Investigadores de ciberseguridad han alertado sobre la aparición de una extensión fraudulenta para Google Chrome diseñada para robar claves API de la plataforma de intercambio de criptomonedas MEXC, permitiendo a los atacantes generar y ocultar claves con permisos de retiro, lo que supone un grave riesgo para los fondos de los usuarios.

Ilustración de extensión maliciosa de Chrome robando API keys de MEXC

Las plataformas de criptomonedas vuelven a situarse en el punto de mira de ataques sofisticados. En esta ocasión, el objetivo es MEXC, víctima de una extensión que utiliza técnicas avanzadas de sustracción y manipulación de API keys, afectando potencialmente a usuarios en todo el mundo. El incidente vuelve a evidenciar los riesgos asociados al uso de extensiones de navegador en entornos financieros.

La amenaza procede de la extensión denominada “MEXC API Automator”, que tras su instalación intercepta la actividad del usuario, inyecta código malicioso y genera nuevas claves API con permisos de retiro. Posteriormente, oculta dichos permisos mediante la manipulación de la interfaz y exfiltra la información robada hacia un bot de Telegram controlado por los atacantes. El ataque solo funciona si el usuario está autenticado previamente en MEXC.

El robo de claves API con permisos de retiro abre la puerta a que los ciberdelincuentes vacíen fondos rápidamente sin que la víctima lo note, incrementando el riesgo de pérdidas económicas directas y posibles daños reputacionales. El margen de maniobra depende del tiempo que tarde la víctima o la plataforma en detectar y revocar las claves generadas.

Los expertos recomiendan auditar las extensiones instaladas, eliminar cualquier plugin sospechoso o no verificado y reforzar la gestión de claves API. También aconsejan monitorizar registros de actividad, habilitar alertas y fomentar la educación en buenas prácticas de seguridad digital.

Casi al cierre del informe, los analistas subrayan los principales elementos del caso:

  • Extensión maliciosa en Chrome roba claves API con permisos de retiro

  • La extensión oculta permisos y envía datos mediante Telegram

  • Riesgo económico elevado por posible vaciado de fondos

  • Se exige mayor control y verificación de extensiones del navegador

  • La gestión y revocación de API keys es clave para mitigar daños

La aparición de esta herramienta maliciosa supone un recordatorio de que la ciberseguridad en plataformas financieras y de criptomonedas exige una postura proactiva, un control estricto de las extensiones instaladas y una gestión responsable de las API keys.

Más información