Alerta: esta falsa extensión para Chrome y Edge que bloquea anuncios rompe tu navegador y abre la puerta al 'malware'

Si usas Chrome o Edge, seguramente alguna que otra vez has buscado un bloqueador de anuncios. Pues mucho cuidado con lo que viene. En las últimas semanas, se ha detectado una extensión falsa llamada NexShield que se hacía pasar por un adblock que lucía bastante seguro y  bueno. 

Decía incluso estar creado por el desarrollador original de uBlock Origin, uno de los bloqueadores más famosos y descargados. Nada más lejos de la realidad.

NexShield, por supuesto, no bloquea anuncios y lo que hace es romper el navegador. Al instalarla, empieza a consumir memoria sin parar hasta que Chrome o Edge se quedan congelados, con el ventilador del ordenador disparado y todo yendo lento. En muchos casos, la única salida es cerrar el navegador a la fuerza desde el Administrador de tareas de Windows.

Pero cuidado porque esto no acaba aquí y ese caos que vives al principio no es un fallo aislado y fin del problema. Es el primer paso del ataque.

Alerta 'malware' en Chrome, Firefox y Edge: 17 extensiones infectadas y 840.000 instalaciones

Así funciona NexShield: un bloqueo real en el PC para que el engaño parezca creíble

Cuando el usuario vuelve a abrir el navegador, aparece un aviso. Un mensaje que dice que hay problemas de seguridad graves, que el sistema está en riesgo y que hay que hacer un escaneo para solucionarlo. 

El tono es urgente, serio y, teniendo en cuenta la trampa en la que te hueles que has caído, bastante convincente. Y ahí es donde empieza todo.

Lo que propone esa ventana es ejecutar un comando en Windows. Nada muy raro a simple vista: copiar, pegar y pulsar Enter. Pero ese comando es la puerta de entrada a un ataque más serio, que descarga malware real en el equipo. 

Esta técnica se conoce como ClickFix, y en este caso los investigadores la han bautizado como CrashFix, porque el bloqueo del navegador es real.

Usó el ordenador de su madre y cobró 300.000 euros tras lanzar ataques con el virus "Umbrella"

Aquí está la clave del éxito del ataque. A diferencia de otras estafas que simulan errores, NexShield hace que el navegador se cuelgue de verdad. Consume RAM, sube el uso de CPU y deja el sistema casi muerto durante unos minutos. Eso hace que el aviso de después parezca totalmente lógico.

Los investigadores de la empresa de ciberseguridad Huntress explican que la extensión crea conexiones internas infinitas dentro del navegador, agotando los recursos del sistema. No roba datos directamente al principio. Primero te pone nervioso. Luego te ofrece la solución. Y lo peor es que funciona.

El comando que el usuario ejecuta lanza un script oculto de PowerShell, que se conecta a servidores externos y descarga más archivos maliciosos. Todo ocurre sin ventanas raras ni avisos. Además, el malware espera hasta una hora antes de activarse del todo, para no levantar sospechas al momento.

Los mejores ciberespías y hackers de élite del mundo se reunieron en secreto en España: “Solo quienes deben saberlo lo saben”

Los expertos creen que esto no es casual y no se trata de un ataque que prueba suerte. Detrás de NexShield estaría un grupo conocido como KongTuke, activo desde principios de 2025. Según Huntress, el grupo está cambiando de estrategia y apuntando cada vez más a entornos corporativos, donde un solo ordenador infectado puede abrir la puerta a toda una red.

Y es que, como te puedes imaginar, en ordenadores de empresas el ataque es aún más serio. Ahí se instala un programa llamado ModeloRAT, una herramienta de control remoto que permite a los atacantes espiar el sistema, ejecutar órdenes, modificar ajustes y preparar nuevos ataques. 

Con todo esto, si instalaste NexShield la recomendación es clara y toca deshacerte de él ya. Aunque NexShield ya ha sido eliminada de la tienda de Chrome, el malware puede seguir en el sistema. Es vital hacer un escaneo completo con un antivirus actualizado y, si es posible, usar herramientas de limpieza.

Te conviene revisar procesos activos, scripts que sean muy raros y, si hay dudas, restaura el sistema o pide ayuda a un profesional.