Riesgos de seguridad de las extensiones del navegador: cómo los complementos roban tus datos
Descubre cómo las extensiones maliciosas del navegador roban contraseñas, inyectan anuncios y rastrean tu navegación. Casos reales en Chrome Web Store, señales de alerta en permisos y cómo auditar tus extensiones.
Riesgos de seguridad de las extensiones del navegador: cómo los complementos roban tus datos
Bloqueadores de anuncios, gestores de contraseñas, correctores ortográficos, buscadores de cupones. La mayoría de las personas instala extensiones del navegador sin pensarlo dos veces porque facilitan la vida diaria. Pero cada extensión es un programa que se ejecuta dentro del navegador y, según los permisos que le otorgues, puede acceder a prácticamente todo lo que haces en internet.
El problema es que no todas las extensiones se crean con buenas intenciones. Algunas están diseñadas desde el principio para recopilar datos. Otras empiezan siendo legítimas pero se venden a empresas que luego envían actualizaciones maliciosas. Y los procesos de revisión de Chrome Web Store y otras tiendas están lejos de ser infalibles.
Cómo las extensiones acceden a tus datos
Al instalar una extensión, le concedes permisos. Estos permisos determinan qué puede ver y hacer la extensión.
- Leer y modificar todos tus datos en todos los sitios web: puede ver cada página que visitas, cada formulario que completas, cada contraseña que escribes
- Leer tu historial de navegación: acceso completo a todas las URL que has visitado
- Gestionar tus descargas: puede iniciar descargas o leer tu historial de descargas
- Modificar los datos que copias y pegas: puede interceptar contraseñas y otros contenidos copiados al portapapeles
- Comunicarse con aplicaciones nativas: puede interactuar con software fuera del navegador
La mayoría de los usuarios hace clic en "Añadir a Chrome" sin leer la lista de permisos. Ese solo clic puede darle a un desarrollador desconocido acceso a tus sesiones bancarias, cuentas de correo y todas tus contraseñas.
Casos reales de extensiones maliciosas
No son escenarios hipotéticos. Son casos documentados de extensiones que fueron descubiertas robando datos de usuarios.
The Great Suspender (2021)
Esta popular extensión de Chrome con más de 2 millones de usuarios fue vendida a una entidad desconocida. El nuevo propietario lanzó una actualización con código malicioso que rastreaba la navegación e inyectaba anuncios. Google terminó eliminándola de Chrome Web Store.
DataSpii (2019)
Investigadores de seguridad descubrieron que varias extensiones populares, incluyendo Hover Zoom y SpeakIt, recopilaban cada URL visitada por sus usuarios y vendían los datos a una empresa de análisis. Los datos recopilados incluían declaraciones de impuestos, información médica, itinerarios de viaje y otros documentos privados accesibles a través de URLs.
Web Developer for Chrome (2017)
Una cuenta de desarrollador secuestrada fue utilizada para enviar una actualización maliciosa a más de 1 millón de usuarios de esta extensión. La versión comprometida inyectaba anuncios en cada página web que el usuario visitaba.
Nano Adblocker y Nano Defender (2020)
Tras ser vendidos a nuevos desarrolladores, estos populares bloqueadores de anuncios fueron actualizados con código que recopilaba datos de navegación y manipulaba cuentas de redes sociales, afectando a más de 300.000 usuarios.
Señales de alerta en los permisos
No todos los permisos son peligrosos, pero algunos deberían hacerte pensar dos veces antes de instalar.
| Permiso | Nivel de riesgo | Por qué importa |
|---|---|---|
| Leer y modificar todos tus datos en todos los sitios | Alto | Acceso total a todo lo que ocurre en el navegador |
| Leer tu historial de navegación | Alto | Registro completo de todos los sitios visitados |
| Gestionar tus descargas | Medio | Puede activar descargas no deseadas |
| Modificar datos del portapapeles | Alto | Puede robar contraseñas copiadas y texto sensible |
| Leer y modificar marcadores | Bajo | Impacto limitado en la privacidad |
| Mostrar notificaciones | Bajo | Molesto pero no peligroso |
| Gestionar aplicaciones, extensiones y temas | Alto | Puede instalar o modificar otras extensiones |
Regla general: si una herramienta simple (como un selector de colores o una herramienta de capturas) pide permiso para leer todos tus datos en todos los sitios web, algo no cuadra. Los permisos deben corresponder con la funcionalidad.
Cómo auditar tus extensiones
Chrome
- Ve a
chrome://extensions/ - Revisa cada extensión y haz clic en "Detalles" para comprobar los permisos
- Elimina lo que no reconozcas o ya no uses
- Para cada extensión que conserves, verifica: ¿viene de un desarrollador conocido? ¿Cuándo fue la última actualización? ¿Los permisos coinciden con la funcionalidad?
Firefox
- Ve a
about:addons - Haz clic en cada extensión para revisar sus permisos
- Firefox muestra un desglose detallado de permisos durante la instalación. Si te lo saltaste, consulta la página de la extensión en addons.mozilla.org
Edge
- Ve a
edge://extensions/ - Mismo proceso que Chrome. Edge usa el mismo formato de extensiones, por lo que el sistema de permisos es idéntico
Safari
- Ve a Safari > Ajustes > Extensiones
- Cada extensión muestra a qué sitios web tiene acceso
- Safari restringe las extensiones con más rigor que Chrome, pero aun así revisa lo que tienes instalado
Haz esta auditoría cada 3 meses. Las extensiones pueden cambiar de propietario y enviar actualizaciones maliciosas en cualquier momento.
Mejores prácticas para la seguridad de extensiones
- Instala solo lo necesario: cada extensión es una superficie de ataque potencial
- Prefiere extensiones de código abierto: extensiones como uBlock Origin tienen código público que los investigadores de seguridad pueden inspeccionar
- Verifica al desarrollador: una empresa con sitio web y reputación es más fiable que un desarrollador anónimo
- Lee las reseñas recientes: un aumento repentino de reseñas negativas suele indicar una actualización maliciosa o un cambio de propietario
- Revisa los permisos antes de instalar: si una extensión de cupones pide acceso a todos tus datos de navegación, busca otra
- Actualiza tu navegador: las actualizaciones suelen incluir parches de seguridad que limitan lo que pueden hacer las extensiones
- Usa perfiles separados del navegador: mantén un perfil limpio sin extensiones para banca online y tareas sensibles
- Presta atención a cambios de propietario: si recibes una notificación de que la política de privacidad de una extensión cambió, investiga de inmediato
La información sensible merece mejor protección
Las extensiones del navegador son solo una de las vías por las que tus datos pueden verse comprometidos. Si compartes contraseñas, códigos de acceso o notas confidenciales regularmente a través del navegador, el riesgo se multiplica.
En lugar de pegar texto sensible en WhatsApp, donde queda en el historial de chat para siempre (y donde una extensión maliciosa podría interceptarlo), considera usar una herramienta dedicada. LOCK.PUB te permite crear un enlace protegido con contraseña para cualquier texto, con un tiempo de expiración. El destinatario abre el enlace, introduce la contraseña y lee el contenido. Ninguna extensión puede extraerlo de un historial de chat porque nunca estuvo en uno.
Toma el control de la seguridad de tu navegador
Tu navegador es la puerta de entrada a tus cuentas más sensibles. Cada extensión que instalas añade un punto de fallo potencial. Audita tus extensiones hoy, elimina lo que no necesites y ten cuidado con lo que instales en el futuro. Para compartir información sensible a través del navegador, usa herramientas de confianza como LOCK.PUB.
Palabras clave
También te puede interesar
Herencia de criptomonedas: cómo garantizar que tu familia pueda acceder a tus activos digitales
Guía práctica para que los poseedores de Bitcoin, Ethereum y otras criptomonedas planifiquen la sucesión de sus activos digitales y eviten que se pierdan para siempre.
Cómo ocultar apps en tu teléfono — Guía completa iPhone y Android
Biblioteca de apps iPhone, función ocultar Android, Carpeta Segura Samsung y launchers personalizados. Todas las formas de ocultar aplicaciones.
Cómo ocultar fotos en tu teléfono — Guía completa iPhone y Android
Álbum oculto de iPhone, Carpeta Segura de Android, Google Photos carpeta bloqueada y apps de cifrado. Todas las formas de ocultar fotos en tu móvil.
Crea tu enlace protegido con contraseña ahora
Crea enlaces protegidos, notas secretas y chats cifrados de forma gratuita.
Comenzar Gratis