Una nueva amenaza cibernética está poniendo en jaque la seguridad empresarial a nivel global. Investigadores de la firma de ciberseguridad Huntress han identificado una sofisticada campaña de ataque denominada CrashFix, que utiliza una extensión maliciosa para navegadores Chromium llamada NexShield. Este complemento, disfrazado como un bloqueador de anuncios legítimo, no solo compromete la experiencia de navegación, sino que instala un troyano de acceso remoto capaz de robar credenciales bancarias, contraseñas corporativas y datos sensibles. Lo más preocupante: esta amenaza está dirigida específicamente a entornos empresariales.
¿Cómo Opera NexShield? Una Amenaza Multifasética
NexShield representa una evolución significativa en las tácticas de ingeniería social utilizadas por los ciberdelincuentes. La extensión se distribuye a través de anuncios maliciosos que aparecen en los resultados de búsqueda de Google cuando los usuarios buscan bloqueadores de publicidad. Los atacantes han creado sitios web de aspecto profesional que imitan la página oficial de uBlock Origin Lite, un bloqueador de anuncios legítimo con más de 14 millones de usuarios.
Una vez instalada, la extensión permanece inactiva durante aproximadamente una hora, una estrategia deliberada para evitar la asociación inmediata entre la instalación y cualquier comportamiento sospechoso. Según el análisis técnico de Huntress, NexShield es casi un clon completo de la versión legítima de uBlock Origin Lite, con la diferencia crítica de que incorpora código malicioso en el archivo “background.js”, que es aproximadamente 14% más grande que el original.
Después del período de latencia inicial, la extensión activa su carga útil destructiva: genera millones de conexiones de puerto Chrome en un bucle infinito, saturando la CPU y la memoria del sistema hasta provocar el bloqueo total del navegador. Este ataque de denegación de servicio contra el propio navegador es lo que da nombre a la variante CrashFix del ataque ClickFix.
ModeloRAT: El Troyano que Apunta a Entornos Corporativos
Cuando la víctima intenta reiniciar el navegador después del bloqueo forzado, NexShield despliega una ventana emergente que simula una alerta de seguridad de Microsoft Edge. El mensaje indica que el cierre fue “anómalo” y sugiere ejecutar un escaneo de seguridad. Al seguir las instrucciones, que incluyen abrir el cuadro de diálogo de Windows (Win + R) y pegar un comando desde el portapapeles (Ctrl + V), el usuario ejecuta sin saberlo un script de PowerShell altamente ofuscado.
Este comando inicia una cadena de descarga que utiliza la herramienta legítima de Windows “finger.exe” para recuperar y ejecutar un troyano de acceso remoto desarrollado en Python denominado ModeloRAT. Lo que hace especialmente peligroso a este malware es su capacidad de discriminación: según los investigadores de Huntress, ModeloRAT solo se instala completamente en sistemas unidos a dominio corporativo. Para equipos domésticos independientes, el servidor de comando y control simplemente devuelve un mensaje de prueba, confirmando que el objetivo principal son las redes empresariales.
ModeloRAT cuenta con capacidades avanzadas que incluyen reconocimiento del sistema, ejecución de comandos PowerShell, modificación del registro de Windows, establecimiento de persistencia, comunicaciones encriptadas con servidores de comando y control, y técnicas anti-análisis. Los investigadores atribuyen esta campaña al grupo de ciberdelincuentes conocido como KongTuke (también rastreado como 404 TDS, Chaya_002 y TAG-124), activo desde principios de 2025 y vinculado a operaciones de ransomware como Rhysida e Interlock.
Cómo Proteger su Empresa: Soluciones Fortinet para una Defensa Integral
Ante amenazas cada vez más sofisticadas como NexShield, las organizaciones requieren soluciones de seguridad multicapa que vayan más allá de la protección antivirus tradicional. Fortinet ofrece un ecosistema integrado de servicios de seguridad diseñados específicamente para contrarrestar este tipo de ataques:
FortiGuard Antivirus Service proporciona protección automatizada contra amenazas polimórficas, virus, malware (incluyendo ransomware) y otras amenazas emergentes. Utiliza un lenguaje de reconocimiento de patrones de contenido (CPRL) combinado con inteligencia artificial y aprendizaje automático, lo que permite identificar malware que no tiene firma conocida, una capacidad fundamental contra amenazas de día cero como ModeloRAT.
FortiGuard AI-Powered Inline Malware Prevention Service va un paso más allá al bloquear archivos sospechosos en tiempo real mientras se analizan, evitando que malware desconocido ingrese a la red. Esta solución combina antivirus, filtrado avanzado de amenazas, análisis estático y dinámico, redes neuronales profundas e inteligencia de amenazas de FortiGuard Labs para entregar veredictos en tiempo real sin comprometer la productividad.
FortiClient ofrece protección integral de endpoints con capacidades de detección y respuesta (EDR), acceso remoto seguro con VPN integrada, protección contra ransomware que restaura automáticamente archivos cifrados, y protección contra exploits. Su módulo de protección basada en la nube consulta a FortiGuard para determinar si archivos de alto riesgo son maliciosos antes de permitir su ejecución.
FortiGuard Web Filtering Service bloquea el acceso a sitios maliciosos y dominios recién registrados sospechosos, lo que habría impedido que los usuarios accedieran a las páginas falsas de descarga de NexShield. Esta capa de protección es fundamental, ya que previene el vector de infección inicial.
Además, las soluciones Fortinet se integran nativamente en el Fortinet Security Fabric, permitiendo detección coordinada y respuesta automatizada en toda la superficie de ataque. Cuando un componente identifica una amenaza, esa inteligencia se comparte instantáneamente con otros elementos del ecosistema, creando una defensa adaptativa en tiempo real.
Recomendaciones Prácticas para Organizaciones
Las empresas deben implementar una estrategia de seguridad en múltiples niveles que incluya políticas estrictas de gestión de extensiones de navegador. Esto implica establecer listas blancas de extensiones aprobadas, bloquear la instalación no autorizada de complementos, y realizar auditorías periódicas de las extensiones instaladas en los equipos corporativos.
La capacitación continua del personal es igualmente crítica. Los empleados deben aprender a identificar señales de advertencia como mensajes que solicitan ejecutar comandos en el sistema operativo, permisos excesivos solicitados por extensiones, y comportamientos anormales del navegador. Es fundamental que comprendan que ninguna herramienta legítima debe requerir la ejecución manual de comandos PowerShell para “corregir errores”.
Las organizaciones también deben mantener actualizados todos los navegadores, sistemas operativos y soluciones de seguridad, implementar autenticación multifactor para todos los accesos corporativos, establecer segmentación de red para limitar el movimiento lateral en caso de compromiso, y realizar respaldos frecuentes y verificados de datos críticos.
Si se sospecha que NexShield u otra extensión maliciosa está instalada, se debe eliminar inmediatamente desde el administrador de extensiones, ejecutar un análisis completo del sistema con herramientas de seguridad avanzadas, cambiar todas las contraseñas utilizadas desde el navegador afectado (especialmente las vinculadas a sistemas financieros y corporativos), y notificar al equipo de seguridad de TI para iniciar una investigación de incidentes.
Proteja su Empresa con Soluciones Fortinet Implementadas por Novanet
La amenaza que representa NexShield es solo un ejemplo de las tácticas cada vez más sofisticadas que emplean los ciberdelincuentes para comprometer redes corporativas. En Novanet, contamos con la experiencia y certificaciones necesarias para diseñar e implementar soluciones de ciberseguridad Fortinet adaptadas a las necesidades específicas de su organización.
Nuestro equipo de especialistas puede ayudarle a evaluar su postura de seguridad actual, identificar vulnerabilidades críticas, diseñar una arquitectura de seguridad multicapa, e implementar las soluciones Fortinet más adecuadas para proteger su infraestructura tecnológica. No espere a ser víctima de un ataque para tomar acción.
Contáctenos hoy mismo para una evaluación de seguridad sin compromiso y descubra cómo podemos fortalecer las defensas de su empresa contra amenazas avanzadas como NexShield, ModeloRAT y las innumerables variantes que emergen diariamente.
Fuentes consultadas:
- Huntress: “Dissecting CrashFix: KongTuke’s New Toy” (Enero 2026)
- Help Net Security: “Fake browser crash alerts turn Chrome extension into enterprise backdoor” (Enero 2026)
- BleepingComputer: “Fake ad blocker extension crashes the browser for ClickFix attacks” (Enero 2026)
- The Hacker News: “CrashFix Chrome Extension Delivers ModeloRAT Using ClickFix-Style Browser Crash Lures” (Enero 2026)
- Fortinet: Documentación oficial de FortiGuard Security Services