Tus extensions del navegador te están mirando
Security & Privacy

Tus extensions del navegador te están mirando

Una extension ve cada página que abres. Basta con que un desarrollador la venda o caiga en un phishing para que, de la noche a la mañana, una sola actualización ponga a millones de usuarios en la mira del tracking o del robo de credenciales.

BROWSER.LOL
22.01.2026
20 min de lectura
Compartir

La extension «The Great Suspender» llegó a tener más de dos millones de usuarios. Dejaba dormidas las pestañas que no estabas usando y liberaba RAM. Hasta que el desarrollador original acabó vendiendo el proyecto a un comprador anónimo. Unas semanas después, ese mismo comprador subió a la Chrome Web Store una actualización que inyectaba código de tracking, metía anuncios y mandaba el comportamiento de los usuarios a servidores fuera. Para cuando Google intervino, millones de personas ya habían instalado el update.

Lo inquietante no es que una extension concreta acabara siendo maliciosa. Lo inquietante es que el sistema está montado precisamente para que esto vuelva a pasar. Cada extension instalada es un trozo de código con permisos altísimos, que se actualiza solo desde un desarrollador cuya cuenta, intereses o propietario pueden cambiar de un día para otro.

Lo que una extension ve de verdad

La mayoría de las extensions del navegador pide acceso a todas las páginas que visitas. En Chrome ese permiso se llama «Leer y cambiar todos tus datos en los sitios que visitas». Suena a jerga técnica, pero en la práctica significa que la extension puede leer cualquier campo de cualquier página: campos de contraseña, session tokens metidos en el DOM, mensajes privados, datos del banco, todo.

A la vez, puede interceptar requests, leer cookies, abrir pestañas, capturar lo que tecleas e inyectar contenido que a simple vista no distingues de los elementos auténticos de la página. Una extension, en la práctica, es un man in the browser. No es un bug: es justo la decisión de diseño sin la cual los gestores de contraseñas, los ad blockers y los traductores no podrían funcionar.

El navegador te enseña esos permisos una sola vez, al instalar, y luego nunca más. En muchas stores, las actualizaciones pueden ampliar permisos ya concedidos sin volver a preguntarte nada, mientras no introduzcan una categoría totalmente nueva.

Cómo las extensions se convierten en superficie de ataque

Un icono de desarrollador con una flecha hacia una pieza de puzzle, luego una flecha hacia un browser, una de las piezas con un color sutilmente distinto

Las extensions se acaban comprometiendo de tres formas, y las tres se han vuelto mucho más habituales en los últimos años.

Venta a nuevos dueños. Un desarrollador aficionado mantiene una herramienta pequeña durante años hasta que un día le llega una oferta de compra. Detrás de los compradores casi siempre hay empresas de marketing, y a veces operadores camuflados, que lo que quieren es una base de usuarios ya hecha para meter publicidad, redirigir tráfico de afiliados o, directamente, montar campañas de infostealer.

Phishing contra los desarrolladores.En 2023, más de veinte extensions de Chrome cambiaron de manos en un único fin de semana porque sus autores picaron en un prompt de OAuth disfrazado de aviso de Google Mail. El atacante tuvo tiempo de publicar actualizaciones maliciosas antes de que nadie se diera cuenta del acceso.

Dependencias. Las extensions tiran de librerías de terceros. Esas librerías tienen a su vez sus propios mantenedores y sus propias supply chains. Un paquete npm secuestrado puede acabar en el navegador del usuario final pasando por varias extensions, sin que los autores de esas extensions hayan hecho nada raro.

Casos de los que seguramente no has oído hablar

La lista es larga y no para de crecer. The Great Suspender fue solo el caso más sonado. Nano Adblocker y Nano Defender se volvieron maliciosos en 2020, después de un cambio de propietario, y empezaron a loguear los requests de los usuarios. A Stylish, una extension para personalizar el aspecto de las webs y con dos millones de usuarios, la compraron y poco después estaba enviando cada URL visitada a servidores ajenos.

En 2024, Secure Annex documentó varias decenas de extensions de Chrome de categorías muy variadas (notas, PDF, tiempo, capturas de pantalla) a las que en algún momento les habían colado código para robar credenciales. Entre todas sumaban más de sesenta millones de instalaciones.

280+

extensions maliciosas documentadas solo en 2024

60M

usuarios acumulados de las extensions afectadas

50 %

de los usuarios tiene 3 o más extensions instaladas

Auditar tus propias extensions

Este repaso te lleva diez minutos y deja claro qué extensions merece la pena conservar.

  1. 1

    Abre la página de extensions de tu navegador

    chrome://extensions en Chrome, about:addons en Firefox, edge://extensions en Edge. Verás absolutamente todo lo que se te ha ido acumulando con el tiempo.
  2. 2

    Borra todo lo que no hayas tocado en las dos últimas semanas

    Cualquier extension que no uses a diario es superficie de ataque y poco más. Una herramienta de capturas que sacas una vez al mes no justifica tener un permiso permanente para leerlo todo.
  3. 3

    De las que queden, mira el desarrollador y la fecha del último update

    Desarrollador desconocido, venta reciente o sin actualizar en más de un año son señales de alerta. Un parón largo en los updates implica parches de seguridad sin aplicar; los cambios frecuentes de propietario suelen ser preludio de tomas de control.
  4. 4

    Restringe el acceso por sitio siempre que puedas

    En Chrome puedes limitar una extension a sitios concretos o ponerla en modo «al hacer clic». Una herramienta de notas no tiene por qué estar corriendo cuando entras en la banca online.

Una configuración por defecto más segura

Dos ventanas de browser lado a lado, una con tres iconos de piezas de puzzle, la otra vacía, un separador punteado entre ambas

La respuesta correcta casi nunca es «desinstala todas las extensions». Un gestor de contraseñas y un ad blocker se ganan claramente su sitio. La respuesta es mover la navegación sensible a un entorno que ni siquiera sepa lo que es una extension. Un navegador nuevo y aislado, sin un solo add-on, es la superficie de ataque más limpia que vas a poder tener.

En la práctica esto significa que tu navegador del día a día se queda con las extensions que te gustan, tú eres consciente del riesgo y haces limpieza con regularidad. La banca, los logins de admin, las wallets de cripto y las búsquedas en sitios de los que no te fías van todos a una sesión aislada. Ahí ninguna extension puede leer lo que haces, porque sencillamente no hay ninguna.

Llévate un escritorio entero a cualquier dispositivo

Prueba Browser.lol gratis y trabaja como en un PC desde el móvil.

Abrir mi navegador en la nube

Sin descargas • Funciona en cualquier dispositivo

Más de 250 000 profesionales lo usan
Escritorio completo
Listo al momento

Últimos artículos

Todos los artículos
Canvas, WebGL y Audio: los tres fingerprints que sobreviven a cada reinicio del navegador
Seguridad y privacidad

Canvas, WebGL y Audio: los tres fingerprints que sobreviven a cada reinicio del navegador

Borrar cookies no les hace nada. Cómo se generan los hashes de canvas, las cadenas renderer de WebGL y las firmas de AudioContext, y por qué incluso Tor filtra uno.

17.05.2026Leer más
Tabnabbing y clickjacking: los ataques de interfaz que nunca ves
Seguridad y privacidad

Tabnabbing y clickjacking: los ataques de interfaz que nunca ves

Algunos ataques del navegador no necesitan malware. Reescriben tus pestañas mientras no las miras o esconden un botón debajo de uno falso, y eres tú quien entrega las credenciales o las aprobaciones. Así funcionan estos trucos de UI.

19.03.2026Leer más
Wallet drainers Web3: cómo una sola firma vacía tu cripto
Seguridad y privacidad

Wallet drainers Web3: cómo una sola firma vacía tu cripto

Los wallet drainers no necesitan tu seed phrase. Te hacen firmar una transacción que entrega todo en un clic. Así funciona la estafa y así puedes firmar sin acabar limpio.

05.03.2026Leer más