Recientemente se reveló que piratas informáticos se habían apoderado de una popular extensión de conversión de formato de imagen de Chrome, "Guardar imagen como tipo", con más de un millón de usuarios, y se le había implantado un código malicioso. Los investigadores de seguridad pidieron a los usuarios relevantes que desinstalen la extensión de inmediato. Google lo eliminó a principios de este mes, pero antes de eso, la herramienta probablemente estuvo alterando silenciosamente el comportamiento del navegador de decenas de miles de usuarios durante semanas. Las investigaciones revelaron que el grupo detrás del ataque también estaba vinculado a docenas de extensiones de Chrome y Edge secuestradas.

Teniendo en cuenta que las extensiones de navegador han sido durante mucho tiempo un objetivo popular para los atacantes, este incidente pone de relieve una vez más los riesgos de seguridad del ecosistema de extensiones. Aunque los principales fabricantes de navegadores limpian periódicamente extensiones que pretenden ser bloqueadores de publicidad, descargas de vídeos o VPN gratuitas, pero que en realidad contienen código malicioso, sigue siendo difícil detectar todos los problemas a tiempo. En el caso de "Guardar imagen como tipo", el atacante se centró en un tipo de función que se ha vuelto cada vez más común con la popularidad de los formatos de imagen de nueva generación como WebP: la conversión con un solo clic de imágenes de páginas web a un formato más común para uso local.

Actualmente, para acelerar la carga y ahorrar ancho de banda, la mayoría de los sitios web han adoptado ampliamente formatos de imagen modernos como WebP y AVIF. Estos formatos tienen tamaños de archivo más pequeños y mantienen una calidad de imagen cercana a la de JPEG y PNG. Sin embargo, WebP todavía carece de soporte completo en muchas aplicaciones de uso común fuera de los navegadores, lo que hace que los usuarios a menudo encuentren problemas de compatibilidad al procesar dichas imágenes localmente. Para sortear este obstáculo, muchas personas instalan extensiones de navegador para convertir imágenes automáticamente a formatos tradicionales, lo que también proporciona un punto de entrada para los atacantes.

En lugar de desarrollar una extensión maliciosa desconocida desde cero, los atacantes se apoderan cada vez más de extensiones existentes que ya cuentan con una base establecida de confianza por parte de los usuarios. Algunos grupos invaden cuentas de desarrolladores a través de lagunas, pero esta vez el grupo "Karma" que manipula "Guardar imagen como tipo" parece haber adoptado un enfoque más simple y directo: adquirir la extensión directamente del autor original. Según el análisis de XDA Developers, la extensión cambió de propietario entre el 13 y el 29 de noviembre del año pasado, y a finales de ese mes se implantó un nuevo código para redirigir el tráfico de usuarios para "ganar" comisiones de afiliados por el comportamiento de compra en Amazon, Adidas, Shein y otros minoristas.

El investigador de seguridad Wladimir Palant documentó y analizó las actividades de Karma a finales de 2024 y principios de 2025 y descubrió que el grupo estaba asociado con múltiples extensiones de Chrome que llevaban cargas maliciosas similares. Microsoft eliminó una extensión de conversión de imágenes de la tienda Edge en 2025 y la marcó como malware. Sin embargo, según XDA, esta extensión provino de un desarrollador diferente y no se encontró ninguna conexión de código directo con Karma.

Para los usuarios que temen verse afectados, los expertos en seguridad recomiendan desinstalar Guardar imagen como tipo inmediatamente y reemplazarlo con otras alternativas confiables. XDA también lanzó métodos de detección para ayudar a los usuarios a confirmar si la extensión comprometida dejó rastros residuales en el sistema. En la realidad de que las extensiones del navegador se han convertido repetidamente en un trampolín para los ataques, es posible que los usuarios deban ser más cautelosos al seleccionar y conservar extensiones durante mucho tiempo, y prestar atención a señales anormales como la propiedad de la extensión y los cambios de permisos de manera oportuna.