{"id":1189,"date":"2026-06-15T11:26:22","date_gmt":"2026-06-15T11:26:22","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/06\/15\/152-extensiones-de-fondos-de-pantalla-de-chrome-con-105-000-instalaciones-vinculadas-a-adware-y-trafico-falso-cyberdefensa-mx\/"},"modified":"2026-06-15T11:26:22","modified_gmt":"2026-06-15T11:26:22","slug":"152-extensiones-de-fondos-de-pantalla-de-chrome-con-105-000-instalaciones-vinculadas-a-adware-y-trafico-falso-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/06\/15\/152-extensiones-de-fondos-de-pantalla-de-chrome-con-105-000-instalaciones-vinculadas-a-adware-y-trafico-falso-cyberdefensa-mx\/","title":{"rendered":"152 extensiones de fondos de pantalla de Chrome con 105.000 instalaciones vinculadas a adware y tr\u00e1fico falso \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"<div id=\"articlebody\">\n<p>Investigadores de ciberseguridad han descubierto una red de 152 extensiones de Google Chrome que act\u00faan como complementos de fondos de pantalla animados en nuevas pesta\u00f1as para distribuir una familia de programas potencialmente no deseados (PUP).<\/p>\n<p>El cl\u00faster abarca 38 cuentas de editor independientes de Chrome Web Store y tres backends de marca: tabplugins[.]com, yowgames[.]com y chromewallpaper[.]com. Se han instalado colectivamente 105.000 veces. Los nombres de algunas de las extensiones se enumeran a continuaci\u00f3n:<\/p>\n<ul>\n<li>Neymar \u2013 Fondo de pantalla animado de f\u00fatbol (laafpeklcnlfmjaofbndehkjpnccbhek)<\/li>\n<li>Satoru Gojo Manga Fondo de pantalla en vivo (mnpacdigbockiilmilhbedciadenfdnb)<\/li>\n<li>Porsche 911 \u2013 Fondo de pantalla en vivo de autos deportivos (trabajador de servicio muerto) (iedplnnolciaofkakkjmcojnmklpfikg)<\/li>\n<li>Satoru Gojo Live Wallpaper (ipiabbhciknabpoihaakdahgghllelpj)<\/li>\n<li>Hello Kitty Wallpapers HD Nueva pesta\u00f1a (hijpkhinofkdobfagfbobnnoihmopgkk)<\/li>\n<li>Pusheen Cat Wallpapers HD Nueva pesta\u00f1a (famchdjojcnakamhkddkpaglnkonkfnl)<\/li>\n<li>Peach &amp; Goma Wallpapers HD Nueva pesta\u00f1a (nomekamioepglinefhenifnbegjhfiai)<\/li>\n<li>Spider-Man Miles Morales Swing Live Wallpaper (jjngbcodoldjmpjpfbhfelaljbdlkekh)<\/li>\n<li>BMW M3 Neon Night Drive Fondo de pantalla en vivo (gfikbhpfjldbbikolkcimfgmejhdkjbe)<\/li>\n<li>Fondos de pantalla de BMW (dbiamdajndfmpmmeklcbbnekhkdcakhf)<\/li>\n<li>Death Note Anime Wallpapers HD Nueva pesta\u00f1a (pkdloppfapenphihgbldhjjlfhgnkmcg)<\/li>\n<li>Sonic Frontiers Starfall Live Wallpaper (imkepemaflommlonnppjobgdpokbfmoj)<\/li>\n<li>Tanjiro \u2013 Demon Slayer Live Wallpaper (ibglidkppckhminbhbgcajomjplomcka)<\/li>\n<li>Fondo de pantalla de nueva pesta\u00f1a de Neymar (gkbfokaephnaajnmpgiieidpfieamggb)<\/li>\n<li>Anime Car Drift Live Wallpaper (bcafgkhoifffmnoajkgmbhcojpabjffm)<\/li>\n<li>Nueva pesta\u00f1a de Fondos de pantalla de Choso (ojeaociifmdciibodcifjjocdlbjjeep)<\/li>\n<li>Anime lluvia fondo de pantalla en vivo (npcghghfkbpgiamoifabankdnmopenni)<\/li>\n<li>Minecraft Sakura Pond Live Wallpaper (mjdhgndjbajnanfimjipafechjbakdhh)<\/li>\n<li>Sombrero de Paja Live Wallpaper Fantasma de Tsushima (lblgjffllphdepifdkfhlihddckhlkll)<\/li>\n<li>Zenitsu Agatsuma Live Wallpaper (laeciedchhnmnfhllplcgkfcdbdfgdhn)<\/li>\n<\/ul>\n<p>\u00abCada listado declara en Chrome Web Store que no recopilar\u00e1 ni utilizar\u00e1 datos del usuario, mientras que la pol\u00edtica de privacidad vinculada admite lo contrario: que las extensiones registren direcciones IP, ISP, recuentos de clics y referencias y compartan esos datos con Google AdSense, DoubleClick y socios publicitarios externos\u00bb, dijo el investigador de seguridad de Socket, Kush Pandya. <a href=\"https:\/\/socket.dev\/blog\/152-chrome-live-wallpaper-extensions-hid-ad-tracking#Attribution\">dicho<\/a>.<\/p>\n<div class=\"dog_two clear\">\n<div class=\"cf\"><a href=\"https:\/\/thehackernews.uk\/ai-cant-stop-d\" rel=\"nofollow noopener sponsored\" target=\"_blank\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEjPEV6-530TOlxG6PjrmdlY623wpBwduZ7t1HV6flcmO5R4q4AmfixDUzW0CrhlvMVNWbhvOIso-UDNTka4W_W9Chrdj_dglwBZwi7DuePM2IMIl-hfUYVIqBXgfpr_2619K8Gptb4LzwJ6gUbi7lWl2M8AFQJsHEaw63Q7tZ6708YGruiHrr0Y2W9YYxLQ\/s728-e100\/ThreatLocker-d.png\" width=\"729\" height=\"91\"\/><\/a><\/div>\n<\/div>\n<p>Es m\u00e1s, un subgrupo de extensiones identificadas define dos URL codificadas en un archivo JavaScript (\u00abjs\/bg.js\u00bb) que se activan durante las operaciones de instalaci\u00f3n y desinstalaci\u00f3n:<\/p>\n<ul>\n<li>La URL de instalaci\u00f3n incluye los par\u00e1metros del m\u00f3dulo de seguimiento de Urchin (UTM) \u00abutm_source=google&amp;utm_medium=organic&amp;utm_campaign=tanjiro-demon-slayer-live-wallpaper\u00bb, disfrazando as\u00ed la extensi\u00f3n que abre una pesta\u00f1a de instalaci\u00f3n como una b\u00fasqueda \u00aborg\u00e1nica\u00bb.<\/li>\n<li>La URL de desinstalaci\u00f3n es un contenedor de redireccionamiento google.com\/url que disfraza la desinstalaci\u00f3n como una actividad genuina de la B\u00fasqueda de Google.<\/li>\n<\/ul>\n<p>La b\u00fasqueda org\u00e1nica en motores de b\u00fasqueda como Gook se refiere a los listados no pagados en una p\u00e1gina de resultados de un motor de b\u00fasqueda (SERP) generados por algoritmos. Su ubicaci\u00f3n se basa en par\u00e1metros como relevancia, autoridad y optimizaci\u00f3n de motores de b\u00fasqueda (SEO), y es diferente de los resultados patrocinados.<\/p>\n<p>La idea detr\u00e1s de estas extensiones, dijo Socket, es crear artificialmente esa se\u00f1al, lo que esencialmente equivale a fabricar el origen de su propio tr\u00e1fico.<\/p>\n<p>\u00abLa visita no es una persona que busc\u00f3 en Google; es la extensi\u00f3n que abre una pesta\u00f1a por s\u00ed sola y la marca &#8216;lleg\u00f3 de la b\u00fasqueda org\u00e1nica de Google&#8217;\u00bb, explic\u00f3 la compa\u00f1\u00eda.<\/p>\n<div class=\"dog_two clear\">\n<div class=\"cf\"><a href=\"https:\/\/thehackernews.uk\/vpn-threat-report-m\" rel=\"nofollow noopener sponsored\" target=\"_blank\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEhFlTC7RrRZGiFAgASS0noWSL0qsQGFVp8-Hvuw9yp3X3VKRuTcb5SsPX09wJzrdIM6pu1_5lS4EeZp7Sx4iYBpNJkrGnpr08yyaS1HQ5_5TxaCsP6O0OtHNuOkesn6CbNjao1GPulCJk-uljYMSfMZfBYNrngpe669t7jlRn1FqiEnXhsFD1WVkpaYIVgh\/s728-e100\/ai-d.jpg\" width=\"729\" height=\"91\"\/><\/a><\/div>\n<\/div>\n<p>\u00abEl ping de desinstalaci\u00f3n va un paso m\u00e1s all\u00e1, envolviendo el destino en el formato exacto google.com\/url que Google usa para clics en resultados de b\u00fasqueda reales, incluidos los tokens ved y usg firmados, por lo que el resultado parece un humano haciendo clic en un resultado de Google\u00bb.<\/p>\n<p>Los archivos JavaScript tambi\u00e9n vienen equipados con una capacidad inactiva para enumerar y eliminar cada base de datos IndexedDB que pueda encontrar al iniciar un trabajador de servicio.<\/p>\n<p>Se considera que la campa\u00f1a es una \u00aboperaci\u00f3n afiliada de fraude de atribuci\u00f3n de tr\u00e1fico y publicidad comercial con motivaci\u00f3n financiera\u00bb, aunque se desconoce su procedencia exacta. Los indicadores circunstanciales disponibles sugieren que podr\u00eda tener su origen en Turqu\u00eda.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"<p>Investigadores de ciberseguridad han descubierto una red de 152 extensiones de Google Chrome que act\u00faan como complementos de fondos de pantalla animados en nuevas pesta\u00f1as para distribuir una familia de programas potencialmente no deseados (PUP). El cl\u00faster abarca 38 cuentas de editor independientes de Chrome Web Store y tres backends de marca: tabplugins[.]com, yowgames[.]com y [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":752,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25,5],"tags":[3105,17,31,24,314,385,3103,3104,1373,1890,749],"class_list":["post-1189","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-trending","tag-adware","tag-chrome","tag-con","tag-cyberdefensa-mx","tag-extensiones","tag-falso","tag-fondos","tag-instalaciones","tag-pantalla","tag-trafico","tag-vinculadas"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/1189","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=1189"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/1189\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/752"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=1189"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=1189"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=1189"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}