- Al menos 12 extensiones falsas de TikTok en Chrome y Edge han comprometido a más de 130.000 usuarios
- Se hacen pasar por descargadores de vídeos de TikTok, pero activan funciones de espionaje tras meses de uso
- Usan Manifest V3 y configuración remota para cambiar su comportamiento sin que el usuario lo note
- España y Europa se ven afectadas y se recomienda revisar extensiones, borrar las sospechosas y reforzar la seguridad
La enorme popularidad de TikTok se ha convertido en un imán para los ciberdelincuentes, que están aprovechando el tirón de la plataforma para colar extensiones falsas en navegadores como Google Chrome y Microsoft Edge. Bajo la apariencia de simples descargadores de vídeos, estos complementos han conseguido infiltrarse en las tiendas oficiales y llegar a más de 130.000 usuarios en todo el mundo, incluidos miles en Europa y España.
Lejos de ser una anécdota aislada, los investigadores hablan de una campaña bien organizada y a gran escala, en la que los atacantes reutilizan el mismo código para crear múltiples variantes casi idénticas. La jugada es clara: ganar la confianza del usuario con una funcionalidad legítima, acumular buenas valoraciones y, pasado un tiempo, activar en silencio un sistema de espionaje altamente preciso.
Cómo funcionan las extensiones falsas de TikTok detectadas
La alerta la ha dado LayerX Security, una firma especializada en ciberseguridad, que ha documentado al menos 12 extensiones maliciosas relacionadas con TikTok publicadas en las tiendas oficiales de Chrome y Edge. Todas comparten la misma base de código, con pequeñas variaciones en el nombre, el icono o la descripción, pero el comportamiento interno es prácticamente el mismo.
Estos complementos se presentan como herramientas para descargar vídeos de TikTok, a menudo sin marca de agua. Nombres como “TikTok Downloader – Save Videos, No Watermark”, “Mass TikTok Video Downloader” o “TikTok Video Downloader – Bulk Save” resultan muy atractivos para cualquiera que use la versión web de TikTok y quiera guardar contenidos de forma rápida.
En un primer momento, la extensión hace justo lo que promete: permite descargar vídeos desde TikTok de manera aparentemente normal. Esa funcionalidad legítima sirve de fachada perfecta para evitar sospechas y, de paso, conseguir reseñas positivas y una base sólida de usuarios.
Sin embargo, el verdadero objetivo está oculto tras esa primera capa. Todas estas extensiones han sido desarrolladas sobre Manifest V3 (MV3), la arquitectura actual de extensiones para Chrome y derivados. Gracias a ella, pueden conectarse a servidores externos controlados por los atacantes, desde los que reciben archivos de configuración e instrucciones en tiempo real.
Un sistema de espionaje que se activa meses después
Una de las claves de esta campaña es que las extensiones no empiezan a hacer “cosas raras” desde el primer día. Según el análisis de LayerX Security, estas herramientas operan durante entre seis y doce meses con un comportamiento totalmente legítimo. Durante ese periodo, el usuario ve que la extensión descarga vídeos sin problema, acumula confianza y olvida que la instaló.
Cuando las extensiones ya han sumado un buen número de instalaciones, comentarios y valoraciones positivas, los atacantes activan de forma remota la carga maliciosa. No hay avisos, ni nuevas ventanas, ni peticiones de permisos adicionales: el cambio de comportamiento se produce en segundo plano y, a ojos del usuario, todo parece seguir igual.
A partir de ese momento, el complemento empieza a modificar su configuración y habilitar funciones ocultas. Entre otras cosas, puede redirigir tráfico a puntos finales maliciosos, ampliar los dominios que monitoriza, o activar mecanismos avanzados de seguimiento sin intervención del usuario.
Este modelo “en dos fases” —primero ganarse la confianza, luego atacar— supone un salto cualitativo respecto a campañas más básicas, donde el comportamiento malicioso era inmediato y, por tanto, más fácil de detectar y bloquear. Aquí prima la paciencia y la construcción de reputación, lo que complica mucho la labor tanto de los usuarios como de las propias tiendas de extensiones.
Datos que recopilan y por qué son tan peligrosas
Una vez activas, las extensiones empiezan a recoger una gran cantidad de datos del navegador. No se limitan a lo típico de registrar páginas visitadas, sino que generan huellas digitales muy detalladas de cada usuario. El objetivo es poder identificar de forma única a la persona, incluso si cambia de sesión o se conecta en distintos momentos.
La información recopilada incluye patrones de uso del navegador, frecuencia de navegación, tipo de contenido consumido, zona horaria, configuración del sistema y otros parámetros técnicos. Llama especialmente la atención el uso de indicadores poco habituales, como el nivel de batería del dispositivo, que ayudan a refinar aún más el perfil generado.
Todos estos datos se envían a servidores de comando y control alojados en dominios cuidadosamente disfrazados. Los atacantes recurren a técnicas de typosquatting, es decir, usan direcciones casi idénticas a webs legítimas, con pequeñas variaciones difíciles de detectar a simple vista. Así evitan que los sistemas automáticos de seguridad los bloqueen rápidamente.
El resultado es un sistema de vigilancia digital muy preciso y difícil de rastrear, capaz de seguir la actividad del usuario a lo largo del tiempo y potencialmente cruzar esa información con otros datos robados en distintas campañas. Aunque por ahora no se haya señalado a un grupo concreto, la infraestructura y la coordinación apuntan a un actor bien organizado.
Extensiones concretas implicadas en la campaña
Los investigadores han publicado una lista detallada de las extensiones relacionadas con esta campaña, junto con sus identificadores internos (ID) en Chrome y Edge. Entre las detectadas se encuentran:
- TikTok Downloader – Save Videos, No Watermark (varias variantes con distintos IDs).
- TikTok Video Downloader – Bulk Save.
- TikTok Downloader (versión genérica).
- TikTok Video Downloader – Save Without Watermark (dos variantes diferentes).
- Mass TikTok Video Downloader (múltiples ediciones).
- TikTok Video Keeper.
- Video Downloader for Tiktok.
En conjunto, estas extensiones suman más de 130.000 instalaciones a nivel global, y se calcula que en el momento del último análisis seguían activas unas 12.500. Algunas de ellas llegaron a ser marcadas como “Featured” (Destacadas) en las tiendas oficiales, un sello que normalmente sirve para resaltar herramientas de calidad y que, en este caso, aumentó aún más la sensación de confianza entre los usuarios.
Aunque no se ha publicado un desglose por países, es razonable asumir que usuarios de España y del resto de Europa también se han visto afectados, dado el uso masivo de TikTok y de navegadores basados en Chromium en la región. Cualquier persona que haya instalado recientemente una extensión para descargar vídeos de TikTok desde Chrome o Edge debería revisar con calma su listado de complementos.
Cómo saber si tienes instaladas estas extensiones falsas
La parte complicada de este tipo de campañas es que muchas víctimas no notan nada extraño en su día a día. El navegador funciona con normalidad, TikTok carga bien y los vídeos se descargan como siempre. Para saber si estás afectado, hay que ir directamente a la configuración de extensiones del navegador.
En Google Chrome, puedes acceder escribiendo chrome://extensions en la barra de direcciones (consulta cómo eliminar las notificaciones de Chrome). En Microsoft Edge, la ruta equivalente es edge://extensions. Desde ahí verás un listado completo de los complementos instalados, tanto activos como desactivados.
El siguiente paso es buscar por nombre cualquier referencia a TikTok, “Downloader”, “Video Downloader”, “Mass Downloader” o variantes similares. Si detectas alguna extensión que encaje con la familia descrita (por título, icono o función), es mejor no darle el beneficio de la duda.
Si tu navegador muestra el ID interno de cada extensión, puedes compararlo con los identificadores difundidos por LayerX Security. Aun así, no es necesario complicarse demasiado: si no recuerdas haber instalado la extensión conscientemente, o no tienes claro su origen, lo más prudente es desinstalarla.
Qué hacer si has usado una extensión falsa de TikTok
Si descubres que has tenido instalada alguna de estas extensiones, aunque ya no la uses, es importante actuar con rapidez para minimizar riesgos. Los pasos recomendados por los expertos en seguridad son relativamente sencillos, pero conviene hacerlos con calma.
Lo primero es eliminar la extensión del navegador desde el propio panel de administración de complementos. No basta con desactivarla temporalmente; hay que desinstalarla por completo para cortar cualquier comunicación con los servidores de los atacantes.
Después, conviene cambiar las contraseñas de las cuentas más sensibles, especialmente aquellas a las que hayas accedido desde ese navegador mientras la extensión estaba activa: correo electrónico, redes sociales, banca online, cuentas de compra en línea, etc. Este es un buen momento para activar también la verificación en dos pasos (2FA).
Resulta muy recomendable revisar la actividad reciente en tus perfiles y servicios principales, por si hubiera movimientos extraños: inicios de sesión desde ubicaciones desconocidas, mensajes enviados sin tu consentimiento, compras inesperadas o cambios en la configuración de seguridad.
Finalmente, es buena idea pasar un análisis completo con un antivirus o suite de seguridad actualizada, por si la extensión hubiera descargado componentes adicionales o abierto la puerta a otras amenazas durante el tiempo que estuvo instalada.
Por qué las tiendas oficiales no han frenado esta campaña
Que extensiones de este tipo hayan llegado a publicarse —e incluso a aparecer como destacadas— en las tiendas de Chrome y Edge plantea dudas sobre la eficacia de los sistemas de revisión y validación de Google y Microsoft. Sin embargo, la propia estructura de la campaña explica parte del problema.
Para empezar, los atacantes no crean cada extensión desde cero, sino que reutilizan la misma base de código una y otra vez, cambiando pequeños detalles como el nombre o el texto de la descripción. Si una versión es detectada y retirada, suben enseguida una variante prácticamente idéntica, manteniendo incluso las mismas imágenes promocionales.
A esto se suma el enfoque de activación retardada: durante los primeros meses el complemento se comporta de forma impecable, pasando todas las pruebas automatizadas y auditorías iniciales. Solo cuando ha acumulado suficiente masa crítica de usuarios se encienden las funciones de espionaje, controladas de forma remota.
Además, la arquitectura Manifest V3, pensada en teoría para reforzar la seguridad y limitar el alcance de las extensiones, también introduce mecanismos de comunicación con servidores externos que, en manos malintencionadas, permiten cambiar el comportamiento sin necesidad de publicar nuevas versiones visibles para el usuario.
Todo esto dibuja un escenario en el que, aun existiendo controles, las campañas bien planificadas pueden pasar varios meses bajo el radar. De ahí la insistencia en que el usuario adopte una postura más crítica y no confíe ciegamente en que, por estar en la tienda oficial, una extensión es segura.
Consejos para navegar más seguro si usas TikTok en el navegador
Más allá de este caso concreto, los especialistas subrayan que cada extensión instalada en el navegador aumenta la superficie de ataque. Cuantos más complementos tengas, más puertas potenciales hay para que se cuele una campaña maliciosa. Reducir el número de herramientas añadidas es, en realidad, una medida de seguridad muy efectiva.
La primera recomendación es instalar solo las extensiones que realmente necesites, evitando esos descargadores “comodín” que prometen hacerlo todo, y así ayudar a protegerse del adware.
También conviene revisar con detalle los permisos que pide cada complemento antes de aceptar la instalación. Si una extensión destinada a descargar vídeos solicita acceso completo a todos los sitios web o a tus datos de navegación, es una señal clara de que hay algo que no encaja.
Otra buena práctica es hacer limpieza periódica del navegador: desinstalar lo que ya no uses, eliminar duplicados de funciones (varios bloqueadores, varios descargadores, etc.) y comprobar de vez en cuando qué sigue activo. Esa revisión rápida puede evitar que una extensión quede olvidada durante años.
Por último, es fundamental mantener el navegador y el sistema operativo actualizados, así como utilizar soluciones de seguridad que monitoricen no solo el momento de la descarga, sino también el comportamiento de las extensiones con el paso del tiempo.
A la vista de lo ocurrido con las extensiones falsas de TikTok, queda claro que la combinación de popularidad de una red social, facilidades técnicas y exceso de confianza del usuario es el caldo de cultivo perfecto para campañas de espionaje silenciosas. Mantener el número de complementos bajo mínimos, sospechar de los descargadores “milagrosos” y revisar de vez en cuando lo que tenemos instalado en el navegador se ha vuelto casi tan importante como usar contraseñas robustas o activar la verificación en dos pasos.
