Ciberdelincuentes usan extensiones de navegador para espiar y robar información personal

Millones de personas usan Internet a diario, principalmente desde el celular o el ordenador. Sin embargo, una práctica habitual y aparentemente inofensiva —instalar extensiones en los navegadores— se ha convertido en uno de los principales focos de riesgo digital.

De acuerdo con expertos en ciberseguridad, estos pequeños programas pueden transformarse en herramientas para el robo de información, la manipulación de datos o incluso la instalación de malware.

Según la empresa de seguridad informática ESET, más de la mitad de las extensiones analizadas en entornos corporativos presentan un nivel de riesgo alto, aun cuando proceden de tiendas oficiales como Chrome Web Store o Firefox Add-ons.

El peligro radica en la confianza excesiva de los usuarios y en la falta de control sobre los permisos que conceden al instalarlas. Muchas de estas herramientas pueden acceder a datos de navegación, contraseñas o historiales sin que el usuario sea plenamente consciente.

En la práctica, las extensiones son complementos que amplían las funciones del navegador: bloquean anuncios, traducen páginas, almacenan contraseñas o modifican la apariencia de los sitios web. Sin embargo, su acceso directo a la actividad del usuario las convierte en un blanco atractivo para el cibercrimen.

De acuerdo con ESET, existen dos vías principales de riesgo. La primera es la instalación de extensiones maliciosas desde fuentes no verificadas, que suelen camuflarse como utilidades populares. La segunda, más difícil de detectar, ocurre cuando extensiones legítimas cambian de propietario sin notificación al usuario. En estos casos, un nuevo desarrollador puede modificar el código y convertir una herramienta útil en un software espía sin levantar sospechas.

Josep Albors, director de investigación y concienciación de ESET España, advierte que el problema no siempre está en el momento de la descarga: “Una extensión puede ser completamente segura y, meses después, transformarse en una amenaza. Muchos usuarios no se enteran hasta que sus datos ya han sido comprometidos”.

El impacto de este tipo de amenazas no se limita a los usuarios domésticos. En el ámbito corporativo, una sola extensión con permisos amplios puede acceder a correos electrónicos, documentos en la nube o plataformas de trabajo colaborativo. Este tipo de incidentes puede derivar en fugas de información, pérdidas económicas y sanciones por incumplir normativas de protección de datos.

Algunos ataques detectados recientemente utilizan extensiones para inyectar anuncios, redirigir a páginas fraudulentas, robar cookies de sesión o ejecutar tareas de criptominería sin consentimiento. Este último método, además de consumir recursos del equipo, genera un sobrecalentamiento y ralentiza el rendimiento del sistema.

Cómo reducir los riesgos al usar extensiones

Las recomendaciones de los expertos coinciden en que la prevención es la mejor defensa. Expertos en ciberseguridad sugiere instalar únicamente extensiones desde tiendas oficiales y revisar con detalle los permisos solicitados antes de añadirlas. Si una herramienta solicita acceso a todos los datos de navegación, a la cámara o al correo electrónico, lo más prudente es descartarla.

También es importante comprobar la reputación del desarrollador, leer las opiniones de otros usuarios y verificar la frecuencia de actualización. Las extensiones abandonadas o con soporte irregular son especialmente vulnerables a la manipulación.

Otras medidas básicas incluyen eliminar las extensiones que no se utilicen, mantener el navegador actualizado y utilizar soluciones de seguridad complementarias. Activar la autenticación multifactor y estar atento a comportamientos anómalos —como cambios en las búsquedas o redirecciones inesperadas— puede ayudar a detectar amenazas tempranamente.

Los especialistas insisten en que las extensiones no son malas por naturaleza, pero sí requieren una gestión responsable. Al igual que ocurre con las aplicaciones móviles, conviene revisar de forma periódica qué programas están instalados y si realmente son necesarios.