Mozilla Fake Extensions Investigation
Noticias › Investigaciones
Investigación • 6-8 minutos de lectura

Más de 150 extensiones falsas de Mozilla: un único backend y publicidad de pago

Los medios de comunicación culparon a los «osos rusos» de más de 150 extensiones falsas de Mozilla. Nuestras investigaciones revelan una infraestructura nigeriana (IP 185.208.156.66), kits de phishing reutilizados y cómo los artículos pagados contribuyeron a difundir el mito.

4 minutos de lectura· Actualizado Marzo de 2026· PhishDestroy Intelligence
Lee el artículo completo en el blog
Publicado originalmente el Medio — PhishDestroy

La narrativa engañosa

Una historia sobre «Más de 150 extensiones falsas de Mozilla» La noticia, vinculada a una supuesta «pista rusa», se difundió ampliamente en los principales medios especializados en criptomonedas y seguridad. Suena dramático, pero nuestro análisis demuestra que esta versión es engañosa —y lo que es peor, protege a los verdaderos responsables.

Más de 150 extensiones de baja calidad en un único backend

Todas las extensiones de esta campaña fueron:

  • No es original, parece copiado y pegado.
  • Solo variaban los logotipos y los nombres.
  • Todo conectado a un un único backend.
IP del backend: 185.208.156.66
El dominio del backend era alladdsite[.]digital/app.php. La mayoría de los dominios vinculados a esta IP ya no están activos, pero los archivos han conservado instantáneas a través de Urlscan y WebArchive.

Nuestras medidas contra esta campaña

Como grupo voluntario de inteligencia sobre amenazas especializado en el desmantelamiento de infraestructuras de phishing y estafas, nosotros:

  • Envié informes directamente a Mozilla para señalar extensiones maliciosas.
  • Se ha remitido a Allí, solicitando ayuda profesional para acelerar la prohibición.
  • Se ha publicado un informe en Chainabuse para darlo a conocer a la comunidad.
  • Introdujo millones de frases semilla vacías en el sistema de gestión de los atacantes para corromper los datos robados.

Por qué no se trata de una infraestructura «rusa»

Los autores de amenazas de habla rusa suelen utilizar:

  • Servidores distribuidos (Cloudflare Workers, Firebase, Amazon, enlaces únicos por campaña).
  • Ofuscación y redundancia para evitar puntos únicos de fallo.

En cambio, esta campaña demostró que:

  • A Proveedor de alojamiento web nigeriano.
  • Dominios relacionados con estafas bancarias, carteras de criptomonedas falsas y estafas de envíos falsos.
  • Una cuenta de Telegram que recibe datos robados vinculados a un Operador nigeriano.
«Los grupos rusos crean infraestructuras sofisticadas. Esta era barata, centralizada y poco sofisticada: exactamente lo que ya habíamos visto antes en servidores nigerianos».

El problema de los medios de pago

La publicidad de pago tiene graves consecuencias:

  1. Se publica un artículo de pago en un medio de prestigio.
  2. Cientos de sitios web más pequeños, blogs y canales de Telegram lo reescriben o lo traducen.
  3. En cuestión de días, se convierte en una enorme historia falsa que da la impresión de ser verídica.
«Las víctimas ven "el rastro ruso", creen que el caso está cerrado y dejan de denunciar a las autoridades. Los verdaderos delincuentes siguen impunes».

Ejemplo: Angel Drainer

Todos los principales medios de comunicación publicaron titulares sobre «Angel Drainer se ha cerrado tras la identificación de los desarrolladores». ¿Pero era cierto, o solo se trataba de otro anuncio pagado que se repitió hasta que pareció creíble? Para los delincuentes, comprar artículos es calderilla; para las víctimas, lo cambia todo.

Empresas de ciberseguridad que contratan sus propios servicios de relaciones públicas

Las empresas de ciberseguridad pagan decenas de miles de dólares por artículos sobre ellas mismas, sus investigaciones y su impacto. Esto plantea algunas preguntas fundamentales:

  • ¿Por qué un grupo de ciberseguridad de verdad tiene que pagar por una póliza de seguro?
  • ¿Están intentando borrar las huellas del verdadero hacker?
  • ¿O aprovechar la identidad del hacker para chantajear o obtener ventajas competitivas?
  • ¿El objetivo es reforzar la confianza... o manipular la percepción para obtener beneficios?
«Si la ciberseguridad se convierte en otro juego de relaciones públicas, en el que los hechos vienen determinados por quién paga más, la confianza en este ámbito se derrumbará».

Datos del mercado

No es ningún secreto:

  • En Fiverr, Upwork y plataformas especializadas en relaciones públicas, puedes comprar directamente «artículos de autor invitado».
  • Los proveedores envían hojas de cálculo de Google con decenas de puntos de venta y precios, entre los que se incluyen marcas conocidas de ciberseguridad.
  • Algunos prometen: «Por un suplemento, sin etiquetas de patrocinadores».

Entre los objetivos declarados para la compra de artículos se incluyen:

  • Creación de enlaces (SEO).
  • Tráfico y ventas.
  • Reconocimiento de marca.
  • Gestión de la reputación (ocultar los aspectos negativos).
  • Verificación social.
  • Listas de publicaciones para solicitudes de visado.

Los costes mencionados incluyen más de 20 000 dólares para espacios de entrevista de pago en los principales medios de comunicación especializados en criptomonedas.

«Esto no es periodismo. Es un mercado, donde la credibilidad se compra y se vende».

Negocios frente a mentiras

Publicar contenido de pago no es ilegal: es un negocio. Pero cuando se traspasa la línea... difundir afirmaciones falsas, desviar las investigaciones y hacer pasar las estrategias de relaciones públicas por hechos, se convierte en parte del problema.

Conclusión

PhishDestroy es una iniciativa de ciberseguridad impulsada por voluntarios que no cobra, no vende anuncios ni obtiene beneficios. Los hechos son claros:

  • Más de 150 extensiones de Mozilla redirigidas a un único servidor de alojamiento en Nigeria.
  • Los datos se enviaron a una cuenta de Telegram de Nigeria.
  • La historia del «hilo conductor ruso» es inventada.
  • La cobertura mediática patrocinada amplificó esta invención hasta que pareció verdad.
  • Incluso las propias empresas de ciberseguridad invierten en autopromoción.
«Vender anuncios es un negocio. Vender mentiras como si fueran hechos protege a los delincuentes. Y cuando incluso el sector de la ciberseguridad se dedica a vender narrativas, las víctimas —y la justicia— salen perdiendo».

Aviso legal

No estamos acusando a ninguna persona, empresa ni medio de comunicación. Todos los datos son de dominio público y pueden verificarse a través de archivos públicos, escáneres e informes. La verdadera pregunta es: ¿Por qué se controlan y amplifican este tipo de narrativas? ¿A quién beneficia que una empresa de seguridad desconocida publique una megainvestigación inexacta que desvía la atención de los verdaderos responsables?

#MozillaExtensions#PaidMedia#Disinformation#ThreatIntel#OSINT

Comparte esta investigación

X / Twitter Telegram Reddit LinkedIn

Investigaciones relacionadas

Keitaro TDS: 1,500 Panels Exposed, Zero Legit Uses
INVESTIGACIÓN
Keitaro TDS: 1.500 paneles expuestos, ningún uso legítimo
Steam BlockBlasters Malware: Platform Negligence Exposed
INVESTIGACIÓN
Malware «BlockBlasters» en Steam: se pone de manifiesto la negligencia de la plataforma
Scammers Exposed: 4 Scam Backends Dissected
INVESTIGACIÓN
Estafadores al descubierto: análisis de cuatro plataformas de estafa
Aviso sobre transparencia. PhishDestroy es un proyecto sin ánimo de lucro impulsado por voluntarios. Nuestra investigación puede reflejar un sesgo inherente contra las infraestructuras de estafa y los servicios que las facilitan. Animamos a los lectores a que evalúen todo el material de forma crítica e independiente. Lee nuestra declaración de transparencia completa →