¿Podrías ser hackeado por tus extensiones de VS Code?

¿Podrías ser hackeado por tus extensiones de VS Code?

Actualizado el 27 de marzo de 2025

4 min de lectura
ESCRITO POR
Carmen Reyes

carmenr 12,047 Pts

Curso de Ciberseguridad para Desarrollo Web

Toma las primeras clases gratis

COMPARTE ESTE ARTÍCULO Y MUESTRA LO QUE APRENDISTE

Alguna vez te has preguntado qué hacen realmente las extensiones de VS Code que instalas? 🤔 Aunque estas herramientas aumentan nuestra productividad, también pueden ser una puerta trasera a nuestro código.

El poder de las extensiones

Desde su lanzamiento, VS Code se volvió uno de los IDEs favoritos para trabajar código. La facilidad con la que podemos configurar nuestro entorno y agregar extensiones que nos permiten ir a mayor velocidad.

La cara oculta del marketplace

Detrás de esta maravillosa tienda de extensiones se esconde una verdad incómoda: publicar una extensión es sorprendentemente fácil. Cualquiera puede crear y subir una extensión al marketplace, y estas extensiones tienen acceso a todo tu código.

Entonces, ¿cuál es el verdadero riesgo de las extensiones en VS Code?

Cuando instalas una extensión, le estás dando permisos para:

  • Leer todo tu código fuente
  • Modificar tus archivos
  • Acceder a tu terminal
  • Enviar datos a servidores externos

En términos sencillos, las extensiones tienen los mismos permisos que el mismo VSCode.

Sí, pero hasta ahora no ha pasado nada, ¿cierto? 👀

Dos ejemplos de hackeo con las extensiones de VS Code

Se han descubierto extensiones maliciosas que robaban tokens de acceso y contraseñas, esto gracias a un estudio realizado por Snyk.

El caso de Open in Default Browser: la extensión que escondía un espía

Un caso notable fue el de Open in Default Browser, una extensión con más de 520,000 descargas que:

  • Permitía a atacantes ejecutar código malicioso a través de una vulnerabilidad en su implementación
  • Exponía a los desarrolladores a riesgos de seguridad al abrir archivos en el navegador

Imagina que descargas una extensión para VS Code llamada ‘Open in Default Browser’. Su propósito parece simple: abrir tus archivos HTML en el navegador con un solo clic. Muy útil y conveniente, easy 😎.

Pero esta guarda un pequeño secreto: al instalarla, también instalas un pequeño servidor web en tu laptop que espera pacientemente, como un espía (de tu nación non grata). El verdadero peligro surge cuando el atacante te envía un enlace malicioso y haces clic mientras tienes VS Code abierto. Y ya! Como por arte de magia, el atacante ahora puede acceder a cualquier archivo en tu computadora, como si le hubieras dado acceso total.

Ataque de typosquatting: Darcula o Dracula

En otro caso más reciente y conocido, un equipo de investigadores demostró la facilidad con la que se pueden infiltrar extensiones maliciosas en el marketplace de VS Code. Crearon una versión maliciosa del popular tema Dracula que:

  • Recopilaba el código de las víctimas
  • Obtenía información de sus máquinas
  • Consiguió infectar a más de 100 organizaciones, incluyendo empresas multimillonarias

La historia empieza cuando estos investigadores crearon una copia casi exacta de la extensión ‘Dracula Official’, cambiando ‘Dracula’ por 'Darcula’. Para hacerla parecer legítima, registraron un dominio web y se convirtieron en publicadores verificados 😟. Esta fue la clave para infiltrarse en las organizaciones y poder recolectar información como el hostname, extensiones instaladas y sistema operativo.

Este es un ejemplo interesante de un ataque de typosquatting. Puedes conocer más en el Curso de Introducción a la Ingeniería Social: Técnicas, Ataques y Pretexting.

Cuatro recomendaciones de seguridad al usar extensiones de VS Code

Te comparto estas recomendaciones que me han ayudado a mí antes de instalar una extensión:

  1. Investiga al publicador (publisher): busca si es un desarrollador o empresa conocida. Si el publicador tiene un sitio web oficial o presencia en GitHub, es una buena señal.
  2. Minimiza tus extensiones: mantén solo las que uses regularmente. Cada extensión extra es un riesgo potencial de seguridad.
  3. Mantén todos actualizado: las actualizaciones frecuentemente incluyen parches de seguridad. Sin embargo, ten cuidado con actualizaciones automáticas de extensiones poco conocidas.
  4. Organiza las extensiones por proyecto: VS Code te permite controlar qué extensiones usar en cada proyecto usando “Workspace Settings”.

¿Lista para mejorar tu seguridad? 👩🏽‍💻 Toma 5 minutos ahora mismo para revisar tus extensiones instaladas. Si quieres aprender más sobre seguridad en el desarrollo, no te pierdas nuestro Curso de Ciberseguridad para Desarrollo Web.

Las extensiones de VS Code son herramientas increíblemente poderosas, pero un gran poder conlleva una gran responsabilidad. Aunque el marketplace de VSCode ofrece miles de extensiones que prometen aumentar nuestra productividad con funciones como formateo de código y detección de errores, no está de más ser cuidadosa con lo que instalamos 😉.

👉🏼 Las mejores 15 extensiones de VSCode para frontend

Curso de Ciberseguridad para Desarrollo Web

Toma las primeras clases gratis

COMPARTE ESTE ARTÍCULO Y MUESTRA LO QUE APRENDISTE

0 Comentarios

para escribir tu comentario

Artículos relacionados

Estrategias BlueTeam para tu aplicación

Estrategias BlueTeam para tu aplicación

En el amplio mundo de la Ciberseguridad existen dos perfiles predominantes distinguidos por sus acciones: RedTeam que realizan actividades o

dadhemir

dadhemir

7