la amplia funcionalidad incorporada y a los permisos que proporcionan las modernas API de los navegadores. El siguiente análisis demuestra cómo las extensiones facilitan el desarrollo de ataques complejos.

Dado el mayor control, persistencia, capacidades de evasión y facilidad de desarrollo que brindan las extensiones, el cambio de las técnicas tradicionales de "man-in-the-browser" a ataques basados en extensiones no solo es comprensible, sino inevitable, en la evolución de las amenazas basadas en el navegador.