¿Son Seguras tus Extensiones del Navegador Favoritas?

Fiabilidad
Conclusión

Las extensiones del navegador son aplicaciones de software que agregan nuevas funciones a los navegadores web. Pero, ¿son seguras? La respuesta corta es: Depende.

¿Qué es una extensión del navegador?

Las extensiones de navegador, o plug-ins, son aplicaciones de software ligeras que añaden nuevas características y funcionalidades a los navegadores web.

Los navegadores más populares, como Google Chrome, Firefox y Microsoft Edge, ofrecen acceso a extensiones, como AdBlock, Google Translate, LastPass y Grammarly. Por otra parte, navegadores como Brave o DuckDuckGo se centran en la privacidad para ofrecer una mejor experiencia sin necesidad de extensiones.

Riesgos para la seguridad y la privacidad con las extensiones de navegador

Sin embargo, mientras millones de usuarios descargan extensiones para añadir nuevas capacidades a sus navegadores, estos componentes han ampliado la superficie de ataque, proporcionando a los piratas informáticos un nuevo punto de entrada en el entorno del usuario.

De hecho, muchas de las extensiones más utilizadas presentan vulnerabilidades que las ponen en peligro.

Por ejemplo, un investigador descubrió que la mayoría de las extensiones populares del navegador Chrome utilizan la API chrome.webRequest, que se considera un riesgo “crítico” que puede aprovecharse para interceptar datos o credenciales de inicio de sesión y acceder a archivos locales.

Asimismo, el año pasado los analistas de McAfee destacaron cinco extensiones populares de Chrome que se habían descargado más de 1,4 millones de veces y que robaban la actividad de navegación de los usuarios.

Entonces, ¿son seguras las extensiones del navegador?

La respuesta puede ser tanto afirmativa como negativa.

¿Cuál es el peligro?

Aunque las extensiones del navegador suelen contener herramientas útiles, los usuarios deben ser conscientes de los riesgos que las rodean si quieren proteger sus datos.

Uno de los problemas más comunes es que los actores de amenazas desarrollan extensiones de navegador que contienen malware e intentan engañar a los usuarios para que descarguen el software e infecten sus dispositivos, colocándolas en mercados en línea o mediante publicidad maliciosa. Estas extensiones también pueden instalarse si el dispositivo del usuario ya está infectado con malware.

Sin embargo, quizás el mayor riesgo que presentan las extensiones de navegador es el hecho de que muchas están construidas con componentes de software y vulnerabilidades que son fácilmente explotables.

Por ejemplo, Spin.AI evaluó 300.000 extensiones de navegador y descubrió que cada una tenía la capacidad de capturar datos confidenciales de aplicaciones, ejecutar JavaScript malicioso y enviar datos protegidos, como credenciales de inicio de sesión y datos bancarios, a terceros.

La prevalencia de estas vulnerabilidades significa que cada vez son más las amenazas que se dirigen a los navegadores web para acceder a los datos personales de los usuarios.

Si un pirata informático consigue explotar estos componentes, puede llevar a cabo acciones dañinas, como:

  • Seguimiento del historial del navegador del usuario
  • Seguimiento de las pulsaciones de teclas
  • Realizar capturas de pantalla
  • Despliegue de actualizaciones maliciosas

Riesgos únicos para las empresas

Las extensiones de navegador inseguras también introducen algunos riesgos graves para las empresas que carecen de visibilidad sobre qué extensiones existen en sus entornos.

Con cada vez más organizaciones que operan en entornos de trabajo híbridos o remotos con políticas Bring Your Own Device (BYOD), es difícil identificar qué extensiones utilizan los empleados y, por tanto, qué componentes explotables forman parte de la superficie de ataque.

Para complicar aún más las cosas, las empresas también están a merced de las prácticas individuales de ciberseguridad de los usuarios. Esto significa que si un usuario descarga muchas extensiones con componentes vulnerables, no las actualiza o descarga contenido de sitios web ilegales, puede iniciar una infección de malware que afecte a toda una organización.

La mejor defensa que tienen las empresas contra estas amenazas es educar a los empleados sobre cómo seleccionar extensiones fiables y las medidas que pueden tomar para disfrutar de una experiencia de navegación más segura.

Cómo utilizar con seguridad las extensiones del navegador

Afortunadamente, hay varias formas de reducir los riesgos a los que se expone al descargar extensiones del navegador.

La primera es asegurarse de que sólo descarga extensiones del navegador de sitios web aprobados y mercados como Chrome Web Store.

Muchos proveedores ofrecen reseñas, así que si están disponibles, es una buena idea comprobarlas para hacerse una idea de su calidad. También puedes consultar el sitio web del desarrollador para ver quién ha producido el componente.

También querrás asegurarte de que entiendes qué nivel de permisos tiene, ya que esto determinará a cuántos de tus datos puede acceder.

Otra buena práctica es asegurarse de que actualiza regularmente su ordenador con los últimos parches de seguridad disponibles. Esto reducirá tu exposición general a las vulnerabilidades.

Por último, el uso de un antivirus puede ayudarte a escanear las extensiones de tu navegador web en busca de malware para que puedas identificar si tu dispositivo ha sido comprometido y responder lo antes posible.

Como regla general, si no utiliza una extensión, es mejor eliminarla para reducir los posibles puntos de entrada a su dispositivo.

Conclusión

Aunque las extensiones del navegador presentan ciertos riesgos, muchos de ellos pueden evitarse simplemente actuando con la diligencia debida y siendo selectivo con las que se descargan.

Asegurarse de que sólo utiliza herramientas desarrolladas por proveedores de confianza y optar por eliminar las extensiones que no son esenciales puede contribuir en gran medida a proteger sus datos.

Temas relacionados

Artículos relacionados

Tim Keary
Technology Specialist
Tim Keary
Editor

Desde enero de 2017, Tim Keary ha sido un escritor y reportero de tecnología independiente que cubre tecnología empresarial y ciberseguridad.